L’Autorità Garante per la protezione dei dati personali ha sanzionato il Gruppo Benetton per un importo di 240.000 euro, per trattamento illecito dei dati personali di numerosi clienti ed ex clienti a fini di marketing e profilazione. Secondo il provvedimento del Garante, i dati trattati e gestiti tramite l’emissione di fidelity card è avvenuto da parte del Gruppo senza l’adozione di adeguate misure di sicurezza e con una politica di conservazione dei dati (data retention policy) eccessivamente estesa e non adeguatamente motivata. L’incidente in questione riguarda principalmente la gestione delle fidelity card, un mezzo ampiamente utilizzato per acquisire informazioni dettagliate sui consumatori.
Per approfondire si consiglia: I ricorsi al Garante della privacy
Indice
1. I fatti contestati e le criticità emerse
Il Garante della Privacy ha sollevato una serie di contestazioni nei confronti della società del Gruppo Benetton, risalenti al 2015, periodo in cui venivano raccolti e conservati i dati attraverso le fidelity card, anche di ex clienti. L’Autorità ha sottolineato che tali informazioni rappresentavano una base dati molto appetibile per attività di profilazione e data enrichment. Le contestazioni riguardano diversi aspetti, tra cui:
- Problemi relativi al sito “familycard.benetton.com”: il banner informativo relativo all’utilizzo dei cookie non consentiva la deselezione delle diverse tipologie di cookie, mentre l’informativa estesa non menzionava i cookie di profilazione, pur essendo presenti nel banner. Venivano indicati solo i cookie tecnici, di marketing diretto e di retargeting di terze parti.
- Problemi relativi al sito “blackcard.sisley.com”: nonostante la presenza di un collegamento ipertestuale “clicca qui”, il banner dei cookie reindirizzava a una pagina bianca, e il link dei cookie presente nel footer non forniva alcuna informativa né la possibilità di accettare o rifiutare l’utilizzo dei cookie.
- Mancata conformità al registro dei trattamenti e all’informativa fornita ai clienti per l’adesione ai programmi di fedeltà: nonostante l’indicazione di un periodo di conservazione dei dati limitato a 2 anni per scopi di marketing e profilazione, sono stati trovati dati personali di clienti e informazioni sugli acquisti risalenti al 2015, inclusi dettagli degli scontrini e dei punti, anche per soggetti che non avevano acconsentito alla profilazione.
- Utilizzo improprio dei gestionali “Dynamics” e “ContactLab”: venivano inviate email promozionali a 13 clienti dopo la loro disiscrizione dal marketing del programma di fedeltà. Situazione analoga riscontrata anche con l’utilizzo del gestionale “ContactLab”, con l’invio di comunicazioni di marketing a 4.259 consumatori privi di consenso poiché precedentemente revocato.
Potrebbero interessarti anche:
2. Le difese presentate dal Gruppo Benetton
Nella sua prima memoria difensiva, inviata nell’ottobre 2021, la società del Gruppo Benetton sollevava un’eccezione procedurale riguardante la presunta tardività della. notifica da parte dell’Autorità sulla base del Regolamento 2/2019, di fatto poi respinta.
Nel merito, la società confermava poi “di aver comunque provveduto a completare già da tempo le attività di implementazione delle misure organizzative e tecniche volte a superare i profili di possibile criticità rilevati in sede di ispezione […] implementando una nuova tecnologia di gestione cookie da parte degli utenti, con l’adozione della piattaforma Cookiebot, volta a consentire all’utente di gestire in autonomia gli eventuali consensi rilasciati, producendo anche i nuovi testi di banner ed informative”.
Non solo, la società nel difendersi dalle prime contestazioni mosse dall’Autorità sottolineava come l’idea/progetto di un “Database Unico fosse finalizzato a razionalizzare, centralizzare e garantire la corretta gestione dei dati e dei consensi degli iscritti alle fidelity card” superando di fatto i rilievi critici mossi in sede di prima contestazione.
L’Autorità Garante respingeva la richiesta di archiviazione presentata dalla difesa della società del Gruppo Benetton, evidenziando, nel marzo 2022, ulteriori violazioni dei principi di minimizzazione e limitazione della conservazione dei dati, in particolare riguardo a circa 250.000 iscritti alla newsletter che avevano disattivato il servizio. La società presentava una seconda memoria difensiva nell’aprile 2022, offrendo elementi e chiarimenti, ma insistendo sulla richiesta di archiviazione.
3. Le osservazioni dell’Autorità e la sanzione
L’Autorità Garante respingeva l’eccezione sulla tardività della notifica della prima contestazione sollevata dalla società del Gruppo Benetton, disponendo però l’archiviazione per la contestazione relativa alla gestione dei cookie, dichiarando di “apprezzare” le azioni messe in atto dalla società in merito ed anche per l’implementazione del database dei clienti. Permaneva tuttavia la presenza di diverse violazioni da parte della società del Gruppo Benetton, in particolare:
- la violazione dei principi di minimizzazione e limitazione della conservazione dei dati secondo il GDPR. ex art. 5, par.1, lett. c) ed e), del GDPR.
- la mancata adozione di misure di sicurezza adeguate ex art. 32, par.1, lettere b) e d), e par. 2;
- la mancata adozione di adeguate misure di sicurezza per garantire la riservatezza e l’integrità dei dati personali trattati.
- la violazione del principio di accountability riguardo alle comunicazioni di dati personali a TikTok e Facebook per finalità di marketing e profilazione, senza fornire informazioni chiare sul ruolo di tali piattaforme nel trattamento dei dati.
L’importo dell’ordinanza ingiunzione è stato fissato a 240.000 euro. L’Autorità ha considerato l’elevato numero di interessati coinvolti e la durata delle violazioni come circostanze aggravanti. Ha anche preso in considerazione l’assenza di precedenti procedimenti, la collaborazione e la trasparenza della società durante l’ispezione come circostanze attenuanti.
Volume consigliato
L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente.
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento