Una singola violazione di dati personali viene segnalata ed esaminata dal Garante, il quale decide di archiviarla ma rileva altre non conformità, tali da portare comunque ad una sanzione, in capo a “La Rinascente”, pari a 300.000 euro. Dal recente provvedimento si possono trarre alcune utili considerazioni, sia sulla gestione dei reclami che sugli elementi contestati dal Garante. Nel complesso, ne deriva una lezione che tutti i DPO dovrebbero conoscere e portare sul campo.
L’oggetto della segnalazione
Tutta la vicenda, oggetto del provvedimento, prende le mosse da un semplice alterco fra una cliente e un’addetta di uno store de “La Rinascente”. L’addetta decideva, agendo in autonomia ed in violazione delle istruzioni ricevute dalla Società (come poi constatato dal Garante), di modificare le generalità attribuite alla cliente, al momento dell’attivazione della sua tessera fedeltà. Le veniva quindi attivata una nuova “Rinascentecard” intestata a “Donzella Svampita”.
Alla dipendente veniva comminata una sanzione disciplinare dalla Società, mentre la cliente, dimostrandosi più “accorta” che “svampita”, decideva di rivolgersi all’Autorità Garante per violazione del GDPR.
L’accertamento della GdF e la richiesta di informazioni
Il Nucleo Speciale Privacy e Frodi Tecnologiche avviava quindi un accertamento ispettivo in loco, poi integrato da una richiesta di informazioni quale supplemento istruttorio. Dagli accertamenti emergevano diverse criticità e svariate presunte violazioni di GDPR e Codice.
L’Autorità Garante rilevava:
- Un primo caso di data breach relativo alla segnalazione ricevuta, in quanto la Società “non è risultata essere stata in grado di “…assicurare su base permanente … l'integrità” dei dati della segnalante, “modificati” infatti senza alcun previo consenso dell’interessata”;
- Un secondo caso di data breach, ammesso dalla stessa Società, in quanto “durante un rilascio in produzione di uno sviluppo tecnico …, a causa di un disallineamento 5 clienti e-commerce hanno ricevuto erroneamente le comunicazioni relative agli ordini di 70 utenti”;
- La conseguente violazione del principio GDPR di integrità e riservatezza dei dati;
- La mancanza di evidenze in merito alla presenza di un’informativa relativa al trattamento dei dati rilasciata al momento dell’attivazione dell’originaria fidelity card;
- L’acquisizione di un’unica manifestazione di contestuale volontà dell’interessata, con riferimento sia al regolamento contrattuale sia alla presa visione dell’informativa che recava più trattamenti per varie finalità;
- L’indicazione di termini di conservazione non conformi, in quanto troppo vaghi: “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali”;
- Il tempo di conservazione effettivo dei dati, pari a 7 anni, in contrasto con i principi GDPR di finalità, di minimizzazione e di limitazione della conservazione, ed “eccessivamente dilatato”;
- La mancanza di informazioni di dettaglio in merito alle peculiari attività di trattamento svolte unitamente a Facebook-Meta, con particolare riferimento alle campagne ‘Custom Audience CRM’;
- La violazione dell’articolo 28 GDPR, per la mancata definizione dei ruoli per l’attività di cui sopra.
La difesa della società
La memoria difensiva della Società si è rivelata particolarmente utile in questo caso, in quanto ha consentito alla stessa di confutare diverse presunte violazioni. In particolare, rispetto al data breach oggetto della segnalazione, la Società ha dimostrato di aver implementato adeguate misure tecniche ed organizzative, fra cui apposite procedure per la gestione della “Rinascentecard”, con istruzioni operative per il personale ed istruzioni volte a sensibilizzare gli utenti circa la riservatezza delle informazioni che circolano sul portale. Peraltro, la conservazione dei file di log delle operazioni poste in essere dal personale, ha consentito di risalire immediatamente all’utenza che aveva effettuato la modifica dei dati della cliente e di mitigarne le conseguenze. L’azione che poteva, potenzialmente, portare ad una diffamazione nei confronti della cliente “ribattezzata” “Donzella Svampita”, in realtà è stata individuata e circoscritta sul nascere: non si è verificata alcuna divulgazione dei dati personali dell’interessata al di fuori della ristretta cerchia di dipendenti della Società che ha dovuto necessariamente gestire il caso. Per tale ragione, il Garante ha riconosciuto che la questione da cui è sorta la segnalazione poteva essere archiviata, considerando che era più attribuibile “alla leggerezza di una dipendente che ha violato le istruzioni ricevute”, più che alla Società.
