Il Garante privacy nella nota del 28 giugno, tra gli altri, rende noto del provvedimento con cui ha sanzionato il Gruppo Benetton con una multa di 240 mila euro per aver trattato illecitamente per finalità di marketing e profilazione senza adeguate misure di sicurezza e con una data retention (decennale) non meglio motivata, i dati personali di tanti clienti ed ex.
Scandagliamo il provvedimento in ogni sua parte e argomentazione.
Indice degli argomenti
Il provvedimento del Garante, tra contestazioni e memorie
Diverse sono state le contestazioni e le relative memorie, così come contenute nel provvedimento del 27 aprile 2023. Partiamo dai fatti.
La vicenda
I fatti contestati dall’Autorità Garante della privacy alla società del Gruppo Benetton risiedono al 2015 mentre la stessa raccoglieva e conservava i dati raccolti tramite le fidelity card, anche di ex clienti: “… una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione” scrive il Garante.
Non solo, dalle verifiche effettuate l’Autorità ha appreso che “il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (PC, smartphone, tablet), tramite un’unica password e un unico account”.
Insomma, una mole di dati trattati in modo non legittimo, anzi decisamente illecito, e non è stato un fulmine a ciel sereno rientrando nell’ambito dei controlli programmati di cui all’attività ispettiva (2019).
La prima contestazione del settembre 2021
Premesso che l’Autorità prima di andare in loco, ha effettuato alcuni approfondimenti di natura cartolare, chiedendo informazioni con particolare riguardo alla gestione dei cookie stante le restrizioni dell’emergenza sanitaria (Covid-19), ha avviato nel settembre del 2021 il procedimento amministrativo rilevando alcune criticità, quali:
- circa il sito “familycard.benetton.com”, il “banner informativo relativo all’utilizzo dei cookie, propri e di terze parti (tecnici, marketing e profilazione)” si doveva accettare senza poter deselezionare le varie tipologie di cookies mentre l’informativa (estesa) non faceva alcun cenno tra i cookies utilizzati anche quelli di profilazione, invece presenti nel banner. Si limitava a indicare solo quelli tecnici, di marketing diretto, di marketing e retargeting di terzi;
- circa il sito “blackcard.sisley.com”, pur presentando un “collegamento ipertestuale “clicca qui”, il banner dei cookie rimandava ad una pagina bianca e il link dei cookies presente sul footer era sprovvisto di informativa senza alcun cenno alla possibilità di accettare o meno l’utilizzo dei cookie;
- ancora il Garante evidenzia testualmente che “contrariamente a quanto indicato nel registro dei trattamenti e nell’informativa rilasciata al cliente per l’adesione ai programmi loyalty (in base ai quali il tempo di conservazione dei dati indicato sarebbe limitato a 2 anni in relazione sia al marketing che alla profilazione), nei gestionali utilizzati dalla società sono risultati presenti dati personali dei clienti, titolari della carta fedeltà, unitamente alle informazioni relative agli acquisti a far data dall’anno 2015, nonché dati di dettaglio degli scontrini, dei punti, del prodotto venduto anche con riferimento a soggetti che non hanno espresso il consenso alla profilazione”;
- circa il “gestionale Dynamics”, a seguito di una ricerca, l’Autorità Garante notava che la società ha inviato e-mail promozionali a 13 clienti successivamente “alla data di disiscrizione degli stessi dal marketing del Loyalty”, nonché in modo analogo, sul “gestionale ContactLab” con invio di comunicazioni di “… marketing a 4.259 consumatori” prive di consenso poiché revocato.
La prima memoria difensiva (ottobre 2021)
La società del Gruppo Benetton inviava una prima memoria difensiva nell’ottobre del 2021 sollevando, anzitutto, un’eccezione procedurale consistente nella presunta tardività della notifica da parte dell’Autorità sulla base del Regolamento 2/2019, di fatto poi respinta.
Nel merito, la società confermava poi “di aver comunque provveduto a completare già da tempo le attività di implementazione delle misure organizzative e tecniche volte a superare i profili di possibile criticità rilevati in sede di ispezione […] implementando una nuova tecnologia di gestione cookie da parte degli utenti, con l’adozione della piattaforma Cookiebot, volta a consentire all’utente di gestire in autonomia gli eventuali consensi rilasciati, producendo anche i nuovi testi di banner ed informative”.
