Fidelity card: il Garante privacy emette una sanzione di € 1,4 milioni nei confronti di una nota catena di profumerie

Il 20 ottobre 2022, il Garante privacy ha emesso una sanzione di 1,4 milioni di euro per molteplici violazioni relative a fidelity card nei confronti di una nota catena di profumerie. 

Il Garante ha avviato un’indagine nei confronti della società a causa di un reclamo ricevuto da un’interessata, che lamentava di non aver ottenuto riscontro ad una richiesta di esercizio dei diritti, rivolta alla catena di profumerie nell’agosto 2020. Il Garante ha chiesto alla società informazioni per istruire il reclamo e, avendo ritenuto insufficiente il riscontro ricevuto, ha svolto un accertamento ispettivo presso la sede della società.

In virtù delle informazioni acquisite, il Garante ha contestato alla catena di profumerie una serie di condotte commesse in violazione del GDPR in relazione alla gestione della propria fidelity card fra cui, in particolare, che:

• l’app gestita dalla società non garantisse una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies – inclusi i relativi consensi – rispetto ai termini contrattuali;
• l’informativa privacy menzionasse trattamenti che la società ha dichiarato di non svolgere e finalità in realtà non perseguite (i.e. attività di geolocalizzazione, marketing di prossimità e accesso ai contatti in rubrica o messaggistica);
• i dati dei contatti fossero conservati oltre il termine di conservazione. La società aveva raccolto nel proprio database anche contatti originati dalle fidelity card di due società con cui era stata incorporata che manteneva in modalità “inattiva” senza svolgere attività di marketing a loro beneficio, ma senza che questi individui avessero aderito alla fidelity card della società incorporante o fossero stati cancellati; e
• non fossero state adottate idonee soluzioni organizzative e tecniche, per assicurare che la conservazione dei dati della clientela e la raccolta dei consensi avvenissero nel rispetto del GDPR tramite ad esempio degli script e procedure per i negozi.

Questa decisione è di rilievo perché solleva una serie di questioni di riflessione:

1. il reclamo era originato da una richiesta di esercizio dei diritti da parte di un cliente, a cui era seguita una ispezione del Garante. Questo dimostra come sia fondamentale per le aziende adottare delle procedure dettagliate per la raccolta e la gestione delle richieste degli interessati tramite tutti i propri canali e la rete di negozi. Si tratta di un obbligo decisamente oneroso e purtroppo alcuni individui stanno abusando di questi diritti per semplicemente danneggiare le imprese. Si spera che i garanti europei prenderanno una posizione che individuerà un adeguato bilanciamento tra gli interessi delle parti. Tuttavia, nel frattempo, è importante che le aziende abbiamo procedure rafforzate di gestione delle richieste degli interessati;
2. il Garante ha chiesto alla società sanzionata di dimostrare la corretta acquisizione e validità dei consensi acquisiti dalle società incorporate, il che solleva un problema rilevante per tutte le operazioni di fusione, acquisizione o cessione di rami d’azienda che comportano l’acquisizione di banche dati. In tale contesto, il Garante ha ordinato alla società di (i) cancellare tutti i dati personali dei clienti risalenti ad un periodo maggiore di 10 anni (salvi i casi in cui sia in corso una controversia giudiziaria od extra-giudiziaria) e (ii) cancellare o pseudonimizzare i dati personali dei clienti delle società incorporate risalenti ad un periodo massimo di 10 anni, avvisandoli – nel caso in cui i dati fossero stati solo pseudonimizzati – della possibilità di rinnovare la loro card entro 6 mesi, per poi procedere con la definitiva cancellazione. Questa procedura è alquanto interessante e potrebbe diventare una best practice da seguire in tutte le operazioni societarie;
3. il termine di conservazione indicato nell’informativa privacy è stato contestato dal Garante. In particolare, la società aveva adottato un termine di conservazione secondo cui i dati sarebbero stati conservati fino alla revoca del consenso da parte degli interessati che è stato considerato inadeguato dal Garante che ha quindi contesto anche la mancata indicazione del termine di conservazione nell’informativa che quindi era incompleta. Il Garante ha richiamato il proprio provvedimento del 2005 sul termine di conservazione delle fidelity card. A nostro giudizio, questo termine di conservazione può essere esteso nel caso in cui la società operi in un settore dove c’è una limitata frequenza di acquisti, ma la maggiore lunghezza del termine di conservazione va giustificata alla luce del principio di accountability; e
4. l’informativa privacy è stata considerata poco trasparente dal Garante perché non c’era una chiara distinzione tra informativa privacy, cookie policy e termini contrattuali. Su questo aspetto, nell’ordinanza ingiunzione ci sono vari riferimenti a rinvii della società alle indicazioni della capogruppo straniera che doveva garantire una coerenza nei documenti all’interno delle diverse giurisdizioni. Si tratta di un rilievo che sentiamo spesso da parte dei nostri clienti. Tuttavia, il Garante non ha ritenuto la difesa di rilievo, ritenendo che ogni azienda deve garantire la propria conformità con la normativa privacy applicabile.

Sulla base del ragionamento sopra indicato per le molteplici violazioni relative alla gestione dei dati personali collegati alla fidelity card, il Garante ha emesso una sanzione privacy di € 1,4 milioni pari allo 0.4% del fatturato della società. Sembra una coincidenza e il Garante non fornisce chiare indicazioni al riguardo, ma tutte le sanzioni elevate emesse ai sensi del GDPR in Italia hanno come base di calcolo un importo tra lo 0,2% e lo 0,4% del fatturato. Questa percentuale può essere quindi considerata come un valido punto di riferimento per il calcolo del rischio di sanzione.

Lascia abbastanza perplessi che il Garante privacy non abbia richiamato in alcun modo nella contestazione relativa al trattamento dei dati personali collegati alla fidelity card le linee guida del EDPB sul calcolo della sanzione ai sensi del GDPR su cui potete leggere il seguente articolo “Le linee guida dell’EDPB sul calcolo della sanzione ai sensi del GDPR rivelano aree grigie e incertezze”.