Con un’ordinanza ingiunzione il Garante per la protezione dei dati personali ha sanzionato la società Benetton per aver violato alcuni principi fondamentali del GDPR in tema di conservazione dei dati, di minimizzazione e di misure di sicurezza tecniche e organizzative.
Il Garante per la protezione dei dati personali (“Garante”) ha sanzionato la società Benetton per alcune violazioni in merito alla normativa privacy. Durante l’attività ispettiva, iniziata nel 2019, venivano riscontrate alcune irregolarità sui siti web e nella gestione dei dati dei clienti, sia per finalità di fidelity card che promozionali.
In sede di successiva ispezione, per la verifica dell’implementazione di ulteriori misure di sicurezza e della correzione delle violazioni contestate, il Garante ha contestato ulteriori circostanze, relative alla conservazione dei dati dei clienti a tempo indeterminato nonché alla carenza di misure di sicurezza relative ai programmi fidelity e alla piattaforma in dotazione ai negozi retail.
Dopo aver esaminato le memorie difensive della società, il Garante ha ritenuto di archiviare alcune delle contestazioni (come quelle sui siti web che quelle relative alla gestione dei consensi a scopi promozionali). Tuttavia, sono state confermate le seguenti violazioni:
(i) la conservazione dei dati di clienti o di ex clienti a tempo indeterminato. Non accettabile, inoltre, è stata ritenuta la proposta della società di mantenerli per 10 anni, anche a fronte dell’orientamento del Garante in tema di Fidelity Card;
(ii) la mancanza di misure di sicurezza adeguate nella gestione della piattaforma nei negozi. Infatti, il sistema prevede un account unico per tutto il negozio, senza necessità di cambio password. Inoltre, è accessibile anche da web e quindi da qualsiasi dispositivo. Infine, non c’era alcun controllo in merito a chi poteva accedere tra i dipendenti;
(iii) in aggiunta, questa circostanza comporta anche la violazione dell’obbligo, per il titolare del trattamento, di avere una procedura in grado di testare e verificare le misure di sicurezza adottate per garantire la sicurezza del trattamento.
Il Garante ha anche evidenziato l’aggravante costituita dalla mole imponente dei dati coinvolti (ogni store poteva accedere ai dati di tutto il mondo) nonché la varietà di dettagli personali acquisiti con le fidelity card, utilizzati a scopo di profilazione.
In conclusione, quindi, il Garante ha emesso una sanzione di 240.000 euro, intimando altresì alla società:
– di cancellare o anonimizzare i dati di ex clienti più vecchi di 10 anni, salvo la presenza di una controversia in corso;
– di adottare idonee soluzioni tecniche e organizzate per garantire che la conservazione dei dati avvenga nel rispetto dei principi del GDPR, con particolare riferimento alla minimizzazione e alla limitazione della conservazione, nonché della sicurezza e salvaguardia dei dati.
Infine, come da prassi, il Garante ha disposto la pubblicazione del provvedimento sui propri canali istituzionali.
Questa sanzione dimostra ancora una volta come spesso si tendano a sottovalutare quelle che sono le procedure interne e i sistemi di controllo e monitoraggio del rispetto della normativa e dell’operato di dipendenti e fornitori, a favore di una compliance più rivolta ad un mero aggiornamento documentale.
Al contrario, il pieno rispetto della normativa e la salvaguardia dei dati personali non possono che passare da procedure robuste e ben delineate, che possano assicurare il controllo, la gestione e il corretto svolgimento di tutte le attività di trattamento dei dati.
DISCLAIMER: Questa newsletter fornisce solo informazioni generali e non costituisce una consulenza legale da parte di Macchi di Cellere Gangemi. L’autore dell’articolo o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.