Con comunicato del 28 novembre 2022, il Garante Privacy italiano ha reso nota la sanzione inflitta a profumerie Douglas Italia S.p.A. per aver violato la normativa in materia di protezione dei dati.
Il caso
A seguito di un reclamo, il Garante ha avviato un procedimento per accertare il corretto trattamento dei dati da parte di Douglas Italia S.p.A. nell’ambito dei propri programmi di fidelizzazione clienti.
Durante l’istruttoria si è accertato che il Gruppo Douglas, nato nel 2019 dalla fusione di tre società del settore (Limoni, La Gardenia e Profumerie Douglas), conservava i dati di quasi 3.300.000 clienti delle precedenti società.
La società risultante dalla fusione aveva creato un unico data base aziendale, sostituendo i consensi prestati dai clienti delle precedenti società con quelli richiesti in fase di adesione al nuovo programma di fedeltà Douglas. Il rinnovo dei consensi però era avvenuto solo per quei clienti che, dopo la fusione, si erano ripresentati nei punti vendita Douglas chiedendo la nuova fidelity card.
Invece, i dati dei clienti che non avevano attivato la nuova fidelity card Douglas, venivano comunque conservati in stato inattivo nel CRM di Douglas allocato sui server della società capogruppo tedesca. Quindi la società italiana, una volta acquisiti i dati dalle aziende incorporate, li aveva comunque conservati e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.
Inoltre, fra le modalità di raccolta dei dati personali è stata esaminata l’app Douglas. Al riguardo, si è rilevato che l’app Douglas presentava i link “personalizza i tuoi cookie”, “condizioni generali di vendita”, “informativa dati personali” e “cookie policy”, invitando ad accettare tutti i testi contemporaneamente e con l’unica formula: “ok, ho capito, acconsento”.
Il provvedimento del Garante
Alla luce delle violazioni del GDPR riscontrate, il Garante ha ordinato a Douglas Italia S.p.A. di pagare la somma di euro 1.400.000,00.
Inoltre, alla società è stato ordinato di adottare una serie di misure per conformarsi al GDPR riguardo ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
La società dovrà innanzitutto modificare l’impostazione dell’app Douglas, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: entrambi i testi dovranno indicare solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite, mentre ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività.
Douglas Italia dovrà poi cancellare i dati risalenti a più di 10 anni e cancellare oppure pseudonimizzare quelli più recenti. Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito e inviare una comunicazione ai clienti di cui abbia la mail, informandoli che, in caso di mancato rinnovo della fidelity card, i loro dati saranno cancellati entro 6 mesi.
Infine, Douglas dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del GDPR.
Ilaria Feriti