Non solo, la società nel difendersi dalle prime contestazioni mosse dall’Autorità sottolineava come l’idea/progetto di un “Database Unico fosse finalizzato a razionalizzare, centralizzare e garantire la corretta gestione dei dati e dei consensi degli iscritti alle fidelity card” superando di fatto i rilievi critici mossi in sede di prima contestazione.
La seconda contestazione (marzo 2022)
L’Autorità Garante con la seconda contestazione, respingendo la richiesta di archiviazione (fatta dalla difesa), ha ravvisato le violazioni dei principi di minimizzazione e limitazione della conservazione, rilevando persistenti criticità anche alla luce dell’ingente complessivo numero di iscritti solo alla newsletter, quasi 250 mila persone, le quali risultavano aver disattivato il servizio.
La seconda memoria difensiva (aprile 2022)
La seconda memoria difensiva inviata dalla società in questione, un anno dopo e più precisamente nell’aprile del 2022, sostanzialmente offriva e forniva elementi, integrazioni e chiarimenti necessari, insistendo sulla richiesta di archiviazione già presentata con la prima predetta memoria difensiva.
Oltre a puntualizzazioni precipue circa il funzionamento del data base unico e la creazione di un unico record relativo a un caso di specie (di una signora ancora titolare di una fidelity card, revocando il solo consenso alla newsletter) circa “…la presenza, nei sistemi Benetton, dei dati riferiti alle anagrafiche dei clienti che non abbiano richiesto la cancellazione del proprio account o che non abbiano avanzato specifiche richieste di anonimizzazione” la società del Gruppo Benetton osservava testualmente che “in relazione all’iscrizione al servizio e-commerce (necessario per effettuare gli acquisti) e all’iscrizione al programma fidelity card, tali servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo”.
In pratica, un processo automatico di cancellazione dei dati relativi alle transazioni od acquisti risalenti ad un periodo superiore a 24 mesi, non era possibile.
Osservazioni, risultanze, misure, violazioni e ordinanza ingiunzione
L’Autorità Garante per la protezione dei dati, nel provvedimento in questione, fa diverse osservazioni, ponendo in luce risultanze e indicando le misure da adottare per giungere all’individuazione delle violazioni da contestare, e così ingiungendo un’ordinanza ingiunzione pari ad euro 240.000,00.
Le osservazioni dell’Autorità e l’archiviazione
Il Garante inizia, fugando ogni dubbio preliminare, con l’osservazione che respinge energicamente l’eccezione pregiudiziale con cui la società del Gruppo Benetton aveva sollevato, circa la tardività del notifica contenente la prima contestazione, dicendo chiaramente che l’intempestività non poteva, nel caso di specie, affatto sussistere in quanto “notevolmente condizionata tanto da effettive esigenze di verifica e comprensione delle dinamiche di trattamento di Benetton quanto dall’eccezionale e nota condizione di limitazioni e di incertezza legate all’emergenza pandemica”.
In secondo luogo, l’Autorità con riferimento alla gestione dei cookie rinnovata e implementazione del data base dei clienti (unico record con una sola opzione di volontà -positiva o negativa- per servizi di fidelity card; e-commerce; iscrizione alla newsletter), ha apprezzato le azioni poste in essere dalla società in questione, certa che nella pratica, l’utente/interessato disiscritto non avrebbe più ricevuto alcuna newsletter promozionale.
Da qui, l’archiviazione di questa fetta di contestazione.
Risultanze complessive e misure da adottare, secondo l’Autorità
Richiamandoci al punto 6.3 del provvedimento in disamina, il Garante ravvisa, complessivamente, una serie di illiceità nelle condotte poste in essere dalla società del Gruppo Benetton ingiungendole di “cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 10 giorni dalla data di ricezione del presente provvedimento”; nonché di “… adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, minimizzazione e limitazione della conservazione, entro 30 giorni dalla data di ricezione del presente provvedimento”.
Le violazioni accertate e l’ordinanza ingiunzione di 240mila euro
Le violazioni accertate dall’Autorità Garante sono, dunque molteplici.
