La catena di profumerie Douglas Italia Spa sanzionata per 1 milione e 400 euro: ha violato il GDPR. Così ha stabilito il Garante Privacy, che si è attivato a seguito di reclamo.

Il reclamo presentato al Garante

Una cittadina ha presentato reclamo al Garante Privacy contro Douglas Italia S.p.a, nota catena di profumerie, nel 2020. La decisione della cittadina di presentare reclamo segue alla mancata risposta di Douglas Italia ad una istanza che la stessa ha presentato all'azienda. Senza però ricevere riscontro. Da qui è scaturita la decisione di rivolgersi al Garante per valutare l'accaduto.

Di conseguenza, il Garante ha avviato un procedimento per verificare la conformità al GDPR dei trattamenti dati effettuati ai fini sia di marketing che di profilazione.

L'attività istruttoria del Garante

Alla richiesta di informazioni sul caso, Douglas Italia ha risposto:

• che il trattamento dei dati della reclamante trova la sua base giuridica nel consenso che la reclamante stessa ha fornito al momento di aderire al programma Fidelty;
• di aver correttamente richiesto alla reclamante "consensi specifici e liberi" per ognuna delle diverse finalità del trattamento.;
• di aver “tempestivamente agito per l’esercizio dei diritti dell’interessata a seguito della ricezione del reclamo”. 

Un riscontro che non ha convinto il Garante, che ha deciso di svolgere un accertamento ispettivo in sede, con il coinvolgiemento del peciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Il Garante ha potuto così ricostruire che la società detiene, nel proprio CRM, i dati di oltre 10 milioni di clienti. Tali dati provengono dall'unione in un solo database dei dati raccolti in precedenza dalle tre società la cui fusione ha dato vita a Douglas Italia. Quest'ultima è da considerarsi il titolare del trattamento dei dati.

Il problema del consenso al trattamento delle società precedenti e i dati dei clienti inattivi

Il primo problema riscontrato dal Garante è stato l'impossibilità da parte dell'azienda di inviare le informative fornite ai clienti dalle tre società prima della fusione. Tra Gennaio e maggio 2019 infatti i database dei clienti delle tre società sono state unite in un solo database del programma Fidelity. Ai clienti, oltre la sostituzione della Fidelity Card, è stata sottoposta nuova informativa (quella attualmente in uso) e ha così raccolto nuovi consensi, considerando non più validi i consensi precedentemente raccolti. Ma non è stata in grado di fornire al Garante le informative usate in precedenza per costruire i tre distinti database e neppure di ricostruire.

Non solo: la fusione dei database non ha previsto un meccanismo di selezione dei dati. In breve il CRM di Douglas Italia contiene i dati presenti nei database precedenti. Quindi vi sono anche i dati di clienti che non hanno aderito al nuovo programma fedeltà, ma i cui dati sono stati "traghettati" nel nuovo CRM e conservati in stato inattivo. Sul punto l'azienda si è giustificata dicendo che questi dati dei vecchi clienti (oltre 3 milioni) sono conservati per facilitare le operazioni di sostituzione della Fidelity Card e di "travaso" delle anagrafiche. Conferma invece di non svolgere attività di marketing su:

• clienti che non hanno effettuato acquistio negli ultimi 2 anni;
• clieni che non hanno prestato specifico consenso ai trattamenti a finalità di marketing.

Il Garante quindi ha rilevato quindi la violazione dei principi di finalità e limitazione della conservazione (art 5 GDPR).

La sanzione del Garante e gli obblighi di natura tecnico - organizzativa

Il Garante ha quindi preso atto della serie di violazioni da parte dell'azienda ed ha optato per una sanzione di 1 milione e 400 mila euro. Non solo, il provvedimento prevede anche la necessità di una serie di adeguamenti. A partire dall'obbligo di cancellare i dati risalenti a più di 10 anni fa oppure pseduonimizzarli dandone pubblicità sul sito aziendale.

Per saperne di più > Sicurezza dei dati: pseudonimizzazione o anonimizzazione?

L'azienda dovrà inoltre inviare ai clienti, laddove ne detenga l'indirizzo, una email contenente l'avviso che in caso di mancato rinnovo della Fidelity Card, i dati saranno cancellati entro 6 mesi. Inoltre la gestione dei database dovrà conformarsi ai principi di finalità e minimizzazione del trattamento previsti dal GDPR. Infine, per quanto riguarda l'app Douglas, l'azienda dovrà:

• distinguere chiaramente l'informativa privacy da quella sui cookie;
• redigere testi che indichino solo i trattamenti effettivamente svolti e le loro finalità;
• consentire ai clienti di esprimere un libero e specifico consenso per diverse finalità di trattamento.

Il provvedimento completo è disponibile qui