800 561720
Con il provvedimento n. 130 del 22 febbraio 2024 il Garante per la protezione dei dati personali ha sanzionato Coop Italia per un importo pari a 90 mila euro. L’Autorità ha rilevato diverse violazioni del GDPR e fornito indicazioni utili per conformare le informative relative ad attività di marketing e profilazione. Alcuni passaggi del provvedimento, tuttavia, generano interrogativi e fanno discutere gli esperti.
La segnalazione dell’interessato
La vicenda prende le mosse da una singola segnalazione: un cliente del servizio “CoopVoce” aveva scritto a Coop Italia Società Cooperativa (di seguito “Coop Italia”) per richiedere l’opposizione al trattamento e l’accesso ai propri dati personali. Coop Italia aveva quindi risposto alla richiesta di opposizione dell’interessato ma “per un mero e del tutto eccezionale disguido interno” non aveva provveduto a processarla. All’interessato erano quindi stati trasmessi due ulteriori SMS promozionali.
Le criticità rilevate dal Garante
Gli accertamenti condotti dall’Autorità rilevavano tre criticità fondamentali, con particolare riguardo:
- “al servizio Coopvoce”;
- “alla raccolta di immagini ed altri dati personali in occasione di fiere ed eventi”;
- “alla raccolta di dati sulle piattaforme social”.
1. Il servizio CoopVoce e l’attività di marketing
In relazione al primo punto, il Garante contestava alla società la raccolta di un consenso non specifico e non libero, in quanto riferito ad una molteplice massa di dati personali, destinati, fra l’altro, a circolare anche al di fuori di Coop, rientrando nella disponibilità di soggetti terzi. A riguardo, nel provvedimento si legge che, tali soggetti terzi “sono da considerarsi titolari autonomi del trattamento, e quindi legittimati a trattare i dati in questione in base a proprie finalità e modalità (v. art. 28 del Regolamento generale UE n. 679/2016, di seguito “Regolamento”)”.
In aggiunta, l’informativa di Coop Italia associava ad un consenso unico le seguenti finalità: “ricerche di mercato, analisi economiche e statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario/informativo/promozionale e di aggiornamenti su iniziative ed offerte ai clienti …”. Il Garante contestava che la congerie di attività-finalità indicate “non può essere associata alla richiesta di un unico consenso, perlomeno dovendosi predisporre un separato consenso per le peculiari attività di analisi economica e statistica”.
La difesa della società e le conclusioni del Garante
Coop Italia si difendeva con memoria del 31 gennaio 2024, specificando che i dati personali trattati (fra cui i vari ‘metadati’ attinenti al traffico dati e voce dei clienti) venivano utilizzati per finalità distinte e specifiche e che, per il marketing diretto, si avvaleva solo di nome e cognome e dei dati di contatto. La comunicazione a terze parti, inoltre, avveniva solo previo specifico consenso.
Ancora, riguardo alle contestate finalità oggetto di un consenso unico, la società giustificava il raggruppamento riportando che tali attività “pur distinte nelle loro espressioni specifiche, sono inquadrabili ragionevolmente tutte all'interno della più ampia categoria di ‘attività di marketing diretto” (con implicito riferimento al paragrafo 2.6.1. delle Linee guida del Garante in materia di attività promozionale e contrasto allo spam), “nell’ambito di un rapporto di genere a specie, dove ciascuna attività particolare è una manifestazione specifica del più ampio concetto di marketing e comunicazione commerciale”. Il raggruppamento, inoltre, era inteso a garantire maggiore chiarezza delle informazioni rese agli utenti e ad assicurare un approccio coeso ed integrato delle strategie di marketing condotte.
In considerazione delle risposte ricevute, l’Autorità decideva quindi di archiviare la contestazione relativa ai dati trattati ma non quanto rilevato in relazione al raggruppamento delle finalità sopra riportate sulla base di un unico consenso, asserendo che “il concetto di marketing non può essere ampliato tanto da ricomprendervi anche le peculiari attività statistiche e di analisi economica, strutturalmente diverse da quelle promozionali”.
2. La raccolta delle immagini
In merito al secondo punto, Coop Italia dichiarava, nella propria informativa, di trattare fotografie, immagini, video e/o registrazioni audio “per promuovere gli eventi sui siti web e/o sui profili social (es. Facebook, YouTube, Instagram, Twitter, ecc), radio, tv, quotidiani, riviste, brochure, cataloghi e/o altro materiale promozionale cartaceo”. In relazione ai dati sopra indicati, la società prevedeva un termine di conservazione di cinque anni.