Anzitutto, il Gruppo Benetton ha violato i principi di minimizzazione e di limitazione della conservazione ex art. 5, par.1, lett. c) ed e), del GDPR. Poi non ha adottato misure di sicurezza adeguate ex art. 32, par.1, lettere b) e d), e par. 2 – GDPR e, per l’effetto, non avrebbe garantito una coerente “capacità di assicurare su base permanente la riservatezza… e l’integrità” dei dati trattati, in assenza di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
In altre parola, l’Autorità ci sta dicendo che nel considerare un adeguato livello di sicurezza, bisogna considerare i rischi presentati dal trattamento derivanti da distruzione, perdita, modifica, divulgazione non autorizzata o accesso, accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Ma vi è di più.
Il Garante nelle condotte assunte da Benetton ha ravvisato altresì un vulnus a uno dei principi cardine dell’intero impianto normativo e cioè alla famigerata “accountability”, circa le comunicazioni di dati personali a soggetti terzi (TikTok e Facebook, quali partner commerciali) per finalità di marketing e profilazione.
Nel merito, il Garante ha argomentato affermando testualmente che “è rimasto poco definito e chiaro il rapporto con tali piattaforme relativamente ai trattamenti dei dati effettuati in nome e/o per conto di Benetton, nonché l’ambito e le modalità degli stessi, considerato che Benetton ha fornito al riguardo solo copia dei termini di servizio somministrati in via standard da tali due Società terze alla generalità dei propri utenti, senza spiegare né produrre documentazione relativamente al ruolo, nella fattispecie, di queste nel trattamento dei dati ed ad eventuali istruzioni operative date loro”.
In pratica, la società del Gruppo Benetton ha violato il principio di accountability per non avere rendicontato in maniera corretta, congrua e coerente i rapporti con i due colossi del social (Tik Tok e Meta).
Da qui, la quantificazione della sanzione irrogata per un importo pari a 240 mila euro. L’Autorità ha ritenuto di infliggere una multa (abbastanza) esemplare sulla base dell’elevato numero degli interessati coinvolti nonché la notevole durata delle violazioni, tenute conto le circostanze aggravanti come:
- la soggettività della condotta, gravemente colposa in ragione della difformità della condotta alla luce della consistente attività provvedimentale dell’Autorità, con particolare riferimento alla conservazione dei dati (lett. d);
- il “volume d’affari” (510.143.722,00 euro).
Parimenti, in ottica di bilanciamento, l’Autorità ha altresì valutato le circostanze attenuanti, come:
- l’assenza di precedenti procedimenti;
- la collaborazione e trasparenza in sede ispettiva e più in generale durante l’intrea fase istruttoria.
Punti salienti del provvedimento e insegnamenti per tutti
Da questo lungo e, a tratti cavilloso, provvedimento emerge come i punti salienti siano sostanzialmente due: la gestione dei cookies e la data retention insegnando come ci si deve comportare e come non.
La gestione dei cookie
Circa la gestione dei cookies, richiamandoci per completezza alle Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021, il comportamento della società del Gruppo Benetton è stato mirabile al punto tale che, grazie alle tempestive, ancorché in corso d’opera e durante il procedimento, azioni correttive, sistematiche e radicali, ha fatto si che l’Autorità archiviasse su questo punto questo aspetto.
La data retention
Sulla data retention invece la condotta e relativa gestione della questione da parte della società in questione, non si può dire che costituisca proprio un esempio da imitare, pur tenendo conto che il tema sia decisamente spinoso.
Più in generale, richiamando quanto già scritto, la conservazione dei dati per finalità di marketing/profilazione, sarà difficile vedere alla luce criteri ufficiali, pur richiamando alcuni provvedimenti emessi dal Garante come il 181/2020 con il quale ha (finalmente) chiarito che “il limite per conservare dati personali, raccolti con il consenso dell’interessato, per scopi di marketing e profilazione, sia di due anni”.
Ne consegue che in termini di conservazione dei dati, non si può scegliere arbitrariamente, ma occorre sempre giustificarsi con ragionevoli motivi controllabili.
Ecco che, in pieno spirito di accountability, una società – titolare del trattamento – per essere conforme con questo delicato aspetto di compliance al GDPR occorre che sappia sempre spiegare, all’occorrenza, perché si è scelto un certo periodo (di conservazione) piuttosto che un altro. Qui famosi criteri cioè che andrebbero già indicati nell’informativa.
