Il Garante per la protezione dei dati personali ha ammonito e sanzionato il noto marchio di profumeria DOUGLAS Italia Spa per avere illecitamente trattato i dati personali di molti suoi clienti per mezzo delle fidelity card.
Con provvedimento n. 348 del 20 ottobre 2022, infatti, la DOUGLAS spa è stata condannata a pagare una sanzione di 1 milione e 400 mila euro.
Il Garante per la protezione dei dati personali ha avviato il procedimento a seguito di una segnalazione da parte di una consumatrice.
Durante l’istruttoria, si è rilevato che l’app Douglas raccoglie dati personali e che il sistema preliminarmente presentava un unico link di adesione a più espressioni di consenso (“personalizza i tuoi cookie”, “condizioni generali di vendita”, “informativa dati personali” e “cookie policy”).
La società non è stata in grado di fornire informative e consensi al marketing distinti per le società incorporate nel 2019 (Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa) perchè non aveva traccia di tali consensi.
Douglas ha affermato che la raccolta dei dati degli interessati da parte delle tre aziende incorporate avveniva solo attraverso canale fisico, ossia presso i negozi, con la compilazione e sottoscrizione del modulo per la richiesta della fedeltà, a cui venivano allegati anche il modulo di Limoni, La Gardenia e Profumerie Douglas.
Alla luce di quanto rappresentato, l’Autorità ha ritenuto che siano stati ravvisati i presupposti per la violazione degli artt. 5, par.2 e 24, del Regolamento (principio di accountability).
I dati raccolti, inoltre, vengono conservati in stato inattivo nel CRM di Douglas allocato sui server della società capogruppo tedesca.
Considerando la notevole massa dei dati in questione e “che, per molti aspetti della protezione dei dati, Douglas Italia deve preventivamente confrontarsi con la società capogruppo tedesca, la quale di regola tende ad applicare gli standard di gruppo a tutti i paesi”, l’Ufficio ha rilevato i presupposti della violazione dei “principi di finalità e limitazione della conservazione”, 5, par. 1, lett. b) ed e), del Regolamento.
Con specifico riferimento alla conservazione dei dati comuni dei vecchi clienti inattivi Limoni e La Gardenia, le cui card risultano disattivate, la Società conserva tali dati sulla base del legittimo interesse al solo fine di favorire il rinnovo della stessa card.
Il personale ispettivo ha chiesto alla Società di produrre il dato relativo al numero dei clienti che hanno fornito il proprio recapito telefonico e di quelli che hanno accettato le comunicazioni “telemarketing”.
Douglas, nel fornire il dato quantitativo richiesto, ha precisato che le anagrafiche con il consenso all’invio di sms o alla ricezione di telefonate promozionali vengono trattate con entrambe le modalità indicate, seguono il modello stabilito ed indicato dalla capogruppo tedesca in formato standard per i vari Paesi europei dove presenti con gli store.
È stata così rilevata la mancata corrispondenza fra il modello e la concreta prassi operativa utilizzata per il marketing: in particolare, è stato accertato che, se l’interessato ha prestato il consenso ai soli sms promozionali, in realtà potrebbe ricevere anche telefonate promozionali, e viceversa.
Sono risultati ravvisabili i presupposti per ritenere violati gli artt. 5, par.2 e 24, del Regolamento (accountability) nonché, in via strettamente connessa, l’art. 25, par.1, del Regolamento (privacy by design).
Inoltre, all’esito della verifica del blog societario, è emerso un apposito link dedicato alla pagina “Beauty Stories”.
Tutte le storie riportano la dicitura “i dati personali vengono raccolti, archiviati ed utilizzati” e il link “politica sulla privacy”, rimanda all’informativa generale che tuttavia non contiene alcun riferimento ai trattamenti dei dati sul blog.
L’Autorità ha richiesto il dato quantitativo dei soggetti che hanno interagito tramite il blog aziendale, La Società ha, tuttavia, risposto di non essere in grado di fornire le informazioni richieste.
Sono emersi, di conseguenza, i presupposti della violazione degli artt. 5, par.2 e 24, nonché dell’art. 13 del Regolamento, quest’ultima, in ragione della citata mancanza di un’informativa riguardante il blog.
La società dovrà innanzitutto modificare l’impostazione dell’app Douglas, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.
Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività.
Al momento degli accertamenti ispettivi, Douglas conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.
Tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.
Douglas Italia dovrà, quindi, cancellare i dati risalenti a più di 10 anni e cancellare oppure pseudonimizzare quelli più recenti entro 30 giorni dalla ricezione del provvedimento. Nel caso decida di pseudonimizzarli, dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati.
Douglas, infine, dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo.