Allo stesso modo, in base alle dichiarazioni della Società, nonché a quanto illustrato e documentato dalla stessa, il Garante ha deciso di archiviare:
- La contestazione relativa all’informativa, che è stata fornita al Garante nella versione aggiornata post GDPR, insieme ad evidenze della campagna di comunicazione condotta per informare la clientela;
- La contestazione relativa alla manifestazione di volontà dell’interessata espressa in forma unica (termini e condizioni più presa visione dell’informativa) in quando la Società è stata in grado di dimostrare che “a tale unica espressione di volontà, non consegue alcun unico consenso ai vari trattamenti indicati e, più in radice, che nessun riverbero tale manifestazione di volontà abbia sui trattamenti in essere”;
- La contestazione relativa ai trattamenti svolti tramite Facebook-Meta, in quanto i chiarimenti della Società hanno consentito di definire meglio i ruoli delle parti, così come l’aggiornamento delle informative ha reso il trattamento complessivamente più trasparente nei confronti degli interessati.
Da un breach archiviato a 300k euro di sanzione
Una prima, fondamentale, considerazione, la si ricava quindi da quanto emerso in seguito alla trasmissione all’Autorità degli scritti difensivi: molteplici potenziali violazioni del GDPR sono state archiviate dal Garante, a dimostrazione dell’importanza di memorie difensive corroborate da evidenze. Come abbiamo detto, con riferimento all’indesiderata modifica delle generalità dell’interessata, l’Autorità, pur avendo rilevato la violazione iniziale, tale da generare “un epiteto non compatibile con il diritto all’identità e alla reputazione”, ha deciso di archiviare la questione, alla luce dei riscontri forniti dalla Società e delle misure di sicurezza adottate dalla stessa.
Ciononostante, le indagini hanno comunque portato il Garante a comminare una sanzione importante. Come si è passati da un potenziale data breach, poi archiviato, ad una sanzione da 300 mila euro?
Le non conformità rilevate
La sanzione comminata dall’Autorità deriva, principalmente, da due gravi lacune nella gestione delle attività di marketing e di profilazione effettuate da La Rinascente.
- In primo luogo, la Società non ha effettuato una DPIA, prima di porre in essere i trattamenti correlati a marketing e profilazione. Il Garante, richiamando i nove criteri individuati dal Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, ha rilevato la presenza di elementi tali da generare un rischio “elevato per i diritti e le libertà degli interessati”, ovvero: l’attività di profilazione, con valutazione di interessi e preferenze degli interessati; nonché il trattamento su larga scala (considerato l’elevato numero di clienti degli store fisici e di quelli on line);
- In secondo luogo, la Società ha violato i principi di finalità e limitazione della conservazione. Il termine di 7 anni di conservazione dei dati relativi anche alle preferenze dei clienti, è stato qualificato dal Garante come eccedente ed incongruo, considerando che non tutti i brand reclamizzati erano di fascia alta o tali da poter giustificare una conservazione così estesa nel tempo. Ad aggravare la criticità, l’elevata mole i soggetti interessati nonché l’elevata mole di dati, peraltro dettagliati, raccolti. Infine, sempre con riferimento ai termini di conservazione, la Società ha omesso di fornire agli interessati informazioni chiare e precise in merito, agendo, pertanto, anche in violazione del principio di trasparenza.
L’Autorità ha quindi accertato la responsabilità de La Rinascente in ordine a tali violazioni, imposto di “di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti” e determinato l’applicazione di una sanzione amministrativa pecuniaria pari a 300.00 euro. L’ammontare è stato mitigato grazie all’assenza di precedenti procedimenti a carico della Società, nonché della tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi. La Società ha quindi dimostrato la massima collaborazione e partecipato alle indagini in modo attivo e proattivo, interagendo con il Garante.
Una lezione da portare sul campo
È bene evidenziare che la sanzione in sé, per quanto importante, rappresenta “l’1,65% della sanzione edittale massima (euro 18.129.491) nonché circa lo 0,066 dell’ultimo fatturato disponibile” della Società, ma a questa si sommano le conseguenze derivanti dalla pubblicazione del provvedimento come sanzione accessoria. Il Garante, infatti, non ha potuto accogliere la richiesta della Società “di non pubblicazione della decisione o di sua “anonimizzazione””, anche per via della portata del caso e della “delicatezza della materia oggetto di istruttoria”.
Da ciò si ricava una seconda, essenziale, considerazione: anche quelli che nascono come semplici alterchi o incomprensioni, se portati all’attenzione del Garante, possono generare importanti conseguenze per l’organizzazione sotto la lente dell’Autorità, sia sottoforma di gravi perdite economiche, sia sul piano reputazionale. Per questo è importante l’attività del DPO, ove nominato, di formazione e sensibilizzazione rispetto agli obblighi del GDPR, ma anche rispetto alla gestione dei casi “Donzella Svampita” (ed equiparabili) che non devono mai essere sottovalutati o gestiti in modo superficiale.