Il Garante contestava che “la previsione di un tempo – seppur massimo - di 5 anni per la conservazione dei dati in questione risulta eccedente rispetto alle finalità indicate alle suindicate lettere a) e b) - ossia quelle di marketing e, tanto più, quelle di mero riscontro agli interessati o di social caring - anche tenuto conto della notevole congerie di dati raccolti e trattati”, rinviando al provvedimento del 24 febbraio 2005 in materia di Fidelity Card e richiamando i termini di 24 mesi e di 12 mesi ivi stabiliti per le attività di marketing e di profilazione.
La difesa della società e le conclusioni del Garante
Rispetto alle immagini raccolte, Coop Italia dichiarava che le stesse si inserivano in progetti pluriennali volti a creare un racconto di continuità e tradizione. La conservazione delle stesse, peraltro, avveniva sulla base di apposite liberatorie comprensive di obbligazioni di carattere civilistico (ai sensi degli artt. 10 e 320 del c.c., nonché degli artt. 96 e 97 della L. 633/1941).
Il Garante rilevava quindi che le liberatorie, espressione dell’autonomia contrattuale dei privati, ai sensi dell’art. 1321 del c.c., potevano legittimamente incidere sulla tempistica di conservazione dei dati, a condizione del persistente adempimento dell’obbligo di un’idonea informativa e di chiari termini e condizioni contrattuali, e decideva di archiviare la contestazione.
3. L’uso dei social network
Infine, rispetto alla raccolta di dati sulle piattaforme social, Coop Italia dichiarava, nella propria informativa, di trattare i dati personali degli utenti per “a) effettuare campagne di brand awareness, engagement e lead generation sui canali social a scopo commerciale, promozionale e istituzionale (post di immagini e video, annunci, promo, ecc); … b) rispondere ad eventuali richieste di utenti/visitatori delle pagine social (post, commenti nonché richieste di contatto e/o assistenza, c.d. “social caring”)”. Anche in relazione a tale finalità la società prevedeva un termine di conservazione di cinque anni.
Il Garante contestava che “tenuto anche che in tal caso viene effettuata un’attività di diffusione dei dati, in quanto tale, decisamente invasiva rispetto alla sfera personale degli interessati”, “l’indicazione relativa al tempo di conservazione dei dati [i 5 anni, n.d.r."> risulta carente del criterio utilizzato per stabilirlo e peraltro -considerato il tipo di dato (l’immagine della persona, anziché i suoi dati di contatto) - eccedente rispetto alla finalità propagandistica/promozionale della Società”.
La difesa della società e le conclusioni del Garante
In questo caso, la società chiariva che la raccolta dei dati avveniva per gestire le richieste degli interessati e per la valutazione di eventuali reclami (rinviando per le altre attività, quali la condivisione dei post degli utenti, alle policy dei social network utilizzati).
Il Garante, pur ritenendo legittima la conservazione quinquennale con riferimento alle richieste presentate dai clienti del Customer Care Coop, confermava la contestazione, considerando che la finalità in esame comprendeva anche “i dati relativi a meri utenti, per i quali non sussiste la base giuridica del contratto e non risulta ravvisabile alcuna ragione di necessità”. La conservazione andava quindi differenziata in ragione delle categorie di interessati coinvolti, avendo cura di distinguere anche fra i clienti attivi e quelli cessati.
Un provvedimento che fa discutere
In considerazione di quanto rilevato ed esaminato, l’Autorità Garante ha comminato una sanzione pari a 90.000 euro e ingiunto a Coop Italia di modificare la formula di acquisizione del consenso rimuovendo il riferimento alle “attività statistiche ed economiche”.
Sebbene Coop Italia sia sicuramente incorsa in non conformità - di carattere colposo, come rilevato dallo stesso Garante - alcuni passaggi del provvedimento fanno discutere. Cosa ne pensi di questa decisione?
Ti ricordiamo che i soci ASSO DPO possono partecipare attivamente alle discussioni e agli approfondimenti di tutte le tematiche relative all’applicazione della normativa europea ed italiana in materia di data protection, mediante il confronto, lo scambio di informazioni e la partecipazione agli eventi. Se desideri associarti clicca qui.
