Il Garante per la protezione dei dati personali ha inflitto una sanzione di 1 milione e 400 mila euro ad una tra le più note società europee distributrici di prodotti beauty & care per aver commesso numerose violazioni alla normativa in materia di protezione dei dati personali.

Quali le violazioni contestate?

Le violazioni hanno riguardato diversi ambiti. Nello specifico:

  • la raccolta di un unico consenso privo peraltro dei requisiti di liberalità e specificità all’interno dell’App di proprietà della Società per diverse finalità di carattere non contrattuale, tra cui lo svolgimento di attività di marketing da parte della stessa e di soggetti terzi, nonché la realizzazione di attività di profilazione. Così facendo, il trattamento dei dati è risultato privo delle condizioni di liceità previste dall’art. 6 del Regolamento UE n. 2016/679 (di seguito “GDPR”);
  • la mancata dimostrazione circa la corretta raccolta dei dati personali e dei trattamenti realizzati dalle società in precedenza acquisite. La Società non è stata in grado di esibire al Garante per la protezione dei dati personali né i testi delle informative sul trattamento dei dati a suo tempo in uso, né i relativi moduli di consenso per le tre società acquisite, impedendo così all’Autorità di valutare la corretta esecuzione degli adempimenti;
  • la conservazione dei dati personali dei clienti delle tre società acquisite all’interno del CRM della Società, nonostante questi non abbiano attivato la c.d. fidelity card. Tale comportamento ha, quindi, comportato la violazione dei “principi di limitazione delle finalità e di limitazione della conservazione” di cui all’art. 5 del GDPR;
  • la presenza di un’incongruenza tra quanto effettivamente realizzato e il contenuto dell’informativa sul trattamento dei dati personali rilasciata ai soggetti interessati;
  • l’esistenza di un consenso al trattamento dei dati personali per la ricezione di sms, che di fatto autorizzava anche la ricezione di telefonate promozionali con evidente violazione del principio di privacy by design di cui all’art. 25 del GDPR;
  • la mancata informazione circa i trattamenti realizzati tramite il blog, ove non è risultato un testo chiaro che identificasse con precisione le finalità e le modalità del trattamento.

Quali gli insegnamenti da tenere in considerazione?

Trasparenza è sicuramente la parola chiave che ogni Titolare deve tenere in debita considerazione nel momento in cui realizza un qualsiasi trattamento di dati personali. È, infatti, fondamentale che l’interessato sia sempre messo nella condizione di conoscere le finalità e le modalità del trattamento dei propri dati, prima che questi vengano effettivamente raccolti, utilizzati e conservati dal Titolare.

Il contenuto dell’informativa sul trattamento dei dati personali, come anche quello sulla gestione dei cookie devono, quindi, essere chiari, semplici e accessibili all’interessato.

Consenso – condizione di liceità che autorizza il trattamento dei dati per fini di marketing e profilazione – deve essere libero, specifico, informato e inequivocabile. L’interessato, infatti, deve poter essere libero di scegliere se acconsentire o meno al trattamento dei dati personali per le singole finalità; no, quindi, ad uniche forme di consenso per differenti finalità, come anche a caselle preselezionate.

Periodo di conservazione dei dati – elemento da rendere noto all’interessato nell’informativa sul trattamento dei dati personali – deve rispondere al concreto raggiungimento della finalità. I dati personali possono essere conservati legittimamente fintanto che non venga raggiunta la finalità per cui questi sono stati raccolti. Evitare, quindi, di mantenere dati personali senza motivo all’interno dei CRM, ma prevedere delle impostazioni che consentano di “ripulire” i database al momento della scadenza della retention.

Al riguardo si segnala che il provvedimento “Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” del 24.02.2005 del Garante per la protezione dei dati personali prescrive precisi tempi di conservazione sia rispetto alle attività di marketing (24 mesi), che rispetto a quelle di profilazione (12 mesi).

Procedura per la gestione dei diritti degli interessati contenente precise istruzioni da seguire nel caso in cui l’interessato avanzi una richiesta ai sensi della normativa privacy. È, infatti, importante che l’interessato riceva un riscontro esaustivo in tempi rapidi, anche al fine di non incorrere in reclami e/o segnalazioni.

Privacy by design e by default per garantire che il trattamento dei dati personali sia sempre rispettoso dei principi sanciti dalla normativa sin dal momento della sua implementazione e per tutta la sua durata. I sistemi utilizzati dal Titolare del trattamento devono, quindi, prevedere misure di sicurezza tali da consentire che il trattamento risponda sempre ai requisiti previsti dalla normativa.

Qui il testo del provvedimento in commento.