800 561720
Il recente provvedimento Benetton, con cui l’Autorità ha ordinato alla storica azienda tessile trevigiana di pagare la somma di 240.000 euro, ha delle interessanti peculiarità. Il Garante ha ribadito le regole sulla fidelizzazione della clientela e, nel corso degli accertamenti sul CRM, ha individuato una serie di punti da attenzionare per evitare non conformità. Di cosa si tratta?
In via preliminare è bene sottolineare come, nel caso in esame, l’istruttoria nei confronti della società sia stata avviata sulla base del piano ispettivo della Guardia di Finanza, che prevedeva accertamenti mirati alla verifica dei “trattamenti di dati personali effettuati da società per attività di marketing” e dei “trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione”.
Il procedimento si è rivelato particolarmente complesso, sia per via della numerosità dei profili tecnici e giuridici emersi in fase preliminare, che necessitavano di essere approfonditi, sia per via dalle restrizioni causate dalla pandemia da Covid-19, che hanno costretto l’Autorità a posticipare le verifiche in loco.
Le Fiamme Gialle sono quindi state costrette, dapprima, ad operare approfondimenti cartolari da remoto, mediante una richiesta d’informazioni. In seguito, approfittando di un miglioramento della situazione pandemica, sono state condotte ispezioni direttamente presso la sede societaria.
Il riscontro di Benetton
Quanto sopra premesso ha inevitabilmente esteso i termini del procedimento, tanto che la comunicazione delle presunte violazioni è giunta alla società il 29 settembre 2021, a distanza di quasi due anni dall’avvio degli accertamenti.
Benetton ha quindi contestato che “la notificazione della comunicazione delle presunte violazioni in oggetto sia stata effettuata da codesta Autorità oltre il termine di 120 giorni dalla data dell’accertamento, previsto dalla Tabella B, n. 2), del Regolamento n. 2 2/2019 del Garante, affermando “l’insanabile tardività della notifica delle contestazioni avanzate nei confronti della Società …”, in quanto avvenuta “… a distanza … di quasi due anni dagli accertamenti ispettivi della GdF”.
Sorge quindi spontanea la domanda: entro quanto è lecito aspettarsi di ricevere la comunicazione delle presunte violazioni? A quali condizioni la morosità dell’Autorità è effettivamente contestabile?
Sui termini ultimi per la contestazione
A prescindere dalla particolare situazione derivante dalla emergenza pandemica, l’Autorità è tenuta a rispettare quanto previsto dal sopracitato Regolamento n. 2/2019, concernente l'individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali.
Il Garante, tuttavia, richiamando la sentenza della Cassazione Civile, sez. 2, n. 31635/2018, ha ricordato che “l'attività di accertamento dell'illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il fatto nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione”.
Fissato il principio, nel caso in esame il termine per l’invio della comunicazione delle presunte violazioni da parte del Garante, è stato condizionato da effettive esigenze di verifica e comprensione delle dinamiche di trattamento di Benetton. Pertanto, in linea generale possiamo dire che la morosità della comunicazione potrebbe essere effettivamente contestabile solo qualora la stessa pervenisse in violazione dell’articolo 166 comma 9 del Codice Privacy (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori) e dei termini dettagliati all’interno della Tabella B, n. 2), del Regolamento n. 2/2019 del Garante, nonché in maniera ingiustificatamente intempestiva. In caso di impugnazione del provvedimento sarà valutato nello specifico da un giudice.
Regole in materia di conservazione dei dati
Il provvedimento in esame risulta interessante anche sotto altri profili.
In particolare, gli accertamenti hanno rilevato che la società conservava, a tempo indeterminato, i dati di migliaia di ex clienti disiscritti dalla newsletter, sotto la voce “on line newsletter puro inactive”. Tale condotta, non conforme all’articolo 5 del GDPR, è stata qualificata dal Garante come “gravemente colposa”.
Anche i dati relativi agli scontrini, ricchi di dettagli oggettivamente riferiti a gusti e preferenze degli interessati e utilizzati per attività di marketing e profilazione, erano conservati sul gestionale per 10 anni, a discapito di quanto dichiarato agli interessati nell’informativa per i programmi loyalty (in base alla quale il tempo di conservazione dei dati sarebbe stato limitato a 2 anni, in relazione sia al marketing che alla profilazione).
