Parlare di fashion e privacy significa analizzare tutte le possibili implicazioni che la data protection e il trattamento dei dati personali possono avere sul mondo della moda, tenendo conto anche del processo di digitalizzazione che ha interessato questo importante settore produttivo.
È ormai noto, infatti, come la complessità della filiera della moda abbia inevitabili implicazioni dal punto di vista legale e abbracci uno spettro assai ampio di discipline giuridiche che includono il diritto della proprietà intellettuale, il diritto commerciale, il diritto societario, le discipline giuslavoristiche, il diritto ambientale e la protezione dei dati personali.
Indice degli argomenti
Fashion e privacy: il valore strategico dei dati personali
Nel corso dell’ultimo anno la crisi sanitaria ha duramente colpito l’industria della moda e molte realtà aziendali si sono trovate nell’obbligata condizione di accelerare il proprio processo di digitalizzazione attraverso il potenziamento degli e-commerce, dei canali di comunicazione online e mediante l’organizzazione di eventi interamente digitali come la Digital Fashion week.
Nel contesto della crisi sanitaria, le attività online hanno costituto il principale canale di comunicazione e vendita per le aziende della fashion industry, determinando una crescita esponenziale del quantitativo dei dati personali trattati dalle stesse, con un conseguente aumento del valore strategico dei dati personali di clienti e prospect.
In questo contesto è di fondamentale importanza che le aziende del mondo fashion abbiano consapevolezza degli obblighi e dei limiti correlati al trattamento di dati personali e che si conformino ai principi del Regolamento 2016/679 (GDPR), tenendo anche in debita considerazione le Linee Guida e le raccomandazioni recentemente emesse dall’European Data Protection Board (EDPB) e le sentenze pronunciate dalla Corte di Giustizia Europea.
GDPR e Fashion Industry: applicazione e principi fondamentali
Le aziende che operano nel settore della moda possono trovarsi ad effettuare trattamenti di dati personali per il perseguimento di molteplici finalità, come la gestione delle risorse produttive, le attività di marketing, la gestione del personale, la sicurezza degli stabilimenti produttivi e dei punti vendita e, nel contesto della pandemia, anche la tutela della salute nel rispetto delle disposizioni previste dal Protocollo Covid-19 in relazione all’utilizzo di dispositivi per la rilevazione della temperatura corporea dei dipendenti e dei visitatori.
Le conseguenze della mancata applicazione dei principi del GDPR a tutti questi trattamenti possono avere un impatto estremamente rilevante per le PMI così come per i gruppi internazionali del settore, in quanto le Data Protection Authority (DPA) hanno il potere di comminare sanzioni di importo fino al 4% del fatturato mondiale per le violazioni più gravi della normativa sulla protezione dei dati personali.
Fashion e privacy: l’applicazione del principio di accountability
Ogni titolare e responsabile – in ottemperanza del principio di accountability – deve impegnarsi ad agire in conformità ai dettami della normativa applicando, con rigore, il principio di minimizzazione dei dati (per il quale possono essere trattati unicamente i dati personali strettamente necessari al perseguimento delle finalità prestabilite) e gli obblighi derivanti dal principio di trasparenza.
Nello specifico le aziende del comparto fashion devono porre particolare attenzione a rendere un’informativa completa – predisposta ad hoc per ogni specifica categorie di soggetti interessati (clienti, fornitori, dipendenti, collaboratori) – e declinata in relazione allo strumento utilizzato per il trattamento in oggetto (raccolta dati tramite form cartaceo, sito web o mobile app).
Tra le varie informazioni contenute nel testo dell’informativa dovrà essere indicato se i dati personali oggetto di trattamento potranno essere trasferiti verso un paese extra-UE. A questo proposito è bene ricordare che la Corte di Giustizia dell’Unione Europea – rilevando l’inadeguatezza della legislazione degli Stati Uniti nell’offrire standard di protezione equivalenti a quelli europei- si è pronunciata invalidando il Privacy Shield. Con questa sentenza, la Corte ha rilevato anche come il GDPR imponga all’esportatore di dati europeo di verificare, ex ante e caso per caso, se un determinato trasferimento di dati personali offra garanzie adeguate ed eventualmente prevedere l’implementazione di misure supplementari intese a potenziare il livello di protezione al fine di rendere legittimo il trasferimento.
Uso di dati personali per attività promozionale e di profilazione
La fashion industry è uno dei settori di business più dinamici e competitivi che fa del marketing e della valorizzazione del brand uno strumento determinante per il successo dei trend del momento. Non bisogna però dimenticare che per pianificare una campagna marketing (sia online che offline) l’analisi dei profili giuridici relativi al trattamento dei dati personali ricopre un ruolo essenziale.
