Profilazione e fidelity card, ignorare le richieste di esercizio dei diritti privacy degli interessati costa caro

Condividi questo articolo

La Rinascente S.p.A. è stata sanzionata per 300 mila euro dal Garante privacy per aver trattato illecitamente i dati dei clienti in attività di marketing e profilazione condotte mediante le carte fedeltà. Un monito per i titolari del trattamento a prestare attenzione alle richieste di esercizio dei diritti degli interessati

Pubblicato il 19 Lug 2023

B

Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Il Garante privacy ha sanzionato per 300 mila euro la Rinascente S.p.A. per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle carte di fedeltà.

Di per sé stesse le motivazioni della sanzione non sono eclatanti o innovative.

L’azienda è stata sanzionata per alcune irregolarità in merito al rispetto della normativa privacy che sono emerse nel corso della visita ispettiva messa in atto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza.

Indice degli argomenti

Sanzione alla Rinascente: l’attività ispettiva del Garante privacy

Al riguardo, il provvedimento pubblicato dal Garante privacy riporta, fra gli esiti della visita ispettiva:

Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla fidelity card denominata “friendcard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana.

WHITEPAPER

Cyber minacce e incidenti informatici: attiva la tua resilienza in 10 step

Cybersecurity

Security Risk Management

Inizio modulo

Leggi l'informativa sulla privacy

  • Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)

Fine modulo

Riguardo, infine, all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR.

Gestione delle richieste di esercizio dei diritti degli interessati

L’aspetto interessante della vicenda non è, però, quanto qui riportato; infatti, la sopra citata visita ispettiva è scaturita dalla segnalazione di una cliente, per una vicenda che riguardava la sua fidelity card (i dettagli sono reperibili sempre nel testo della notizia riportata dall’Autorità Garante).

La normativa italiana, infatti, a integrazione di quanto previsto dal GDPR agli articoli:

  1. articolo 77 – Diritto di proporre reclamo all’autorità di controllo;
  2. articolo 79 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento;

prevede la possibilità di effettuare anche una più semplice segnalazione, ai sensi dell’art. 144 del Codice in materia di protezione dei dati personali.

I titolari del trattamento troppo spesso sottovalutano la presenza di tali strumenti, che la normativa privacy riconosce agli interessati (i soggetti di cui i titolari del trattamento trattano i dati), ma anche ad altri soggetti dei quali gli stessi titolari del trattamento non trattano i dati.

Se, infatti, gli articoli 77 e 79 sono specificatamente rivolti agli interessati, l’articolo 144 prevede che chiunque possa effettuare una segnalazione:

Art. 144 (Segnalazioni)

1. Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento.

2. I provvedimenti del Garante di cui all’articolo 58 del Regolamento possono essere adottati anche d’ufficio.

Di analogo tenore anche l’art. 82 del GDPR, ancor più impattante per i titolari del trattamento, in quanto prevede che chiunque, e non solo gli interessati, possano richiedere un risarcimento se subisce un danno in conseguenza di una violazione del Regolamento:

Articolo 82 – Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Ancor più interessante, sempre con riferimento all’art. 82, il fatto che il testo originale del Regolamento individua tali soggetti con la dizione “any person” e non “any natural person”, lasciando presupporre che anche soggetti diversi dalle persone fisiche possano richiedere un risarcimento danni.

Quindi, il titolare del trattamento dovrebbe prestare la massima attenzione, in particolare verso eventi particolari, quali potrebbero essere una richiesta di esercizio dei diritti che, se non soddisfatta, potrebbe portare ad una delle azioni sopra citate e ad una conseguente possibile visita ispettiva.

Quale lezione per i titolari del trattamento

Sempre con riferimento all’esercizio dei diritti degli interessati ricordo come circa un anno fa, in un precedente articolo, davo evidenza, commentando una reale vicenda legata a tale fattispecie:

  1. da un lato, della scarsa sensibilità da parte dei Titolari nel presidiare questa fondamentale parte della normativa privacy e delle possibili relative conseguenze;
  2. dall’altro, del bassissimo livello di competenza di quanti avevano commentato, su blog o con articoli, questa insolita richiesta massiva (la richiesta era stata rivolta a moltissimi Titolari di trattamento) di esercizio dei diritti effettuata da un solo interessato.

Attenzione, quindi, in particolare nella relazione con un interessato, ad adottare comportamenti in linea con i requisiti della normativa, che ovviamente devono essere noti ed acquisiti da parte di tutti coloro che in azienda, trattano dati personali.

WHITEPAPER

Finanza Digitale: proteggiti dagli hacker (e dalle sanzioni) con il DORA

Contract Management

Privacy/Compliance

Inizio modulo

Leggi l'informativa sulla privacy

Email

  • Acconsento alla comunicazione dei dati a terzi appartenenti alle seguenti categorie merceologiche: energy, servizi - tra cui ICT e digitali -, consulenza, manifatturiero, commercio, Pubblica Amministrazione, per loro finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nella informativa)

Fine modulo

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo