Home

Fidelity card: la sanzione del Garante nel caso Benetton

Fonte: Garante Privacy, provvedimento 27 aprile 2023.pdf
08 Settembre 2023

Il Garante Privacy, nel provvedimento, in esame interviene sulla corretta gestione e conservazione dei dati personali nell’ambito delle fidelity card.

Massima

Costituisce violazione della disciplina del GDPR e del d.lgs. 196/2003 il trattamento di dati personali di clienti ed ex clienti, senza adeguate misure di sicurezza, con conservazione indiscriminata di tutti i dati personali, a tempo indeterminato o comunque non rispettoso dei principi ex art. 5 GDPR.

Il caso

Il Nucleo Speciale Privacy della Guardia di Finanza ha condotto accertamenti sulla società Benetton Group S.r.l. per verificare il trattamento dei dati personali a fini di marketing e profilazione, entro il programma di monitoraggio semestrale stabilito del Garante. Nel corso dell'ispezione - svoltasi nel novembre 2019 - sono stati esaminati i documenti pertinenti ed è stato effettuato un nuovo controllo in loco sulle attività di marketing e profilazione, data la complessità dei profili giuridici e tecnici in questione.

Dai controlli sono emersi diversi profili di criticità:

  • presunte violazioni sulla gestione dei cookie su alcuni siti web della società (artt. 122 ss. d.lgs. 196/2003), inclusi i consensi e annessi cookie banner (aspetto poi archiviato dall'autorità perché nel corso dell'istruttoria l'azienda ne ha sanato la gestione);
  • presunte violazioni sulla conservazione dei dati personali (art. 5.1 lett. c) ed e) GDPR), ben oltre quanto indicavano il registro trattamenti del titolare e l'informativa ai clienti, con tempi limite di conservazione pari a 2 anni per fini di marketing e profilazione, quando sono stati trovati dati personali dei clienti e informazioni sugli acquisti a far data dal 2015 (anche per soggetti che non avevano dato il consenso alla profilazione); gli accertamenti hanno precisato che così i dati sarebbero potuti essere trattati a tempo indeterminato, sebbene durante gli accertamenti la società abbia precisato di voler fissare una retention massima di 10 anni di tali dati (pari alla conservazione imposta dalla normativa per la documentazione contrattuale societaria) e che in corso di istruttoria si siano adottare misure migliorative nella conservazione;
  • presunte violazioni della liceità del trattamento (artt. 6 e 7 GDPR), accertato che sono state inviate email promozionali sia a clienti che avevano disdetto il programma di fidelity card dell'azienda oppure che – pur ancora iscritti al programma – avevano revocato il consenso per le comunicazioni promozionali (aspetto poi archiviato dall'autorità perché nel corso dell'istruttoria l'azienda ha sanato nel CRM le cause di tale effetto);
  • presunte violazioni della dovuta sicurezza dei dati personali (art. 32 GDPR), accertato che i sistemi informatici coinvolti non implementavano misure adeguate - tra gli aspetti censurati troviamo per es. l'adozione di una password unica di accesso per tutti i dipendenti di uno store, non obbligare l'utente al cambio password (senza nemmeno consigliare di cambiarla al primo accesso), permettere l'accesso ai lavoratori da qualunque dispositivo pur con una policy che imponeva solo l'uso di strumenti forniti per le proprie mansioni, fa accedere gli utenti di uno store a tutti i dati di clienti riferiti a store di altri Paesi europei, la mancanza di audit indipendenti (altresì per testare e verificare periodicamente l'efficacia delle misure tecniche ed organizzative);
  • presunte violazioni quanto alla inadeguata accountability nella condivisione dei dati con partner terzi (artt. 5.2 e 24 GDPR): la titolare ha menzionato TikTok e Facebook come partner per il marketing e la profilazione dei dati (aspetto poi archiviato dall'autorità perché l'azienda ha chiarito come non avvenissero in tal caso condivisioni di dati personali).

