Il Garante per la Protezione dei dati personali, con il provvedimento n. 253 dell’8 giugno 2023, ha sanzionato per 300 mila euro la Rinascente S.p.a. per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediate l’uso delle fidelity card.
La vicenda
L’Autorità è intervenuta a seguito di una segnalazione da parte di una cliente che, dopo una discussione con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante.
La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.
Pertanto, chiedeva al Garante di valutare quanto accaduto, al fine, se del caso, di emanare i provvedimenti correttivi di cui all’art. 58 del Regolamento 2016/679.
L’attività ispettiva del Garante
A seguito dell’accertamento ispettivo, condotto dal Nucleo speciale Privacy e Frodi Tecnologiche, oltre alla violazione dei principi di integrità e riservatezza, sono emerse altre inosservanze della normativa sulla tutela dei dati personali.
Nel corso dell’istruttoria è infatti emerso che nell’informativa relativa alla fidelity card denominata “friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione.
Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi e-mail dei clienti alla società americana.
Relativamente all’attività di e-commerce presente sul sito, pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR.
Il Garante ha quindi rilevato la violazione dei principi d’integrità e riservatezza, di cui all’art. 5, par.1, lett. f) del Regolamento, nonché del collegato art. 32, par. 1, lettere b) e d), e par. 2, del Regolamento, ossia i principi sulla sicurezza del trattamento.
Con riferimento all’indesiderata modifica delle generalità dell’interessata, peraltro con un epiteto non compatibile con il diritto all’identità e alla reputazione, è risultata ravvisabile la violazione dei principi di ‘correttezza’ e di ‘liceità’, sanciti dall’art. 5, par. 1, lett. a), del Regolamento, per il tramite della violazione anche dell’art. 1, d.lgs. n. 196/2003 (di seguito: “Codice”), in base al quale: “Il trattamento dei dati personali avviene secondo le norme del … «Regolamento» e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Inoltre, non è risultato che la Società avesse fornito la prova di aver rilasciato alla segnalante – interessata l’informativa relativa al trattamento dei dati al momento dell’attivazione dell’originaria fidelity card.
Più in generale, con riguardo sia alla procedura d’attivazione delle card presso gli store, come confermato dalla formulazione della e-mail inviata alla segnalante, sia alla procedura di e-commerce, risultava acquisita un’unica manifestazione di contestuale volontà dell’interessata, con riferimento sia al regolamento contrattuale sia alla presa visione dell’informativa che recava più trattamenti per varie finalità, fra cui quelle promozionali svolte con modalità variegate, anche automatizzate (“posta, telefono o comunicazioni elettroniche, es. sms, email, ecc.”) e quelle di profilazione.
Pur rilevato che la Società raccoglieva due consensi specifici e distinti, rispettivamente per la finalità di marketing e per quella di profilazione, l’adempimento informativo (in comune con quello contrattuale), dunque, non è parso impostato in modo corretto e idoneo a garantire l’effettiva consapevolezza dell’interessato riguardo ai vari numerosi elementi informativi, quali i tempi di conservazione, le modalità dell’attività promozionale o i diritti esercitabili ai sensi del Regolamento.
Quanto sopra è dunque apparso in contrasto con i principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché con l’art. 13 del Regolamento.
Peraltro, tale presunta violazione ha riguardato 2.503.105 clienti che hanno attivato la fidelity card presso gli store e 327.830 clienti che hanno proceduto all’attivazione mediante il sito web societario.
Con riguardo al testo dell’informativa (sito web; attivazione fidelity card Rinascente e Friendscard), l’indicazione “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali” è risultata eccessivamente generica ed indeterminata, non consentendo agli interessati una consapevolezza diretta ed agevole di siffatta tempistica, anche al fine di valutare se e quali dati rilasciare od eventualmente se disiscriversi dal programma fedeltà.
Sono stati dunque ravvisati i presupposti per la violazione del principio di trasparenza (artt. 5, par.1, lett. a) e 12, par.1, del Regolamento).
Peraltro, è emerso che la Società -pur svolgendo attività di profilazione- non aveva ancora definito la procedura di valutazione d’impatto, che va obbligatoriamente effettuata prima dell’avvio di siffatta invasiva attività di trattamento.
Quindi sono stati rilevati i presupposti della possibile violazione dell’art. 35, parr. 1, e 3, lett. a), del Regolamento.
La decisione e la relativa sanzione del Garante
Il Garante, a seguito della conclusione dell’attività istruttoria, ha ritenuto accertata la violazione dell’art. 5, par.1, lett. a), b), c), e), f) (principi di: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, limitazione della conservazione, integrità e riservatezza), dell’art. 12, par. 1 (Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato), dell’art. 32, par.1, lett. b) e lett. d) (Sicurezza del trattamento) e dell’art. 35, par. 1 (Valutazione d’impatto).
Il Garante ha ordinato alla Società di pagare la somma di 300.000 mila euro a titolo di sanzione amministrativa pecuniaria.
Nel definire l’importo della sanzione a 300.000 mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni, (più di 2.000.000 di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della Società.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.