Dati dei clienti conservati per anni: società multata
Fatale l’avere tenuto i dati di quasi tre milioni e trecentomila clienti, e, una volta acquisiti i dati di aziende incorporate, averli lasciati per lungo tempo inerti, senza richiedere alcun consenso al trattamento per le proprie attività
Multa salata per una catena di profumerie – la Douglas Italia spa – che grazie alla ‘fidelity card’ e alla ‘app Douglas’ ha conservato per molti anni i dati personali di milioni di clienti. Il Garante per la protezione dei dati personali ha sancito che la società dovrà pagare una sanzione di 1.400.000 euro per avere violato la normativa in materia di protezione dei dati e poi dovrà adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione. Più precisamente, la società dovrà innanzitutto modificare l’impostazione della ‘app Douglas’, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. E ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione). Secondo quanto accertato, invece, la società conservava i dati di quasi tre milioni e trecentomila clienti, e, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo inerti e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività. Proprio per questo, ora Douglas Italia dovrà cancellare i dati risalenti a più di dieci anni e cancellare oppure pseudonimizzare quelli più recenti. Nel caso decida di pseudonimizzarli, la società, precisa il Garante, dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della ‘fidelity card’, entro sei mesi i loro dati saranno cancellati. In sede di rinnovo, infine, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati. (Ordinanza del 20 ottobre 2022 del Garante per la protezione dei dati personali)