Errori nell’esercizio del diritto degli interessati: sanzione da 1,4 Mln
2Il Garante italiano per la protezione dei dati personali GPDP ha annunciato, attraverso la sua newsletter mensile, la pubblicazione della sua decisione e ha emesso diversi ordini di ottemperanza a, Douglas Italia S.p.A., per violazione degli artt. 5(1)(b), 5(1)(e), 5(2), 6, 7, 12(1), 13(2)( a), 24, e 25(1) del Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016, 679), a seguito di un reclamo presentato da un privato.
Contesto della decisione
In particolare, il Garante ha riferito che il denunciante aveva lamentato la mancata risposta da parte di Douglas Italia, a seguito di una richiesta di esercizio dei propri diritti di interessato.
Oltre a ciò, il Garante ha precisato di aver avviato un’istruttoria, nel corso della quale Douglas Italia aveva chiarito di essere stata costituita dalla fusione di tre società (le “Società”), e che, pertanto, un database di Douglas Italia (contenente circa 10 milioni di clienti) comprese le banche dati originariamente appartenenti alle Società.
Rilievi del Garante
Al termine dell’istruttoria svolta, il Garante ha accertato che il mancato riscontro alla richiesta del reclamante è stato un caso episodico e che, in generale, Douglas Italia ha gestito le richieste degli interessati in modo corretto e tempestiv
Tuttavia, il Garante ha ritenuto che Douglas Italia avesse violato:
– Artt. 6 e 7 del GDPR, richiedendo agli utenti di prestare contestualmente il proprio consenso alle condizioni generali di vendita, all’informativa privacy e alla cookie policy; 5, comma 2, e 24 del GDPR, in quanto non potrebbe fornire prova della raccolta del consenso da parte dei clienti delle Società, al rinnovo della loro fidelity card, né alcuna prova circa i trattamenti effettuati dalle Società;
– Artt. 5(1)(b) e 5(1)(e) del GDPR, conservando i dati dei clienti delle Compagnie, che non avevano rinnovato la propria carta fedeltà con Douglas Italia, in uno stato inattivo, al fine di agevolare l’eventuale sostituzione delle fidelity card; 13, comma 2, lett. a) del GDPR, a causa delle discrepanze tra le pratiche di Douglas Italia e le informazioni fornite nell’informativa sulla privacy; 12 del GDPR, a causa della mancanza di trasparenza e accessibilità alle informazioni relative al trattamento dei dati;
– Artt. 5, comma 2, 24 e 25, comma 1, del GDPR, a causa della mancata corrispondenza tra le opzioni contenute nel modulo utilizzato per raccogliere il consenso al marketing diretto e la concreta prassi operativa; al riguardo, il Garante ha accertato che i clienti che avevano acconsentito solo al telemarketing, ricevevano anche comunicazioni di marketing via SMS, e viceversa; e
– Artt. 5, comma 2, 13 e 24 del GDPR, in quanto Douglas Italia non ha potuto fornire chiarimenti in merito alle finalità della raccolta, ed ai tempi di conservazione, dei dati raccolti tramite il blog di Douglas Italia, ed a causa della mancanza di informazioni relative alla raccolta dei dati attraverso detto blog.
Risultati
Alla luce delle violazioni accertate, il Garante ha emesso una sanzione di 1,4 milioni di euro e ha ordinato a Douglas Italia di:
– modificare il layout dell’app, assicurando una chiara distinzione tra informativa privacy e cookie policy, e che entrambi i testi indichino solo i trattamenti effettivamente effettuati e le finalità perseguite;
– cancellare, entro 15 giorni, i dati personali dei clienti delle Società conservati da più di dieci anni;
– cancellare o pseudonimizzare, entro 30 giorni, i dati personali dei clienti delle Società risalenti fino a dieci anni e, in quest’ultimo caso, pubblicizzarli sul proprio sito Web e inviare un avviso ai clienti di cui è disponibile l’indirizzo e-mail, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i suoi dati saranno cancellati;
– cancellare i dati personali di tutti i clienti che, a seguito della suddetta comunicazione, decidano di non rinnovare la fidelity card, entro 15 giorni dalla scadenza del predetto termine semestrale; e
– adottare adeguate misure organizzative e tecniche e fornire riscontro entro 30 giorni.
Quindi, in merito al recente provvedimento del GPDP l’autorità italiana per la protezione dei dati nei confronti di Douglas Italia, possiamo fare qualche riflessione:
– le istruttorie ed i relativi provvedimenti disciplinari e sanzionatori sono sempre successivi ad una richiesta di esercizio di diritto da parte di uno o più interessati a cui non è dato un corretto riscontro.
Questo rende evidente la necessità di utilizzare una procedura interna che consenta il corretto esercizio del diritto degli interessati
Nel caso di Douglas Italia il GPDP, grazie all’intervento della Guardia di Finanza, ha condotto un accertamento ispettivo presso la stessa società cominando una sanzione di 1 milione e 400 mila euro
Non bisogna mai trascurare la programmazione degli audit interni per la verifica periodica della compliance GDPR aziendale
Approfondisci qui https://bit.ly/3un2qxj e qui https://bit.ly/3UsXotS
