Il caso

Fidelity card e consensi, ecco perché il Garante privacy ha sanzionato Douglas Italia

Il Garante privacy ha sanzionato Douglas Italia per un milione e quattrocentomila euro per violazioni del GDPR: diverse le irregolarità riscontrate nel corso delle ispezioni effettuate in collaborazione con la Guardia di finanza, dopo che una cliente della catena di profumerie aveva presentato una segnalazione all’autorità

Pubblicato il 29 Nov 2022

Nicoletta Pisanu

Redattrice Cybersecurity360

Dopo aver incorporato tre società, la catena di profumerie Douglas Italia Spa avrebbe trattenuto i dati personali dei clienti senza richiedere il consenso: questa l’accusa per cui il Garante privacy italiano ha disposto una sanzione da un milione e quattrocentomila euro nei confronti dell’azienda, per violazione della normativa in materia di protezione dei dati. In particolare durante l’ispezione, svolta con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, è emerso che Douglas conservava i dati di circa tre milioni e trecentomila clienti delle precedenti tre aziende inglobate.

Meta, sanzione da 265 milioni per fuga di dati: violati i principi di privacy by design e by default

Sanzione a Douglas Italia, l’antefatto

L’inchiesta del Garante è partita dopo una segnalazione del 5 novembre 2020 da parte di una donna. La signora ha spiegato all’autorità “di aver presentato, in data 3 agosto 2020, un’istanza a Douglas Italia”, ai sensi degli artt. 15-22 del GDPR, come si legge nell’0rdinanza del Garante. Non avendo avuto riscontro, ha contattato il Garante privacy. 

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Douglas ha risposto alla richiesta di informazioni da parte del Garante il 24 febbraio 2021, spiegando che il trattamento dati dell’interessata “trova(va) la sua base giuridica nell’adesione della stessa (interessata) al c.d. programma fidelity Douglas” e di aver chiesto alla stessa “consensi liberi e specifici per le finalità diverse da quelle contrattuali e para-contrattuali”, precisando che “nell’impostazione di tale raccolta di dati l’eventuale diniego dell’interessato a siffatte finalità  non avrebbe precluso l’attivazione della Card Douglas e di partecipare alle iniziative ad essa correlate”. Douglas ha anche fornito un “Modulo di aggiornamento dell’autorizzazione e del consenso al trattamento dati personali per l’utilizzo della Douglas Card, sottoscritto dalla reclamante in data 5 agosto 2019 presso una Profumeria Douglas, in occasione dell’operazione di cambio card ovvero passaggio dalla vecchia fidelity card” di una società del gruppo alla nuova. 

L’azienda ha anche spiegato di aver “tempestivamente agito per l’esercizio dei diritti dell’interessata a seguito della ricezione del reclamo” e di non aver ricevuto la precedente comunicazione del 3 agosto 2020, confermando “sia la revoca dei consensi che la contestuale cancellazione dai sistemi gestionali Douglas dei dati dell’interessata”. Tuttavia, il Garante privacy ha ritenuto di dover approfondire la gestione della società delle istanze degli interessati e i trattamenti dati per marketing e profilazione. Così tra novembre e dicembre 2021 sono scattate le ispezioni.

Le violazioni contestate

Dalla verifica del Garante e delle Fiamme gialle è emerso innanzitutto che la mancata risposta all’istanza della signora è risultato essere un episodio isolato, “a fronte di una gestione delle istanze degli interessati, che, di regola, può definirsi corretta e tempestiva”. Tuttavia, l’autorità ha rilevato possibili violazioni:

  • riguardo al trattamento dei dati personali tramite app Douglas, è stato riscontrato che in relazione alla configurazione dell’app “sono emersi i presupposti della violazione dell’art. 7 del Regolamento, in quanto viene raccolto un consenso, in una forma che non può considerarsi né libera né specifica, per diverse finalità non contrattuali, come il marketing della Società, quello di soggetti terzi e la profilazione. Di conseguenza, in via strettamente correlata, le prospettate attività di trattamento in questione sono risultate prive di base giuridica, in violazione dell’art. 6 del Regolamento”, scrive il Garante nell’ordinanza.
  • Riguardo al trattamento dei dati dei clienti delle aziende inglobate nel nuovo gruppo, il Garante ha riscontrato che Douglas “ha provveduto a sostituire -limitatamente ai clienti, delle tre società acquisite, che si siano presentati e si presentino nei punti vendita Douglas e che abbiano liberamente scelto di aderire al programma di fedeltà- le fidelity card”, scrive il Garante. La Società ha fornito lo stesso modulo con identiche informative e gli stessi consensi rispetto a quello attualmente in uso, “considerando non più validi i consensi eventualmente acquisiti dalle preesistenti Società. Douglas non ha dimostrato di aver traccia di tali consensi, al pari delle informative al tempo eventualmente rilasciate agli interessati nonché dell’origine e del canale di raccolta utilizzato al tempo dalle tre società, motivando detta lacuna con la creazione di un unico data base mediante fusione delle banche dati delle società in questione”. Il Garante ha dunque rilevato, “considerato che la Società non ha dato seguito alle richieste dell’Autorità riguardo alla suindicata documentazione, non riuscendo così a comprovare la dinamica (a partire dalle modalità di raccolta dei dati) dei trattamenti svolti dalle Società acquisite, unitamente ai rispettivi database, nè se e come gli adempimenti dell’informativa e del consenso siano stati assolti dalle medesime, sono stati ravvisati i presupposti della violazione degli artt. 5, par.2 e 24, del Regolamento (principio di accountability)”. 
  • Conservazione dati dei clienti che non hanno rinnovato la fidelity card: circa tre milioni e trecentomila clienti. Per il Garante “considerata la notevole massa dei dati in questione e l’attuazione meramente eventuale della finalità sostituiva sopra indicata, l’Ufficio ha rilevato i presupposti della violazione dei ‘principi di finalità e limitazione della conservazione’, ai sensi dell’art. 5, par.1. lett. b) ed e), del Regolamento”.
  • Il Garante ha anche individuato un’incongruenza tra la pratica e l’informativa rilasciata agli interessati, “è stata ritenuta contestabile la violazione dell’art. 13, par. 2, lett. a), del Regolamento, in stretta connessione con la presunta violazione di cui al precedente punto C)”, scrive l’autorità.
  • Il Garante ha accertato che “se l’interessato ha prestato il consenso ai soli sms promozionali, in realtà potrebbe ricevere anche telefonate promozionali, e viceversa“, situazione che ha portato a contestare “gli artt. 5, par.2 e 24, del Regolamento (accountability) nonché, in via strettamente connessa, l’art. 25, par.1, del Regolamento (privacy by design)”. 
  • Riscontrate anche irregolarità relative al blog aziendale.

Le richieste del Garante privacy

Poiché la società, che è nata nel 2019, aveva incorporato tre aziende del settore, dovrà adottare una serie di misure per conformarsi alle norme italiane e UE relative, scrive il Garante nella sua nota ufficiale, “ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione”.

Gli interventi sull’app aziendale

La società dovrà dunque apportare modifiche all’appDouglas, “una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite”, spiega chiaramente il Garante.

Libertà di espressione del consenso

I clienti dovranno avere la possibilità di esprimere un consenso “libero e specifico per le diverse attività”, tra cui il marketing della società, marketing di soggetti terzi e profilazione. 

Cancellazione dei dati trattenuti troppo a lungo e pseudonimizzazione degli altri

Douglas dovrà inoltre eliminare i dati che risalgono a oltre dieci anni fa, a eccezione del caso di contenziosi in corso, e cancellare o pseudonimizzare quelli più recenti. Se opterà per la pseudonimizzazione, Douglas dovrà indicarlo sul proprio sito e informare i clienti che se non rinnoveranno la fidelity card entro sei mesi i loro dati saranno cancellati. Quando rinnoveranno la fidelity card, i clienti potranno avere la possibilità di esprimere il proprio consenso al trattamento dei dati.

La società inoltre dovrà adottare idonee soluzioni per un’adeguata conservazione dei dati dei clienti. 

@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5