‘Fidelity card’ per i clienti e gestione dei loro dati personali: multa per Rinascente spa
Come accertato dal Garante per la privacy, la società ha trattato in modo illecito dati personali di milioni di clienti nell'attività di marketing e profilazione, dati raccolti mediante l’uso delle ‘carte di fedeltà’
Multa di 300.000 euro per la società ‘Rinascente S.p.A.’, colpevole, secondo quanto accertato dal Garante per la privacy, di aver trattato in modo illecito dati personali di milioni di clienti nell'attività di marketing e profilazione, dati raccolti mediante l’uso delle ‘carte di fedeltà’. A sollecitare il Garante è stata la segnalazione di una cliente che, dopo un alterco con un’addetta del negozio, si era vista annullare la ‘fidelity card’ erogatale anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante. La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla sua ‘scheda cliente’. Oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della ‘Rinascente’, condotto dalla ‘Guardia di Finanza’, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali. Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla ‘fidelity card’ denominata ‘friendscard’, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante ‘Facebook-Meta’, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana. Riguardo, infine, all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la ‘Rinascente’ avesse predisposto la procedura di valutazione d’impatto prevista dal regolamento europeo sulla protezione dei dati personali. A fronte di tale quadro, il Garante ha prescritto alla ‘Rinascente’ di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti. (Provvedimento dell’8 giugno 2023 del Garante per la protezione dei dati personali)