Il Provvedimento emanato il 20 ottobre 2022 dall’Autorità Garante Privacy nei confronti della società Douglas Italia S.p.A. ha ribadito molti concetti importanti in ambito di trattamento di dati personali per finalità commerciali, consenso e modalità di raccolta.
- Origine del provvedimento Douglas Italia S.p.A.
- Le violazioni contestate dall’Autorità Garante e l’importo sanzionato
- M&A: i dati personali sono un asset aziendale
- Consenso omnibus: ennesima bocciatura
- Ogni sezione del sito web può costituire un canale di raccolta dati
1. Origini del provvedimento Douglas Italia S.p.A.
L’ordinanza di ingiunzione, emanata dall’ Autorità Garante Privacy il 20 ottobre 2022, è la conclusione di un’ispezione condotta dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza.
Da dove origina questa ispezione?
L’atto d’impulso all’attività di indagine deriva da un reclamo proposto da un interessato, ovvero da un soggetto che, inizialmente, aveva esercitato uno dei diritti sanciti dagli artt. 15 – 22 del G.D.P.R., ma non avendo ricevuto risposta dal Titolare del Trattamento (Douglas Italia S.p.A.), ha deciso di proporre reclamo all’Autorità Garante.
Dunque, si può immaginare che il reclamante abbia in un primo momento richiesto a Douglas Italia S.p.A. la cancellazione dei propri dati o la revoca del consenso precedentemente prestato, in quanto non più interessata a ricevere offerte commerciali (mezzo mail, sms o telemarketing), ma la sua richiesta non abbia avuto risposta dal Titolare del trattamento.
Per questa ragione, la reclamante si è rivolta all’Autorità Garante esercitando i propri diritti attraverso lo strumento del reclamo ex art. 77 del G.D.P.R. e gli artt. 140-bis e ss. del Codice Privacy.
Credi che proporre un reclamo all’ Autorità Garante privacy sia così complesso?
Chiunque ne abbia interesse può proporre reclamo all’Autorità Garante, o personalmente o attraverso un legale di fiducia.
Per proporre un reclamo è sufficiente visitare il sito web del Garante Privacy e attenersi alla procedura guidata.
Farlo è molto semplice e non impone oneri o costi particolari per il proponente.
2. Le violazioni contestate dall’Autorità Garante e l’importo sanzionato.
Il Garante Privacy ha innanzitutto richiesto alla società Douglas Italia S.p.A. spiegazioni sul mancato riscontro dell’esercizio dei diritti degli interessati ex art. 15 – 22 del G.D.P.R. e di fornire informazioni sul trattamento
Il Titolare del trattamento ha prontamente risposto che:
- Il trattamento dei dati personali avveniva sulla base giuridica delle misure contrattuali e para contrattuali dovute all’adesione dell’interessata al cd. “programma fidelity card”. In pratica i dati personali della reclamante erano stati raccolti quando la stessa si era recata in uno dei punti vendita Douglas e aveva aderito alla carta fedeltà;
- I dati personali della reclamante venivano utilizzati anche per altre finalità (marketing diretto, indiretto e profilazioni). La Società aveva espressamente richiesto il consenso libero e specifico (dimostrato anche con la produzione del documento sottoscritto dalla reclamante presso uno dei punti vendita delle profumeria Douglas);
- Non aveva ricevuto la richiesta di esercizio dei diritti dell’interessata del 3 agosto 2020, ma di aver provveduto alla cancellazione della reclamante dai data base e alla revoca di tutti i consensi il 16.02.2021, giorno in cui il Garante aveva compulsato la società con richiesta di riscontro.
Le spiegazioni fornite dal Titolare del trattamento, in ordine al mancato riscontro della richiesta di esercizio dei diritti dell’interessata, sono state valutate positivamente dal Garante Privacy. Il quale ha anche accertato che si è trattato di un “caso isolato e sporadico”.
Però, nonostante la mancata risposta all’interessata fosse in qualche modo giustificabile, l’ Authority ha ritenuto opportuno condurre ulteriori accertamenti sul Titolare del trattamento.
L’ispezione condotta è durata diversi giorni ed ha portato a contestare alla Società la violazione dell’: art. 5, par. 1. lett. b) ed e), e par. 2; art. 6; art. 7; art. 13, par. 2, lett. a); art. 24; art. 25, par. 1 del REG. EU 2016/679.
L’importo totale che il Garante Privacy ha ordinato di pagare a Douglas Italia S.p.A., a titolo di sanzione amministrativa, è pari a € 1.400.000,00.
Quali sono state le motivazioni delle singole violazioni?