Il Garante per la protezione dei dati personali, con il provvedimento del 24 febbraio 2005 in materia di Fidelity Card, aveva fissato, rispettivamente, in 12 e 24 mesi i termini per l’utilizzo dei dati personali per finalità di profilazione e di marketing, lasciando però ai titolari del trattamento la possibilità di sottoporre all’Autorità una richiesta di parere preliminare qualora questi intendessero superare tali limiti di conservazione.
Successivamente, alcune aziende del settore luxury si sono rivolte al Garante al fine di estendere i termini di conservazione dei dati personali della customer base per finalità di marketing e profilazione. Nei casi portati alla sua attenzione, l’Autorità ha ritenuto che i dati personali oggetto di trattamento fossero relativi ad acquisti di “beni particolari”, quali devono considerarsi i beni di lusso, e aveva pertanto considerato ragionevole ritenere che 12 mesi per la conservazione di questi dati fossero un arco temporale eccessivamente limitato, anche in considerazione della frequenza media annuale di acquisto dei clienti.
In ogni caso, lo scorso 15 ottobre l’Autorità ha dichiarato che le disposizioni del provvedimento del 24 febbraio 2005 devono considerarsi superate dall’entrata in vigore del GDPR per cui, in ottemperanza del principio di accountability, spetta al singolo titolare del trattamento determinare, caso per caso, quanto a lungo sia lecito protrarre un trattamento di dati personali per finalità di marketing o profilazione, in conformità ai principi di proporzionalità, necessità e minimizzazione.
Nello specifico, l’Autorità ha rilevato che il consenso al trattamento per finalità promozionali – in quanto espressione della libertà di autodeterminazione dell’individuo – deve considerarsi separato e non condizionato da un rapporto contrattuale esistente e, qualora sia stato validamente acquisito, il consenso deve ritenersi valido, indipendentemente dal tempo trascorso, fino al momento in cui questo non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento, nonché dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento.
Fashion Industry e uso di applicativi a elevato contenuto tecnologico
La crisi sanitaria ha accelerato il processo di digitalizzazione e alcune aziende hanno deciso di ricorrere a nuovi strumenti di engaging mediante lo sviluppo di applicazioni che utilizzano tecnologie sofisticate (come la realtà aumentata) e che consentono a clienti e prospect di interagire virtualmente con i prodotti offerti fino addirittura a provare un make-up sul proprio viso.
Ai fini della conformità alla normativa europea in materia di data protection è bene rilevare che un’organizzazione che intende ricorrere a questo tipo di applicativi per migliorare l’esperienza d’acquisto online dei propri clienti deve agire con la consapevolezza che l’utilizzo di questi strumenti comporta un trattamento di dati personali – talvolta di dati particolari – per cui il titolare potrebbe essere tenuto ad effettuare una preventiva valutazione di impatto (DPIA) finalizzata all’accertamento dei rischi a cui i soggetti interessati sono esposti nel caso concreto.
Nello specifico, l’art. 35 del GDPR prevede l’obbligo di DPIA nel caso in cui vi sia un trattamento automatizzato che possa avere conseguenze giuridiche sulle persone fisiche – compresa la profilazione – e qualora vi sia trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9, come i dati biometrici.
In questi casi, lo svolgimento di una valutazione di impatto preventiva è di fondamentale importanza per verificare la coerenza del trattamento ai principi di privacy by design e privacy by default sanciti dal GDPR e per dimostrare l’accountability del titolare.
Particolare attenzione dovrà essere anche posta alle misure di sicurezza implementate per garantire un’adeguata protezione ai dati personali oggetto di trattamento e alla predisposizione di specifiche modalità di accesso per i minori, qualora questi possano essere potenziali destinatari dell’applicativo (come, ad esempio, prevedere un sistema che consenta ai genitori di autorizzare il trattamento dei dati personali del figlio minore).
Conclusioni
La fashion industry è un settore in fase di rapida trasformazione che sta sperimentando nuove soluzioni tecnologiche per superare l’attuale crisi.
La predisposizione di valide strategie per la protezione dei dati personali gioca un ruolo essenziale per il successo del processo di digitalizzazione di questo settore.
Le industrie del settore dovranno confrontarsi quotidianamente con il tema della protezione dei dati personali per uscire da questo periodo di contrattura più forti e tornare ad essere, più che mai, motivo di orgoglio del nostro Paese.