Il Garante ha quindi constatato la violazione del principio di limitazione della conservazione e, rispetto ai trattamenti relativi a marketing e profilazione, ha rinviato a quanto disposto nel provvedimento generale “Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” del 24 febbraio 2005, che per il Garante privacy italiano costituisce tutt’oggi il riferimento principale in materia.
Regole in materia di gestione di un CRM
Utili considerazioni si possono ricavare anche dalle rilevazioni in merito all’utilizzo della “piattaforma Dynamics”, il software di gestione della clientela utilizzato da Benetton.
Nello specifico, dai controlli è emerso che:
Rilevazioni del Garante | Misure per la conformità |
La password di accesso a Dynamics viene inviata, via e-mail, al District manager (ossia il soggetto preposto a coordinare più store) il quale provvede ad inoltrarla allo store manager di riferimento. La password dell’account di store è unica per tutti i dipendenti del singolo store. | Necessario evitare la condivisione delle password di accesso alla piattaforma fra più utenti. |
Nell’account dello store consente a tutti gli addetti di visualizzare i dati dei clienti degli store dei 7 paesi europei, ove è presente il programma loyalty di Benetton. | Necessario segmentare i profili di accesso in base alla mansione ricoperta. |
Il PC in uso presso lo store non prevede limitazioni particolari in termini di operatività (si possono effettuare screenshoot, ecc.). | Necessario impostare, by default, limiti tecnici alle azioni degli utenti, in modo da garantire l’effettiva riservatezza dei dati trattati. |
Essendo la piattaforma relativa alle fidelity card raggiungibile a mezzo link web, è possibile accedervi da qualunque dispositivo (smartphone, tablet, pc) ferma restando la policy di accedere esclusivamente con gli strumenti forniti per le mansioni di competenza (esclusivamente dai PC di store). | A misure di sicurezza organizzative, come la policy volta a disciplinare l’accesso da strumenti diversi, vanno abbinate misure di sicurezza tecniche, che impediscano, per impostazione predefinita, di accedere mediante strumenti non autorizzati. |
In merito alla creazione dell’utenza relativa ad un nuovo store, lato loyalty, il sistema non obbliga al cambio password, tuttavia viene suggerito, come prassi, di provvedere al cambio della stessa dopo il primo accesso.
| A misure di sicurezza organizzative, come la policy per il cambio password, vanno abbinate misure di sicurezza tecniche, che garantiscano (quantomeno al primo accesso) che venga cambiata la password, seguendo le migliori prassi in materia di sicurezza. |
A specifica richiesta dei verbalizzanti riguardo “all’effettuazione di audit sul trattamento dei dati fatti dai punti vendita Benetton gestiti dalla società Retail Italia Network Srl (facente parte del gruppo societario), nonché sui trattamenti effettuati dai partner di Co-marketing, la Società ha rappresentato “che sinora non sono stati fatti, ma che sono attualmente in fase di programmazione”. | Necessario dotarsi di procedure di sicurezza che integrino controlli periodici, anche mediante audit condotti da terze parti qualificate, per “testare, verificare e valutare regolarmente l'efficacia delle misure” implementate. |
Le misure di sicurezza nell’agenda del DPO
La sanzione da 240.000 euro è stata quindi comminata sia sulla base delle rilevate non conformità ai principi generali del Regolamento (minimizzazione dei dati e limitazione della conservazione), sia considerando le molteplici violazioni dell’articolo 32 GDPR (sicurezza del trattamento) con specifico riferimento:
- alla carenza di misure in grado di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- alla carenza di una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Per prevenire violazioni in materia di sicurezza, ricordiamo che il WP29, nelle linee guida sul responsabile della protezione dei dati (WP243), stabilisce che lo stesso detiene il fondamentale compito di supportare il titolare nel “determinare quali salvaguardie applicare ai trattamenti svolti, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate”. A tal fine, è essenziale che lo stesso, oltre a conoscere lo specifico settore di attività del titolare e la relativa struttura organizzativa, abbia anche “buona familiarità con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare” (v. linee guida WP243 del WP29). L’agenda del DPO deve quindi essere fondata su un piano delle attività che comprenda il confronto periodico anche su questi temi, più tecnici ma sicuramente non meno importanti.
“L’agenda del DPO” è uno degli argomenti che saranno oggetto di approfondimento, insieme a molti altri di estrema attualità, nel corso del prossimo congresso annuale di ASSO DPO, che si terrà il 25 e il 26 settembre 2026. Le iscrizioni sono aperte.
Fonti:
Il Provvedimento del 27 aprile 2023, Registro dei provvedimenti n. 188 del 27 aprile 2023
