GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/742/01.jpg
giovedì 1 dicembre 2022
di GDPRlab.it
La catena di profumerie Douglas Italia Spa sanzionata per 1 milione e 400 euro: ha violato il GDPR. Così ha stabilito il Garante Privacy, che si è attivato a seguito di reclamo.
Una cittadina ha presentato reclamo al Garante Privacy contro Douglas Italia S.p.a, nota catena di profumerie, nel 2020. La decisione della cittadina di presentare reclamo segue alla mancata risposta di Douglas Italia ad una istanza che la stessa ha presentato all'azienda. Senza però ricevere riscontro. Da qui è scaturita la decisione di rivolgersi al Garante per valutare l'accaduto.
Di conseguenza, il Garante ha avviato un procedimento per verificare la conformità al GDPR dei trattamenti dati effettuati ai fini sia di marketing che di profilazione.
Alla richiesta di informazioni sul caso, Douglas Italia ha risposto:
Un riscontro che non ha convinto il Garante, che ha deciso di svolgere un accertamento ispettivo in sede, con il coinvolgiemento del peciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Il Garante ha potuto così ricostruire che la società detiene, nel proprio CRM, i dati di oltre 10 milioni di clienti. Tali dati provengono dall'unione in un solo database dei dati raccolti in precedenza dalle tre società la cui fusione ha dato vita a Douglas Italia. Quest'ultima è da considerarsi il titolare del trattamento dei dati.
Il primo problema riscontrato dal Garante è stato l'impossibilità da parte dell'azienda di inviare le informative fornite ai clienti dalle tre società prima della fusione. Tra Gennaio e maggio 2019 infatti i database dei clienti delle tre società sono state unite in un solo database del programma Fidelity. Ai clienti, oltre la sostituzione della Fidelity Card, è stata sottoposta nuova informativa (quella attualmente in uso) e ha così raccolto nuovi consensi, considerando non più validi i consensi precedentemente raccolti. Ma non è stata in grado di fornire al Garante le informative usate in precedenza per costruire i tre distinti database e neppure di ricostruire.
Non solo: la fusione dei database non ha previsto un meccanismo di selezione dei dati. In breve il CRM di Douglas Italia contiene i dati presenti nei database precedenti. Quindi vi sono anche i dati di clienti che non hanno aderito al nuovo programma fedeltà, ma i cui dati sono stati "traghettati" nel nuovo CRM e conservati in stato inattivo. Sul punto l'azienda si è giustificata dicendo che questi dati dei vecchi clienti (oltre 3 milioni) sono conservati per facilitare le operazioni di sostituzione della Fidelity Card e di "travaso" delle anagrafiche. Conferma invece di non svolgere attività di marketing su:
Il Garante quindi ha rilevato quindi la violazione dei principi di finalità e limitazione della conservazione (art 5 GDPR).
Il Garante ha quindi preso atto della serie di violazioni da parte dell'azienda ed ha optato per una sanzione di 1 milione e 400 mila euro. Non solo, il provvedimento prevede anche la necessità di una serie di adeguamenti. A partire dall'obbligo di cancellare i dati risalenti a più di 10 anni fa oppure pseduonimizzarli dandone pubblicità sul sito aziendale.
Per saperne di più > Sicurezza dei dati: pseudonimizzazione o anonimizzazione?
L'azienda dovrà inoltre inviare ai clienti, laddove ne detenga l'indirizzo, una email contenente l'avviso che in caso di mancato rinnovo della Fidelity Card, i dati saranno cancellati entro 6 mesi. Inoltre la gestione dei database dovrà conformarsi ai principi di finalità e minimizzazione del trattamento previsti dal GDPR. Infine, per quanto riguarda l'app Douglas, l'azienda dovrà:
Il provvedimento completo è disponibile qui
giovedì 19 dicembre 2024
Leggi tutto...giovedì 19 dicembre 2024
Leggi tutto...
CONDIVIDI QUESTA PAGINA!