Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Nuova sanzione del Garante per marketing illecito e consensi invalidi

Ultimo aggiornamento del 23.01.2023 | Tempo di lettura ca. 5 minuti

Con provvedimento n. 348 del 20 ottobre 2022 il Garante per la Protezione dei Dati Personali ha emesso una sanzione da 1.4 milioni di euro nei confronti del gigante della cosmesi Douglas, nato nel 2019 dalla fusione di Limoni S.p.A. e La Gardenia Beauty S.p.A. e con oltre 400 punti vendita in Italia, a seguito della rilevazione di una serie di violazioni della vigente normativa in materia di protezione dei dati personali.

La vicenda trae origine dalla segnalazione di una cliente che lamentava di non aver ricevuto adeguato riscontro a una richiesta di esercizio dei diritti previsti dagli artt. 15-22 del Regolamento (UE) 2016/679 (“GDPR”), segnalazione che ha spinto l’Autorità a sottoporre la società a ispezione, nell’ambito della quale sono emersi diversi profili di non conformità. Tra questi, due sono i temi che meritano maggiore attenzione: li riassumiamo qui di seguito.

In primo luogo, il Garante ha ritenuto la configurazione del processo di raccolta dati degli utenti mediante l’app Douglas nel complesso poco chiara ed ambigua, con assenza di una netta distinzione tra il processo di accettazione delle condizioni di natura contrattuale (ad es. le condizioni generali di vendita) e di accettazione dei consensi relativi al trattamento dei dati personali, connessi alle informazioni contenute nella privacy e cookie policy.

La mancanza di trasparenza rilevata dall’Autorità ha determinato l’invalidità dei consensi raccolti in fase di iscrizione.

L’Autorità ha dunque ingiunto a Douglas di rivedere integralmente l’impostazione della propria app, di modo da garantire una chiara distinzione tra i contenuti di natura privacy (inclusi i relativi consensi al trattamento) e la documentazione contrattuale.

Ma la sezione più interessante del provvedimento in esame è quella dedicata alle incongruenze emerse nella gestione del database dei clienti aderenti al programma di fidelizzazione gestito da Douglas, venutosi a creare a seguito della fusione per incorporazione.

A tal proposito, il Garante ha rilevato come la prassi di conservare all’interno del database i dati dei clienti che - a valle dell’operazione societaria - non si erano avvalsi della possibilità di sostituire le precedenti carte fedeltà con la card Douglas per facilitare un eventuale processo cambio e travaso delle relative anagrafiche sia da ritenersi palesemente ed immotivatamente eccessiva.

Ciò sia sotto l’aspetto qualitativo, non essendo state selezionate le tipologie da conservare, sia sotto l’aspetto temporale, visti gli stringenti limiti imposti dal ben noto provvedimento generale “Fidelity card' e garanzie per i consumatori.

Le regole del Garante per i programmi di fidelizzazione” del 24 febbraio 2005 (cioè 12 mesi per i dati utilizzati per finalità di marketing e 24 mesi per le finalità di profilazione). L’Autorità di controllo ha inoltre evidenziato come la prassi sopra descritta si ponga in contrasto con quanto affermato dalla stessa informativa rilasciata agli interessati in sede di iscrizione al programma di fidelizzazione, che prevedeva la conservazione dei dati per finalità di marketing e profilazione sino alla revoca del consenso.

Onde porre rimedio alla situazione di grave difformità sopra descritta, il Garante ha ingiunto a Douglas di:

cancellare dal proprio database i dati dei clienti delle tre società incorporate risalenti ad un periodo superiore ai 10 anni entro 15 giorni dalla ricezione del provvedimento;
pseudonimizzare i dati conservati per un periodo massimo di 10 anni, procedendo contestualmente a una campagna di refresh dei consensi nei confronti degli interessati coinvolti mediante pubblicazione sul sito ufficiale di un annuncio e invio di una comunicazione via e-mail avente ad oggetto la possibilità di rinnovare la vecchia card in proprio possesso entro i successivi 6 mesi, rimanendo inteso che, in caso di mancato rinnovo, i dati verrebbero cancellati in maniera definitiva.

Il provvedimento in commento offre l’occasione per formulare alcuni spunti di riflessione, che trascendono le statuizioni del singolo provvedimento e possono diventare utili linee guida per le imprese nell’ambito dell’attività di monitoraggio e compliance dei processi:

è imperativo per le aziende gestire in maniera corretta e tempestiva le richieste di esercizio dei diritti, possibilmente adottando una specifica procedura che tenga in considerazione tutti i canali di comunicazione a disposizione degli interessati;
il tema della data protection necessita di essere adeguatamente valorizzato nell’ambito delle operazioni societarie straordinarie - quali fusioni, acquisizioni o cessioni di rami d’azienda - sin dalle prime fasi del processo di due diligence, potendo produrre non solo effetti dirompenti sull’operazione stessa, ma anche ricadute negative a lungo termine sulle parti coinvolte, con implicazioni anche sotto il profilo sanzionatorio;
il Garante ammette la possibilità di avvalersi di una campagna di rinnovo dei consensi in opt-out a seguito di un mutamento nella titolarità, nel caso di specie verificatosi a seguito della conclusione di un’operazione di fusione, mediante di invio di comunicazioni e-mail potrebbe risultare lecita ai sensi della vigente normativa privacy, a condizione che sussista una adeguata base giuridica del trattamento (che l’Autorità individua nel meccanismo del soft-spam previsto dal quarto comma dell’art. 130 del Codice Privacy). Rimane inteso che l’attività di “refresh” dei consensi dovrebbe essere condotta solo a valle di un’attenta valutazione da parte del nuovo titolare, che tenga in debita considerazione le circostanze del trattamento, le aspettative degli interessati e le misure a tutela di questi;
per una corretta individuazione del periodo di conservazione dei dati trattati sulla base del consenso dell’interessato è necessario che i titolari tengano a mente la differenza che passa tra la validità del consenso al trattamento dei dati e il tempo di conservazione dei dati sulla base di quel (valido) consenso raccolti e trattati. Mentre il consenso conserva la sua validità fino alla sua revoca o all’eventuale esercizio del diritto di opposizione, la data retention va stabilita dal titolare del trattamento avendo riguardo del principio di minimizzazione, della tipologia di trattamento e della durata dello stesso: non è dunque conforme alla vigente normativa privacy indicare nell’informativa che i dati raccolti, ad esempio, per finalità di marketing verranno conservati “sino alla revoca del consenso dell’interessato”, senza specificare un termine ultimo.

Autori:

Nadia Martini - Partner

Nicola Sandon - Associate

Benedetta Pozzoli - Senior Professional