Il Garante per la privacy ha recentemente emanato (8 giugno del 2023) un provvedimento sanzionatorio a carico di una nota catena di grandi magazzini per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing nonché per illecita profilazione mediante l’uso delle carte di fedeltà.

1.    La vicenda.

L’Autorità è intervenuta a seguito della segnalazione di una cliente che, dopo un alterco con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante.

A suo parere riteneva, pertanto, che fosse stato effettuato un accesso non richiesto alla scheda cliente, per introdurre la nuova intestazione -evidentemente offensiva- e chiedeva al Garante di valutare quanto accaduto, al fine, se del caso, di emanare i provvedimenti di cui all’art. 58 del Regolamento.

2.    L’istruttoria del Garante.

In base all’esame condotto, e con particolare riferimento all’informativa privacy relativa alla fidelity card, è risultato che:

• In caso di consenso al trattamento per finalità di marketing e analisi delle abitudini di consumo “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali.”
  • Ciò accade senza tuttavia indicare alcun riferimento necessario per far comprendere agli interessati quanti e quali termini temporali vengano applicati dalla Società, anche in relazione alla tipologia dei dati e alle finalità del trattamento.

Nelle informative prodotte dalla Società, inoltre, non viene indicata l’attività di trattamento svolta mediante Facebook-Meta, con riguardo anche all’inoltro degli indirizzi email dei clienti della catena di grandi magazzini alla società americana.

Inoltre, è stata acclarata la procedura di registrazione presso gli store, relativa all’acquisizione di un’unica manifestazione di volontà tanto per i termini di servizio quanto per la presa visione dell’informativa per il trattamento. Analogamente, nell’ambito della procedura di e-commerce presente sul sito web societario – ferma restando, per l’utente che si sia previamente registrato, la richiesta di consensi distinti – per quello non registrato è emersa la seguente formulazione: “Procedendo con l’acquisto, dichiaro di aver letto ed accettato termini e condizioni di vendita e di aver preso visione della privacy policy” (v. all.8).

Peraltro, pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la catena di grandi magazzini avesse definito la procedura di valutazione d’impatto, avendo infatti dichiarato che la documentazione di tale procedura, alla data dell’accertamento, era ancora una bozza, che necessitava di modifiche ed integrazioni per poi essere sottoposta all’approvazione dell’organo amministrativo (v. verbale 1° dicembre 2021). Infine, è stato accertato (verbale 2 dicembre 2021, cit.) che i dati personali degli interessati, pur in caso di campagne promozionali “generiche”, vengono conservati per 7 anni.

Per cui, il Garante ha riscontrato, oltre alla violazione dei principi di integrità e riservatezza, correttezza e liceità, rispetto alla fidelity card, anche tali violazioni della normativa sulla tutela dei dati personali.

3.    Conclusioni e decisione del Garante.

Il Garante della privacy, conclusa l’istruttoria del procedimento, ha accertato la responsabilità della catena di grandi magazzini in ordine alle seguenti violazioni del Regolamento:

• Art. 5, par.1, lett. A), b), c), e), f);
  • Art. 12, par.1;
  • Art. 32, par.1, lett. B) e lett. D);
  • Art. 35, par. 1.

Inoltre, ha imposto le seguenti misure alla Società:

• Ingiungere alla medesima, ai sensi dell’art. 58, par. 2, lett. D), del Regolamento di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti.
  • Con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. I) e 83, parr. 4 e 5, del Regolamento.

Nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni, (più di 2.000.000 di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.

È possibile scaricare il documento oggetto di commento tramite il seguente link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9910120#2

Avv. Adamo Brunetti