Tutto a inizio da un consumatore arrabbiato. A seguito di una discussione con una commessa, quest’ultima aveva annullato la fidelity card erogata anni prima, e gliene aveva attivata una nuova, non richiesta, cambiando il suo nome e cognome in “Donzella Svampita”. La cliente ricevendo le notifiche di queste attività, invia una contestazione al Garante, lamentando che, per introdurre la nuova intestazione e per di più oltraggiosa, era stato effettuato un accesso al suo profilo non richiesto.
Ne è conseguito un accertamento ispettivo presso la sede dell’azienda condotto dal Nucleo Speciale Privacy della Guardia di Finanza. Il caso scatenante, però, non ha avuto conseguenze per La Rinascente, ma in sede di ispezioni molti altre non conformità alla normativa sono stati trovati rispetto al trattamento dati per profanazione e marketing.
In particolare, le attività del titolari non conformi sono state le seguenti.
- Nell’informativa privacy delle fidelity card non erano stati indicati i tempi esatti di conservazione dei dati per finalità di marketing e profilazione.
- Il periodo di retention di 7 anni per la conservazione dei dati personali per finalità di marketing utilizzato fattivamente dalla società non è stato ritenuto congruo rispetto alla sua attività commerciale specifica.
Nel dettaglio, il periodo di 7 anni che era stato usato in precedenza da società del comparto lusso (come Bulgari o Ferragamo) citato come riferimento dalla Rinascente per la determinazione di tale periodo di data retention, non è stato ritenuto applicabile per La Rinascente, per la tipologia di prodotti posti in vendita dalla stessa. - Non era stata fatta un’adeguata previa valutazione di impatto sui trattamenti di profilazione.
- Nell’e-commerce è stato riscontrato che era presente un unico consenso (quindi per l’utente un’unica manifestazione di volontà) sia per l’accettazione dei termini e condizioni di vendita che di presa visione dell’informativa privacy.