Il Garante Privacy sanziona Benetton: il contesto

La vicenda inizia con una ispezione del Nucleo Speciale Privacy della Guardia di Finanza avvenuta presso la sede del Benetton Group tra il 5 e il 7 Novembre 2019. L'attività di verifica rientrava nell'ambito dei controlli programmati che il Garante stabilisce ogni sei mesi. Scopo dell'ispezione quella di verificare la legittimità dei trattamenti dati a finalità di profilazione e marketing posti in essere dal Gruppo.

Nel Novembre 2020 il Garante ha richiesto a Benetton una serie di ulteriori specifiche rispetto alla gestione dei cookie. Alla luce delle risposte, il Garante Privacy ha disposto un secondo accesso nella sede aziendale, per ulteriori verifiche sulle attività di marketing e profilazione.

La prima contestazione al Gruppo Benetton arriva nel Settembre 2021

Alla luce delle ispezioni e delle risposte dell'azienda, il Garante Privacy avviava il procedimento amministrativo nel Settembre del 2021. In particolare il Garante contesta al gruppo:

• sul sito familycard.benetton[.]com il banner cookie non consentiva di poter deselezionare tipologie di cookie, prevedendo un "accettazione massiva". L'informativa estesa, invece, non citava tra i cookie in uso quelli di profilazione, presenti invece nel banner;
• sul sito blackcard.sisley[.]com il banner cookie rimandava ad una pagina biancaa, il link dei cookie presente nel footer non recava informativa e non c'era alcun accenno alla possibilità di rifiutare l'uso dei cookie;
• contrariamente a quanto indicato nel registro trattamenti e nell'informativa rilasciata al cliente aderente al programma fedeltà, il Garante Privacy ha verificato come nel database risultassero in trattamento dati di interessati ben oltre il limite dei due anni di conservazione. Tra i dati rinvenuti i dati personali dei clienti titolari della carta fedeltà, informazioni sugli acquisiti fin dal 2015 e perfino dati di dettaglio degli scontrini anche di soggetti che avevano negato il consenso alla profilazione;
• dal gestionale in uso al gruppo, sono state inviate email promozionali a clienti anche dopo la data di disiscrizione degli stessi dal programma fedeltà e a clienti che avevano revocato il consenso.

L'azienda rispondeva sollevando dubbi procedurali (ritardi di notifica) e comunicava l'adozione di Cookiebot per consentire agli utenti la gestione in autonomia dei consensi espressi.

Per approfondire > Tracciamento online e GDPR: Guida essenziale

La seconda contestazione al Gruppo Benetton: Marzo 2022

Dopo aver respinto la richiesta di archiviazione avanzata dalla difesa, il Garante ha contestato la violazione dei principi di minimizzazione e limitazione della conservazione. Nella seconda contestazione il garante Privacy ha infatti dettagliato le "persitenti criticità", a partire dal numero di 250.000 persone iscritte alla newsltter pur avendo disattivato il servizio.

Per saperne di più > Sanzioni Garante: 1.4 milioni di euro per le Fidelity Card e la conservazione dei dati

Il provvedimento conclusivo

Nell'ordinanza di ingiunzione il Garante commisura in 240.000 euro l'ammontare della sanzione. D'altronde, sottolinea l'Autorità, le violazioni riscontrate sono molteplici e riguardano un numero ingente di interessati.

"Dalle verifiche effettuate è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.

Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo".

si legge nel comunicato stampa del Garante.

D'altronde, sottolinea l'autorità, Benetton ha violato uno dei principi cardine del GDPR, la famosa "accountability", per le modalità con le quali ha comunicato dati personali a soggetti terzi come TikTok e Fcebook (partnert commerciali) a fini di marketing e profilazione.

Qui è consultabile il provvedimento completo del Garante per la Protezione dei Dati Personali