“Donzella svampita”: la Rinascente costretta a pagare 300.000 euro per illecito trattamento dei dati personali

Alcuni giorni fa, lo store Rinascente S.p.A, centralissimo negozio di Milano, si è visto comminare una sanzione di ben 300.000 euro per un illecito impiego dei dati personali presenti nelle carte fedeltà, utilizzati per processi di marketing e profilazione. A seguito della segnalazione di una cliente, che aveva precedentemente discusso con una dipendente del negozio, l’Autorità è infatti intervenuta per ispezionare la sede. In particolare, la donna si era vista annullare la carta fedeltà emessa alcuni anni prima con la contestuale attivazione di una nuova tessera, non richiesta, intestata a “donzella svampita”. Secondo la signora, per introdurre la nuova, e oltraggiosa, fidelity card, la dipendente aveva effettuato un accesso illecito alla scheda della cliente.

Grazie alla segnalazione, gli accertamenti sono andati oltre il singolo accadimento ed hanno fatto emergere numerose non conformità. Oltre ad una inosservanza dei principi legati al trattamento dei dati personali, come integrità, riservatezza, correttezza e liceità, sono state evidenziate altre violazioni sulla normativa. Nello specifico, nell’informativa relativa alle carte fedeltà, non erano indicati i tempi di conservazione dei dati ai fini di marketing e profilazione e non era predisposta alcuna valutazione d’impatto, come prevista dalla normativa GDPR, per l’attività di e-commerce presente sul sito.

Criteri come l’elevato numero dei soggetti coinvolti, più di due milioni gli iscritti presso i negozi o online, e la capacità economica della Società sono stati fondamentali per definire l’importo della sanzione. Al contrario, l’assenza di precedenti e la tempestiva adozione di misure correttive ha mitigato un’infrazione che avrebbe potuto essere ancor più elevata. Lo store ora dovrà pagare 300mila euro di multa.

Questa settimana l’attività ispettiva del Garante ha permesso inoltre di rilevare un altro importante illecito trattamento dei dati personali. Questa volta è toccato ad Autostrade per l’Italia (ASPI), che si è vista comminare l’ingente sanzione di 1 milione di euro a seguito di una segnalazione da parte di un’associazione a tutela dei consumatori. Nello specifico, l’illecito è stato commesso nei confronti di oltre 100mila iscritti ad un’applicazione che permetteva la restituzione del costo del biglietto autostradale per eventuali ritardi. In aggiunta, è stato possibile riscontrare un’errata qualificazione dei ruoli in tema di data protection. L’Autorità ha infatti accertato che la titolarità del trattamento doveva essere individuata in capo ad Autostrade stessa e non in capo alla società che gestiva l’app, come invece erroneamente indicato nella documentazione e nell’informativa resa agli utilizzatori interessati. La scorretta individuazione delle funzioni nell’ambito del trattamento di dati personali si è ripercossa nella scorretta formulazione dell’informativa destinata agli utenti e pertanto in un ulteriore profilo di illecito sanzionabile ai sensi della normativa di riferimento.

In conclusione, le recenti sanzioni comminate dal Garante Privacy evidenziano la crescente attenzione delle autorità verso il trattamento dei dati personali e il rispetto delle normative vigenti, costituendo un monito per le aziende, qualunque sia la loro grandezza.

Entrambi i casi dimostrano come l’ispezione sia partita da casi concreti, da una singola specifica violazione percepita da un interessato, o da un gruppo di interessati, che si è tramutata in una segnalazione individuale. Questa “scintilla” è di per sé sufficiente ad attivare tutti i processi ispettivi in capo all’autorità garante che con la propria attività istruttoria compie un’analisi più approfondita dei soggetti attenzionati, analizzando ogni eventuale profilo di irregolarità rispetto al regolamento, anche non direttamente attinente alla violazione segnalata. Questi episodi mettono in luce come sia fondamentale rispettare tutti i principi legati al trattamento dei dati personali, come integrità, riservatezza, correttezza e liceità, e fornire chiare e complete informazioni agli utenti riguardo alle finalità e ai tempi di conservazione dei dati, al fine di evitare che dalla singola segnalazione di un potenziale illecito trattamento emergano non conformità più gravi e strutturali.

Fonti: Federprivacy, Garante per la protezione dei dati personali