Il Garante Privacy ammonisce la celebre catena di profumi Douglas
Con la recente ordinanza n. 348 del 20 ottobre 2022, il Garante per la Protezione dei Dati Personali (“Garante”) si è espresso sulle politiche di raccolta e trattamento dei dati per finalità di marketing e profilazione di Douglas Italia S.p.a. (“Douglas”), celebre catena di profumi e cosmetici.
La decisione arriva al termine di una complessa attività istruttoria avviata nei confronti della società italiana, su reclamo di una cliente che lamentava di non aver ricevuto risposta a una richiesta di esercizio dei diritti. Più precisamente, la cliente avrebbe chiesto alla Douglas informazioni sulla gestione dei dati personali senza ricevere alcun riscontro. Sulla base della condotta lamentata, il Garante ha ritenuto opportuno svolgere ulteriori approfondimenti in merito alle modalità di gestione da parte della società delle istanze presentate dagli interessati nonché di trattamento dei dati per finalità di marketing e profilazione.
In primo luogo, il Garante ha rilevato come il mancato riscontro alle richieste dell’interessato costituisse un evento isolato, accertando, in via generale, una corretta e tempestiva gestione delle istanze degli interessati. Malgrado ciò, ha ritenuto doveroso esaminare più approfonditamente gli altri aspetti relativi al trattamento dei dati personali, focalizzandosi in prima battuta sull’app aziendale. In particolare, l’attività istruttoria ha, in primis, ravvisato la violazione dell’articolo 7 del Regolamento (UE) 2016/679 (il “Regolamento”), disposizione che prevede il principio della granularità rispetto alla richiesta del consenso al trattamento dei dati personali: il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento. La società italiana, al momento della raccolta del consenso, non avrebbe distinto l’indicazione dei trattamenti svolti e pertanto non avrebbe consentito ai clienti di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
Il Garante ha altresì riscontrato la violazione del principio di accountability di cui agli artt. 5, par.2 e 24 del Regolamento, posto che Douglas, dopo l’incorporazione di tre società avvenuta nel 2019, non avrebbe tenuto traccia delle modalità di raccolta e trattamento dei dati, messi in atto dalle stesse. C’è di più, la società italiana, una volta acquisiti i dati dalle aziende incorporate nel 2019, li avrebbe conservati per lungo tempo, senza preoccuparsi delle modalità di acquisizione e, soprattutto, senza richiedere alcun consenso al trattamento per le proprie attività. Sul punto, Douglas ha chiarito che la conservazione dei dati dei clienti delle precedenti società era stata effettuata in un’ottica di strategia aziendale, al fine di accelerare il trasferimento delle informazioni anagrafiche nel caso di richiesta di emissione della fidelity card di Douglas. Il Garante ha accertato la violazione del principio di finalità e limitazione della conservazione, ritenendo del tutto sproporzionata la finalità dichiarata dalla società italiana in relazione al periodo di conservazione, anche alla luce dell’elevata quantità di dati personali trattenuti.
A seguito delle ispezioni, è stata altresì accertata la violazione del principio di accountability e del principio di privacy by design, di cui all’articolo l’art. 25, par.1 del Regolamento, in ordine all’attività di telemarketing effettuata negli store. Infatti, il Garante avrebbe rilevato la mancata corrispondenza tra il consenso prestato dall’interessato e il trattamento di dati personali svolto: il cliente che aveva prestato il consenso alla sola ricezione di messaggistica istantanea riceveva anche telefonate e viceversa.
Da ultimo, il Garante ha infine accertato la violazione del principio di accountability in ordine al trattamento dei dati personali svolti tramite il blog aziendale. Nel caso di specie, Douglas non sarebbe riuscita a fornire la prova delle finalità e delle modalità di conservazione relativi ai dati personali trattati tramite il blog.
Per le violazioni sopra accertate, il Garante ha quindi condannando Douglas al pagamento di una sanzione amministrativa pecuniaria di 1 milione e 400 mila Euro, ordinandole inoltre di provvedere alla correzione delle violazioni riscontrate.