Dopo aver incorporato tre società, la catena di profumerie Douglas Italia Spa ha trattenuto i dati personali dei clienti senza richiedere il consenso: questa l’accusa per violazione della normativa in materia di protezione dei dati, per cui il Garante privacy italiano ha disposto una sanzione da 1 milione e 400 mila euro nei confronti dell’azienda.
In particolare, durante l’ispezione, svolta con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, è emerso che Douglas conservava i dati di circa 3 milioni e 300 mila clienti delle precedenti tre aziende inglobate. Tuttavia, la società italiana, una volta acquisiti i dati dalle aziende incorporate, li aveva lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.
Il Garante della privacy ha quindi stabilito che l’azienda dovrà adottare una serie di misure per conformarsi alle norme italiane e UE relative ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
Innanzitutto, la società dovrà modificare l’impostazione dell’App Douglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
Douglas dovrà inoltre eliminare i dati che risalgono a oltre dieci anni fa, ad eccezione del caso di contenziosi in corso, e cancellare o pseudonimizzare quelli più recenti.
Se opterà per la pseudonimizzazione, Douglas dovrà indicarlo sul proprio sito e informare i clienti, che se non rinnoveranno la fidelity card entro sei mesi i loro dati saranno cancellati. Quando rinnoveranno la fidelity card, i clienti potranno avere la possibilità di esprimere il proprio consenso al trattamento dei dati.
Infine, la società dovrà adottare idonee soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo.