Sono molteplici le segnalazioni e i reclami pervenute al Garante aventi ad oggetto trattamenti di dati svolti dalle aziende nell’ambito dei programmi di fidelizzazione in maniera non conforme alla norma .Il più clamoroso e il più recente è il caso Douglas la nota catena di Profumerie è stata infatti sanzionata dall’autorità per 1 milione e 400 mila euro. (Sul Marketing diretto v. nostro approfondimento Marketing diretto: consenso o legittimo interesse?)
Indice
Il Trattamento dei dati nei Fidelity program cosa dice la normativa
La pratica delle fidelity card e dei programmi di fidelizzazione in generale non è di certo un argomento sconosciuto; infatti, il trattamento dei dati mediante questi programmi è stato delineato dal Garante anche prima dell’entrata in vigore del GDPR vediamo gli aspetti principali:
Veniamo al Caso Douglas
L’ordinanza ingiunzione nei confronti di Douglas dell’ottobre 2022 n. 9825667 ha preso il via da un’istanza di esercizio dei diritti alla quale l’azienda non aveva dato seguito. L’autorità Garante aveva quindi intimato la Società di dare tempestivo riscontro rispetto la condotta lamentata.
Douglas alla richiesta dell’autorità ha risposto spiegando che il trattamento dei dati in esame trovava il suo fondamento giuridico nell’adesione volontaria della cliente al c.d “programma fidelity Douglas”. E che per finalità di marketing e profilazione era stati richiesti consensi liberi e specifici.
Inoltre, come previsto dalla normativa l’eventuale diniego dell’interessato alle già menzionate finalità non avrebbe precluso l’attivazione della Douglas Card e di partecipare alle iniziative correlate.
La società a suffragio della sua tesi ha successivamente prodotto il “Modulo di aggiornamento dell’autorizzazione e del consenso al trattamento dati personali per l’utilizzo della Douglas Card” sottoscritto volontariamente dalla reclamante nel 2019, il documento era stato fornito dall’azienda in occasione di un aggiornamento generale della modulistica dovuto al mutamento dell’assetto societario.
Rispetto al mancato riscontro alla richiesta della reclamante l’azienda ha dichiarato di non aver mai ricevuto la prima comunicazione e che una volta venuti a conoscenza hanno esaudito la richiesta dando prova dell’avvenuta revoca dei consensi e la contestuale cancellazione dai sistemi gestionali Douglas dei dati dell’interessata.
Il Garante ha ritenuto insufficienti le motivazioni esposte dallo società così tra novembre e dicembre 2021 ha proceduto con un approfondita ispezione.
Oggetto dell’ispezione
Gestione delle istanze di esercizio dei diritti ex art. 15-22 del Regolamento
Come abbiamo visto il procedimento nei confronti di Douglas è scaturito da un semplice reclamo, a cui l’azienda non ha prontamente risposto, così come previsto dagli artt. 15-22 del Regolamento EU 679/2016(GDPR).
Se pur vero che nel caso di specie si è trattato di un caso isolato il Garante ha colto questa occasione per ribadire l’importanza del mezzo di ricorso di cui all’art. 77 del GDPR quale fondamentale ausilio per la tutela dei diritti e delle libertà degli interessati e strumento temibile dalle organizzazioni segnalate all’Autorità, per i trattamenti non conformi al GDPR.
Raccolta dei dati mediante l’app aziendale
Il Garante esaminando l’app Douglas quale modalità di raccolta dati, ha evidenziato, un importante difetto di trasparenza nei confronti degli interessati: agli utenti veniva richiesta una dichiarazione unica (“Ok, ho capito.Acconsento”) per manifestare la comprensione di documenti aventi fini diversi: “condizioni generali di vendita”; “informativa dati personali” e “informativa dedicata ai Cookies”.
L’Autorità ha affermato che “l’elemento dell’espressione della volontà dell’interessato deve necessariamente essere correlato ad un idoneo quadro informativo sul trattamento fornito dal titolare, in difetto del quale la volontà dell’interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento”. Per tale ragione, anche a seguito della valutazione degli atti della difesa, ha confermato quanto contestato (ovvero, la violazione degli artt. 6, 7 e 12 del GDPR: condizioni di liceità del trattamento, validità del consenso , trasparenza e Linee guida sulla trasparenza).
Con riferimento poi al documento “informativa dati personali” dell’APP, l’Ufficio del Garante ha rilevato la presenza di trattamenti che non venivano posti in essere (quali la geolocalizzazione, il marketing di prossimità e l’accesso a contatti in rubrica / alla messaggistica).Ha quindi imposto alla società di modificare il documento, in quanto le informative devono indicare solo i trattamenti effettivamente svolti e le sole finalità effettivamente perseguite.
Il trattamento dei dati personali dei clienti raccolti da precedenti società fuse per incorporazione
In via preliminare, Douglas Italia S.p.A. ha rappresentato di essere soggetta all’attività di direzione e coordinamento della società capogruppo Douglas GMBH e di essersi costituita nel 2019 dalla fusione con le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa. Il principale database clienti è stato popolato mediante l’incorporamento delle relative anagrafiche clienti.