La questione

Le questioni emerse (salvo quelle dette come archiviate) sono le seguenti: (a) è lecito conservare i dati personali di clienti ed ex-clienti partecipanti a un programma di fidelity card per un tempo indeterminato e comunque superiore a quello indicato in informativa e nel registro dei trattamenti? (b) è adeguata ed efficace una conservazione e trattamento dei dati priva di svariate, idonee misure di sicurezza?

Le soluzioni giuridiche

Punto a): l'autorità ha acclarato la violazione, nel caso concreto, del principio di finalità e quello connesso di minimizzazione, stante la conservazione di dati personali senza argini temporali. Oltre a superare la durata dichiarata in informativa, è stato comunque accertato che non si potesse sempre invocare il fine di conservazione documentale: anzitutto per la violazione della minimizzazione dovuta (i dati conservati erano estremamente ricchi di dettagli, specie su gusti e preferenze degli utenti, ben oltre quanto necessario per fini contrattuali-amministrativi) e poi, in ogni caso, per aver dichiarato in informativa la ben diversa durata di 12/24 mesi. Ricordiamo che tali metriche per la conservazione dei dati richiamano quelle di un noto provvedimento del Garante pre-GDPR, “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” (provv. 24 febbraio 2005 [doc web 1103045]) che forniva un parametro di conservazione generale dei dati per fini di marketing (pari a massimo 24 mesi) e di profilazione a fini di marketing (pari massimo a 12 mesi), superabile quanto a tempistiche con una valutazione motivata di impatto che doveva essere sottoposta al Garante (ex art. 17 vecchio Codice privacy – c.d. prior checking, ex multis v. “Conservazione dei dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Tod's S.p.A.”, provv. 7 novembre 2013 [doc web 2920245], che ammetteva fino a 10 anni di retention).

È anche vero che - post-GDPR - il Garante in più provvedimenti ha sancito come oggi il regime di accountability permetta autonomamente di valutare l'adeguatezza delle tempistiche, pur slegate da indicazioni come quelle del passato provvedimento sulle Fidality Card (per es. “Verifica preliminare. Trattamento dei dati personali riferiti propria clientela per finalità di profilazione e marketing”, provv. 16 maggio 2018 [doc web 8998339] – ove si legge che “a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all'art. 24, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell'art. 36 del Regolamento medesimo”). Sulla censura a tempistiche di conservazione dei dati non conformi a informative e registri, v. invece l'esempio del provvedimento verso Foodinho s.r.l. del 10 giugno 2021 [doc web 9675440].

Punto b): l'autorità ha stigmatizzato la concretizzazione dell'accountability, operata dalla titolare, sui sistemi IT coinvolti nel caso. Secondo l'autorità, pur potendo liberamente determinare sulla base della propria responsabilizzazione le misure connesse al rischio, il titolare deve comunque rispettare l'adeguatezza delle stesse. Come? Contestualizzandole ex art. 32.2 GDPR: si devono soppesare (i) lo stato dell'arte, (ii) i costi di attuazione, (iii) la natura, l'oggetto, il contesto e le finalità del trattamento, (iv) il rischio (in particolare, anche dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale) di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, (v) la capacità di assicurare su base permanente la riservatezza dei dati. Nel caso Benetton è poi mancata una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (ex art. 32.1 lett. d) GDPR), procedura che avrebbe potuto rivelare l'inadeguatezza dell'assetto corrente.

Ad aggravare il caso, sia la notevole quantità di dati coinvolti (di fin troppo libero e facile accesso interno) che la varietà di dettagli personali presenti (di grande utilità e appetibilità sul mercato). Questi due fattori hanno elevato il pericoloso rischio - potenziale - di una violazione e, dunque, di conseguente danno per gli interessati. Rischio che si può stimare particolarmente elevato, in base a tali fattori, sia quanto a impatto (per es. vedi le conseguenze dall'uso illecito di dati così dettagliati) che quanto a probabilità (per es. vedi le misure insufficienti circa la protezione degli accessi) nella lesione dei diritti e delle libertà dei clienti interessati. Il fatto che nel caso Benetton non sia avvenuta - in concreto - una violazione, un personal data breach, non rileva per l'autorità, poiché la normativa la chiama a ravvisare e sanzionare una condotta che si presenti già come mero illecito di pericolo, non solo di acclarato danno.

Alla luce di questi due punti, il Garante ha dichiarato l'illiceità del trattamento, per poi ingiungere alla società titolare, con varie tempistiche:

(i) di cancellare o anonimizzare i dati - degli ex clienti, dunque privi di un rapporto contrattuale in corso - risalenti a un periodo maggiore di 10 anni (salvo sia già in corso una controversia giudiziale o stragiudiziale); si confronti il provv. avverso Douglas Italia S.p.A. 20 ottobre 2022 [doc web 9825667], proprio con analoga ingiunzione per la gestione dei dati delle fidelity card;

(ii) adottare soluzioni organizzative e tecniche idonee per la conservazione dei dati di clienti ed ex clienti nel rispetto dei principi dell'art. 5 GDPR (soprattutto di finalità, minimizzazione, limitazione della conservazione);

(iii) adottare soluzioni organizzative e tecniche per assicurare una idonea gestione dei dati dei clienti, da parte del personale degli store, nel rispetto della sicurezza dovuta ex art. 32 GDPR, che vadano a colmare le lacune evidenziate sopra (accessi generici e privi di autenticazione qualificata, ecc.) e scongiurare a sufficienza i rischi annessi; in senso analogo e per un confronto, si veda il provvedimento sanzionatorio del Garante nei confronti di Deliveroo Italy s.r.l. (provv. 22 luglio 2021 [doc web 9685994]), in particolare quanto ad accessi qualificati degli autorizzati.

Infine, si segnala che l'autorità Garante ha altresì archiviato alcune delle criticità emerse in prima battuta (perché corrette in itinere), le altre citate sono invece state valutate complessivamente gravi - sì da giustificare una sanzione pecuniaria da 240.000 euro, oltre a imporre la pubblicazione del provvedimento e ingiungere misure rimediali (da verificare in seguito circa l'adozione).

Osservazioni

La pronuncia dell'autorità ricuce assieme statuizioni di casi precedenti, menzionati sopra, confermando una certa solidità e coerenza applicativa da parte dell'autorità stessa (si veda soprattutto il simile caso Douglas in tema fidelity card, sopra rammentato, del 2022).

Quanto alla conservazione dei dati, viene confermato anzitutto che un rapporto contrattuale, per quanto concluso (si tratta di ex clienti), può giustificare una conservazione per massimo di ulteriori 10 anni dei dati contrattuali (e solo di quelli, al netto di dati ultronei utili, invece, per fini di marketing). In ossequio alla normativa che ne impone la conservazione stessa (sebbene il Garante non la richiami espressamente, potrebbe essere ipotizzabile l'invocazione dell'art. 2220 c.c. sulla conservazione delle scritture contabili e della corrispondenza) e non già per fini, appunto, di solo potenziale tutela di un diritto controverso (e relativi tempi di prescrizione), ammissibile per il Garante solo nel caso di controversia effettiva e in corso, la quale ovviamente porterà la conservazione dei dati alle tempistiche dettate dalle autorità e dai pubblici poteri coinvolti, con annessi procedimenti.

Nonostante il Garante, in ossequio all'accountability come intesa ai sensi del GDPR, rispetto al suo precedente provvedimento del 2005 sulle fidelity card, lasci oggi libertà ai titolari nel determinare i tempi di conservazione, non può esimersi dal richiamare sempre la stella polare dei principi fondamentali, comunque improntati alla minimizzazione e limitazione della conservazione. Ecco perché ha redarguito dall'indeterminatezza nella conservazione, dovendosi operare sempre e comunque una valutazione sulle ragioni e la proporzionalità di specifiche, ragionate scadenze (che dovrebbero comunque ben motivare l'allungamento dei tempi rispetto a quanto dettato dal Garante nel 2005). Oltre a doversi differenziare la granularità dei dati conservati in base alle finalità (vedi quanto detto sulla superfluità dei dati di profilazione per fini documentali e legali).

Riferimenti:

- G. Vaciago (a cura di), GDPR e marketing, Giuffrè Francis Lefebvre, 2022

- F. Bassa, M. Perego, Privacy e marketing, Milano, 2022.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.