di Avv. Giuseppe Croari – Dott.ssa Rebecca Princi

L’importanza di una gestione a norma di legge degli strumenti di e-commerce e di marketing online dovrebbe ormai essere chiara ad ogni operatore del settore.

Noi, di certo, ne abbiamo parlato in più occasioni: qui puoi trovare una panoramica del regime delle pubblicità sui siti web, qui gli ultimi aggiornamenti riguardanti la sorte dei flussi di dati tra Unione Europea e Stati Uniti.

Per chi avesse ancora dubbi circa l’assoluta centralità della tematica, parleremo oggi di un recente caso che ha coinvolto un importante attore del settore beauty: il Gruppo Douglas.

Il caso

Nel novembre 2020, una Cliente delle profumerie Douglas ha presentato un reclamo al Garante per la protezione dei dati personali, con il quale lamentava il mancato riscontro della Società a un proprio atto di esercizio dei diritti garantiti dal GDPR – Regolamento Europeo per la Protezione dei dati personali.

Infatti, la normativa europea in materia riconosce ai soggetti interessati dal trattamento la facoltà di esercitare alcuni diritti (es. di accesso ai dati, cancellazione, opposizione al trattamento), ai quali il titolare del trattamento ha, in linea di massima, il dovere di dare seguito entro 30 giorni.

Alla luce del mancato adempimento di Douglas, dunque, la Signora ha deciso di rivolgersi al Garante: partendo da questo reclamo, l’Autorità ha avviato un esame estremamente approfondito delle modalità di gestione dei dati della Società che ha condotto anche alla rilevazione di numerose criticità.

Le irregolarità rilevate
Le principali criticità rilevate dal Garante hanno riguardato:

  • la raccolta dei dati mediante l’app aziendale;
  • la conservazione dei dati dei clienti che non hanno rinnovato la fidelity card;
  • l’informativa sulla privacy resa ai clienti;
  • il telemarketing effettuato dagli store;
  • i trattamenti di dati effettuati mediante blog.

Non potendo affrontare tutti i temi in questa sede, commenteremo brevemente solo quelli più suscettibili di rientrare nella casistica di violazioni più comuni.

Le problematiche nell’impostazione della app

L’applicazione, secondo il Garante, non consentiva all’utente di esprimere un consenso realmente libero e informato al trattamento dei dati, in quanto:

  • da un lato, i testi “legal” (privacy policy, cookie policy, condizioni generale di vendita, impostazioni cookie) erano contenuti tutti in un’unica pagina web, non soddisfacendo, di conseguenza, un adeguato standard di accessibilità e trasparenza;
  • dall’altro, l’app non risultava conforme alla normativa vigente neppure dal punto di vista della gestione dei cookies.

Questa la conclusione del Garante:

Al riguardo, risulta necessario anche ingiungere alla Società di modificare l’impostazione dell’app Douglas, garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies – e dei rispettivi consensi – rispetto ai termini contrattuali e, con particolare riferimento alle due citate informative, indicando solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.

Anche il contenuto dell’informativa è stato oggetto di una censura che dovrebbe fungere da monito per tutti coloro che operano nel web: oltre all’accessibilità e alla chiarezza della Privacy policy, è fondamentale anche la sua effettiva corrispondenza alle pratiche aziendali. Eventuali discrasie fra la prassi e le informazioni contenute nell’informativa espongono al rischio di sanzioni, tanto quanto un’eventuale assenza della stessa.

I tempi di conservazione dei dati

Un ulteriore elemento di particolare interesse è quello dei tempi di conservazione dei dati raccolti. Il Garante ha rilevato una violazione della normativa vigente nelle modalità di conservazione, da parte di Douglas, di dati di clienti che non avevano provveduto al rinnovo della Fidelity card:

la Società dovrebbe […] provvedere ad una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti […]. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall’interessato, nell’esercizio della propria accountability.

Conclusioni

In questo caso, pur avendo ritenuto opportuna la comminazione delle sanzioni previste dal GDPR, il Garante ha tenuto conto dei numerosi comportamenti propositivi della Società, che hanno concorso ad attenuare la valutazione di gravità delle condotte sanzionate: ad esempio,

  • la sporadicità di alcune violazioni;
  • le misure prospettate per la soluzione dei problemi;
  • la costante e trasparente collaborazione;
  • la situazione di emergenza pandemica in cui si è collocato l’accertamento dell’Autorità.

Perciò, la sanzione comminata è stata pari allo 0,4% del fatturato mondiale totale annuo della società, per un ammontare di 1.400.000,00 €. Ricordiamo che, altrimenti, le sanzioni potrebbero arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato.

Articoli correlatiDi più dello stesso autore