L’ufficio del Garante ha richiesto di fornire esempi di informative e consensi al marketing distinti per le tre predette società, che hanno rappresentato l’impossibilità di produrre quanto richiesto.
L’autorità ravvisa tale negligenza come una grave violazione del principio di accountability.
Come noto il principio dell’accountability prevede che il titolare del trattamento debba adottare comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione dei principi stabiliti dal regolamento (v. Considerando n. 74).
Conservazione dei dati personali dei clienti inattivi
In merito alla conservazione dati, l’Ufficio del Garante ha rilevato diverse criticità, fra cui il mancato rispetto dei “principi di finalità e limitazione della conservazione”, ai sensi dell’art. 5 del GDPR, nonché di quanto stabilito nel 2005, attraverso il provvedimento n. 1103045 a carattere generale “Fidelity Card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”. Proprio quest’ultimo provvedimento, seppure a distanza di anni, costituisce ancora il principale riferimento per garantire la conformità dei programmi di fidelizzazione, alla luce dei principi di accountability e di “responsabilità generale” introdotti dal GDPR. In particolare, Douglas conservava i dati personali dei clienti delle precedenti società in stato “inattivo”.
Il Garante ha ritenuto violato il principio di limitazione della conservazione, considerando sproporzionata la finalità enunciata in relazione al periodo di conservazione scelto, data, tra l’altro, la notevole quantità di dati personali.
Analoghe considerazioni vanno fatte in relazione ai tempi di conservazione previsti da Douglas nell’informativa resa ai propri clienti: il Garante, anche in questo caso, rileva una non conformità e ingiunge alla società di adottare misure organizzative e tecniche idonee a garantire una conservazione correttamente improntata ai citati principi di finalità e di limitazione.
In particolare, la conservazione dovrebbe essere “selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti, ancor più considerato che, in tal caso, la Società svolge con essi attività promozionale o di profilazione, e quindi non li detiene in modo inattivo”. Ciò a prescindere dalla facoltà, in capo agli interessati, di revocare, in qualunque momento, il consenso prestato al trattamento. -L’attività di Telemarketing effettuato dagli store
In sede d’ispezione, ha accertato la mancata correlazione tra il consenso prestato dall’interessato e il trattamento di dati personali svolto. Infatti, se i clienti avevano prestato il consenso ai soli sms promozionali, in realtà ricevevano anche telefonate promozionali, e viceversa.
Pur tenendo contro del carattere sporadico dell’attività in questione il Garante ha ritenuto ravvisabili i presupposti per ritenere violati gli artt. 5, par.2 e 24, nonché, in via strettamente connessa, l’art. 25, par.1, del GDPR (Privacy by design).
Il principio della c.d Privacy by design prevede che il titolare del trattamento fin dalla fase di progettazione dei trattamenti che vuole attuare, deve mettere in atto misure tecniche e organizzative adeguate in maniera da attuare in modo efficace i principi di protezione dei dati e integrare nel trattamento le garanzie necessarie al fine di soddisfare i requisiti posti dal regolamento e tutelare i diritti degli interessati.
Trattamenti di dati mediante blog
In ultimo il Garante ha verificato il funzionamento del blog della Società, attraverso il quale l’utente può lasciare un commento e compilare i campi, contrassegnati come obbligatori. Inoltre, all’interno delle pagine web era presente un’informativa che rimandava ad un’altra che non conteneva il trattamento dei dati sul blog.
Anche in questo caso il Garante ha ritenuto violati gli artt. 5, par.2 e 24, nonché dell’art. 13 del GDPR in ragione della citata mancanza di un’informativa riguardante il blog
Fidelity program privacy tips
Come abbiamo visto il trattamento di dati nel programma di fedeltà effettuato da Douglas era caratterizzato da un grave difetto di trasparenza nei confronti dei soggetti interessati e soprattutto dall’adozione di modalità e procedure di trattamento in contrasto con i principi sanciti dalla materia.
Dal cattivo esempio però si può solo imparare, quindi quali sono gli elementi da attenzionare quando introduciamo nelle nostre realtà un Fidelity program:
- Trasparenza i clienti beneficiari devono essere informati in maniera chiara ed evidente sugli scopi per i quali i loro dati personali vengono raccolti;
- Consenso quando le informazioni personali vengono usate anche per costruire profili di consumatori, per ricerche di mercato o per direct marketing, i consumatori devono esprimere, liberamente e senza sollecitazioni, il consenso su tale uso;
- Tempi di conservazione devo essere predefiniti ed essere valutati con riguardo ai principi di minimizzazione;
- Privacy by design sin dalla progettazione dei trattamenti il titolare del trattamento deve mettere in atto misure tecniche e organizzate che rispettino pedissequamente i principi in materia di protezione dei dati personali;
- Diritti dei clienti è fondamentale attivare un piano di gestione delle istanze privacy, per fornire riscontri tempestivi agli interessati ed evitare reclami e segnalazioni.