IL GARANTE PRIVACY SANZIONA UN’IMPORTANTE CATENA DI NEGOZI
05/01/2023 2023-04-13 8:30IL GARANTE PRIVACY SANZIONA UN’IMPORTANTE CATENA DI NEGOZI
Multa da 1 milione e 400 mila euro ad una SpA che gestisce punti vendita di prodotti per la persona
Il Garante per la protezione dei dati personali, a conclusione di un procedimento avviato a seguito di un reclamo, ha stabilito che la catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati.
La società dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
Innanzitutto, il Garante ha previsto che la società deve modificare l’impostazione dell’app Douglas, costituente una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
Al momento degli accertamenti ispettivi – svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – Douglas conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.
La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.
Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti.
Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati.
In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati. Douglas infine dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del GDPR.
Avv. Adamo Brunetti
