La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati. L’analisi.
Articolo di Flavia Bavetta, Associate presso lo Studio Legale Gianni & Origoni e Dottoranda di ricerca presso l’Università L. Bocconi.
Il 20 ottobre 2022 il Garante per la protezione dei dati personali ha sanzionato Douglas Italia S.p.A. al pagamento di 1 milione e 400 mila euro per aver violato diverse disposizioni della normativa in materia di protezione dei dati personali.
Nel merito, il provvedimento sanzionatorio trae origine da un reclamo con il quale l’interessato lamentava di aver presentato un’istanza di esercizio dei diritti alla quale non aveva fatto seguito alcun riscontro da parte della Società. Alla luce della condotta lamentata, è emersa l’esigenza di verificare le modalità di gestione da parte della Società delle istanze degli interessati e, più in generale, i trattamenti per le finalità di marketing e profilazione.
In tale contesto, il Garante ha analizzato diversi aspetti relativi all’applicazione del Regolamento (UE) 2016/679, quali:
- la raccolta dei dati personali mediante l’app aziendale. In particolare, l’attività istruttoria ha rilevato una violazione del requisito di granularità rispetto alla richiesta del consenso al trattamento dei dati personali. Infatti, come specificato dal Garante, a differenza di quanto svolto dalla Società, al momento della raccolta del consenso è necessario distinguere chiaramente l’indicazione dei trattamenti svolti e delle finalità perseguite;
- Il trattamento dei dati personali dei clienti raccolti da precedenti società fuse per incorporazione. Nel merito, a seguito della richiesta del Garante di fornire evidenza della raccolta dei consensi per il trattamento dei dati personali per finalità di marketing delle società fuse per incorporazione, Douglas ha rappresentato di non essere in grado di produrre quanto richiesto in quanto, a seguito della fusione, aveva unificato i 3 distinti database in uno solo. Pertanto, il Garante ha ravvisato una violazione del principio di accountability, dato che Douglas avrebbe dovuto tenere traccia dei consensi raccolti, delle informative rese agli interessati, nonché del canale di raccolta utilizzato dalle precedenti società;
- la conservazione dei dati personali dei clienti inattivi. In particolare, Douglas conservava i dati personali dei clienti delle precedenti società in stato “inattivo”. A tal proposito, la Società ha chiarito che ciò rendeva più efficiente l’eventuale emissione della fidelity card di Douglas. Dunque, il Garante ha rilevato la violazione del principio di limitazione della conservazione, considerando sproporzionata la finalità enunciata in relazione al periodo di conservazione scelto, data, tra l’altro, la notevole quantità di dati personali;
- l’incoerenza dell’informativa privacy resa ai clienti con le prassi della Società. In particolare, è stata rilevata l’incoerenza e l’incompletezza dell’informativa privacy resa agli interessati ai sensi dell’articolo 13 del GDPR, la quale enunciava un periodo di conservazione molto più breve di quello effettivamente utilizzato da Douglas;
- l’attività di Telemarketing effettuato dagli store. Nell’ambito delle attività di telemarketing, l’Autorità ha messo in luce la mancata corrispondenza tra il consenso prestato dall’interessato e il trattamento di dati personali svolto. Nello specifico, l’interessato che aveva prestato il consenso ai soli sms promozionali, nella prassi, riceveva anche telefonate e viceversa. Tale condotta è stata ritenuta lesiva, ancora una volta, del principio di accountability nonché del principio di privacy by design;
- i trattamenti di dati personali svolti tramite il blog. In particolare, a seguito della verifica del blog societario è emersa una violazione del principio di accountability. Infatti, la Società non è riuscita a dare evidenza delle finalità e dei criteri di conservazione relativi ai dati personali trattati mediante il blog. In aggiunta, il Garante ha evidenziato la mancanza di un’informativa del blog resa agli interessati, in violazione dell’articolo 13 del GDPR.
In conclusione, il provvedimento offre importanti spunti di riflessione non solo sul trattamento di dati personali per finalità di marketing e profilazione, ma anche in relazione alle verifiche che devono essere effettuate dalle società prima di procedere ad operazioni straordinarie come la fusione.