L’Autorità a conclusione del proprio accertamento ha ravvisato che:
- le modalità di raccolta dei dati personali mediante l’app. Douglas, impongono all’interessato/utente al momento della registrazione di accettare tutti i trattamenti di dati personali per finalità commerciali e di profilazione mediante un’unica formula (cd. “consenso omnibus”);
- a seguito della fusione per incorporazione di altre tre società, Douglas S.p.A. ha inglobato in un unico data base le banche dati, contenenti i dati personali di clienti delle società incorporate. La Società non è stata in grado di dimostrare nè se nè come gli adempimenti dell’informativa e del consenso siano stati assolti dalle medesime società incorporate;
- il Titolare del trattamento continuava a conservare i dati personali degli interessati che avevano sottoscritto la fidelity card con le società incorporate, ma che poi non avevano rinnovato il rapporto di fedeltà con Douglas S.p.A.
- l’interessato che ha prestato il consenso ai soli sms promozionali, in realtà potrebbe ricevere anche telefonate promozionali, e viceversa;
- il blog, presente sul sito web della Società, dava la possibilità agli utenti di inserire i propri dati personali (nome ed indirizzo mail), ma di fatto questa modalità di raccolta di dati personali non era presente nella privacy policy del sito web.
3. M&A: i dati personali sono un asset aziendale
Quando si parla di M&A in gergo ci si rivolge a tutte le attività che riguardano fusioni o acquisizioni di due o più società.
Nel lungo, e spesso articolato, processo di acquisizione o fusioni non si può prescindere dall’attività di due diligence.
La due diligence ha lo scopo di investigare, scoprire e studiare i dati e le informazioni che riguardano una trattativa.
Infatti, così come è assolutamente indispensabile, durante un acquisizione o fusione, valutare il contenzioso pendente, la situazione debitoria, i rapporti con i lavoratori, i crediti vantati è di assoluta rilevanza guardare ai dati personali come un asset.
Infatti, i dati personali raccolti da una società per finalità di marketing diretto, indiretto o profilazione costituiscono un asset aziendale.
Pertanto per continuare a trarre vantaggio da una attività di data monetizing è assolutamente indispensabile “investigare, scoprire e studiare” tutto ciò che può riguardare data base aziendali durante un processo di M&A.
Nel provvedimento in esame, il danno di una mancata o non corretta due diligence non è soltanto di natura patrimoniale (ndr. “ordinanza di ingiunzione”) quanto piuttosto nel danno collegato all’obbligo di cancellare tutti i dati personali per i quali non sussiste un riscontro riguardo l’informativa ed il consenso prestato e il danno d’immagine connesso all’irrogazione della sanzione.
4. Consenso omnibus: ennesima bocciatura
Quando si svolgono attività di commercializzazione dei dati personali o di profilazione la base giuridica alla quale più spesso si ricorre è quella del consenso al trattamento dei dati personali.
Non basta però avere semplicemente una casella barrata per poter dire di aver raccolto un consenso valido.
Infatti il REG. EU 2016/679 sancisce diversi requisiti che il consenso deve avere, tra i quali: specifico e liberamente prestato.
Se l’iscrizione ad un sito web, ad una newsletter, ad un app o qualsiasi altra attività obbliga l’interessato a non poter scegliere se prestare o meno il consenso allora la base giuridica è sottoposta a condizioni e dunque non è libera.
Per quanto riguarda invece, il concetto di “specifico“, più volte il Garante Privacy ha dichiarato illegittima la prassi del cd. “consenso omnibus“.
Non sono ammessi consensi in cui l’interessato si trovi di fronte ad un’unica casella per acconsentire a diverse finalità di trattamento.
Volendo essere più specifici se un Titolare del trattamento vuole raccogliere dati personali per finalità di marketing diretto, indiretto, cessione di dati personali e profilazione, dovrà predisporre tutte caselle diverse.
Soltanto in questo modo l’utente avrà la cognizione di star acconsentendo a trattamenti per finalità diverse.
5. Ogni sezione del sito web può costituire un canale di raccolta dati
Il sito web è oggi un indispensabile strumento per acquisire lead o per fidelizzare la clientela.
Attraverso le sezione di un sito web si può concedere all’utente la possibilità di registrarsi, acquistare prodotti o servizi, richiedere informazioni, scaricare contenuti e commentare articoli.
Nel caso Douglas S.p.A. la società attraverso il proprio sito web aveva predisposto una sezione blog, attraverso la quale gli utenti potevano lasciare un commento sotto agli articoli proposti.
L’attività di pubblicazione di un commento era subordinata al conferimento del proprio nome e cognome e dell’indirizzo mail.
Di fatto, questa attività implica una raccolta di dati personali dei visitatori del sito web.
In ragione di ciò è necessario che la privacy policy del sito web contenga anche le informazioni relative a questa modalità di raccolta dei dati personali.
Il Garante Privacy, rilevata l’assenza della sezione “blog” all’interno della privacy policy del sito web di Douglas S.p.A. ha ritenuto di comminare una sanzione anche per questo motivo.
Ciò che rileva in maniera importante è che i dati personali (nomi e indirizzi mail) acquisiti mediante la sezione blog erano soltanto 77 (circa lo 0,00008% del numero totale dei dati personali del data base della Società), ma nonostante ciò il Garante ha ritenuto irrilevante la circostanza.