Fidelity Card, marketing e profilazione: provvedimento del Garante nei confronti di Douglas

Con il provvedimento del 20 ottobre 2022 il Garante Privacy Italiano GPDP ha comminato una sanzione pari a 1 milione e 400 mila euro nei confronti della nota catena di profumerie Douglas Italia S.p.A.

Il procedimento che ha portato alla sanzione milionaria è partito da un semplice reclamo, a cui l’azienda non ha dato pronto riscontro, ai sensi degli artt. 15-22 del Regolamento europeo in materia di protezione dei dati personali (GDPR). 

Spunto operativo: occorre predisporre procedure di riscontro all’interessato entro il termine di un mese dalla stessa – cfr. art. 14.3 GDPR; differentemente lo stesso provvederà all’Autorità Garante Privacy GPDP che potrebbe aprire un’attività ispettiva.

Dalla condotta lamentata, infatti, è emersa la necessità di svolgere ulteriori approfondimenti da parte dell’Autorità Garante, non solo rispetto alla gestione delle istanze degli interessati, ma anche con riguardo ai trattamenti svolti “per finalità di marketing e di profilazione”. 

Ancora una volta, da ciò emerge prepotente l’impatto del mezzo di ricorso di cui all’art. 77 del GDPR, fondamentale ausilio per la tutela dei diritti e delle libertà degli interessati e strumento pericoloso per le organizzazioni segnalate all’Autorità, per trattamenti non conformi al GDPR. In prima battuta, infatti, il Garante ha rilevato come quanto lamentato (ovvero il mancato riscontro all’istanza) costituisse un caso isolato, a fronte di una gestione delle istanze privacy “corretta e tempestiva”. Ciononostante, ha comunque ravvisato la necessità di esaminare gli altri trattamenti condotti dalla società, partendo dalla APP aziendale. 

Trasparenza: fra condizioni generali civilistiche e normativa privacy

In merito all’APP, il Garante ha evidenziato un importante difetto di trasparenza nei confronti degli interessati: agli utenti veniva apparentemente richiesta una dichiarazione unica (“Ok, ho capito. Acconsento”) per manifestare la comprensione di documenti aventi fini diversi: “condizioni generali di vendita”; “informativa dati personali” e “informativa dedicata ai Cookies”. L’Autorità ha quindi ribadito che “l'elemento dell’espressione della volontà dell'interessato deve necessariamente essere correlato ad un idoneo quadro informativo sul trattamento fornito dal titolare, in difetto del quale la volontà dell'interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento”. Per tale ragione, anche a seguito della valutazione degli atti della difesa, ha confermato quanto contestato (ovvero, la violazione degli artt. 6, 7 e 12: condizioni di liceità del trattamento, validità del consenso e trasparenza).

Inoltre, con riferimento al documento “informativa dati personali” dell’APP, l’Ufficio del Garante ha rilevato la presenza di trattamenti che, concretamente, non venivano posti in essere (quali la geolocalizzazione, il marketing di prossimità e l’accesso a contatti in rubrica / alla messaggistica). Pertanto, ha ingiunto di modificare il documento, considerando che le informative devono indicare solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.

Spunto operativo: occorre lavorare sin dalla progettazione dei siti web e delle app  | privacy by design | garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies e dei rispettivi consensi.

Allo stesso modo, la pagina web “Beauty Stories” (blog della società), rimandava all’informativa generale presente sul sito, comprensiva di finalità non pertinenti rispetto al trattamento svolto tramite il blog. L’Autorità ha rilevato, anche in questo caso, una violazione del principio di accountability e dell’art. 13 del GDPR (in relazione alle informazioni fornite agli interessati).

Attenzione: sulle aree di inserimento dati il GPDP ha rilevato la mancanza di procedure di conferma dei dati inseriti dall’interessato – doppio opt in – già rilevato in altri provvedimenti degli anni scorsi essendo quindi un problema di progettazione “privacy by design” o “privacy by default” se previsto ma non attivato.  

Sul consenso 

In via preliminare, Douglas Italia S.p.A. ha rappresentato di essere soggetta all’attività di direzione e coordinamento della società capogruppo Douglas GMBH e di essersi costituita nel 2019 dalla fusione con le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa. Il principale database clienti è stato popolato mediante l’incorporamento delle relative anagrafiche clienti.

 L’ufficio del Garante ha quindi richiesto di fornire esempi di informative e consensi al marketing distinti per le tre predette società. Douglas Italia ha fornito riscontro in sede di memoria, fornendo i testi richiesti e traccia del consenso.

Sempre in relazione alla gestione dei consensi, la società ha provveduto a raccogliere manifestazioni di volontà libere e specifiche, rispetto alle diverse finalità del trattamento perseguite, quali:

• Marketing diretto;
• Profilazione;
• Marketing da parte delle società partner;

precisando, al contempo, che l’eventuale mancato conferimento dei dati non avrebbe precluso l’attivazione della Card Douglas.

La contestazione relativa al consenso è quindi stata archiviata.

Suggerimenti: nei gruppi internazionali occorre sempre definire scambi di informazioni e comunicazioni fra Local privacy DPO o Manager e Headquarter – in quanto nel provvedimento per alcune attività il GPDP rileva il ritardo nelle risposte da parte della capogruppo Douglas GMBH 

Attenzione: Il consenso deve essere distinto per finalità e granulare quali marketing diretto; Profilazione; Marketing da parte delle società partner

Indicazioni sulla conservazione 

In merito alla conservazione dati, l’Ufficio del Garante ha rilevato diverse criticità, fra cui il mancato rispetto dei “principi di finalità e limitazione della conservazione”, ai sensi dell’art. 5 del GDPR, nonché di quanto stabilito nel 2005, attraverso il provvedimento a carattere generale “Fidelity Card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”. Proprio quest’ultimo provvedimento, seppure a distanza di anni, costituisce ancora il principale riferimento per garantire la conformità dei programmi di fidelizzazione, alla luce dei principi di accountability e di “responsabilità generale” introdotti dal GDPR (v. Considerando n. 74).

Nel caso in esame, i dati dei clienti delle tre preesistenti società, che non avevano ancora attivato la fidelity di Douglas, sono stati conservati nello stato “inattivo”. Nei confronti di questi soggetti, un bacino composto da più di 3 milioni di persone, la società ha escluso l’invio di comunicazioni commerciali di qualsiasi tipo. Tuttavia, le anagrafiche sono state conservate in maniera persistente, per facilitare eventuali “operazioni di travaso” al fine di favorire il rinnovo della Card. In questo caso, nel confermare la contestazione, l’Autorità:

• ha ricordato che la conservazione è essa stessa un’operazione di trattamento e che non può basarsi su uno scenario di rinnovo meramente eventuale;
• ha imposto la cancellazione dei dati personali dei clienti delle tre società incorporate, limitatamente a quelli risalenti ad un periodo maggiore di 10 anni, entro 15 giorni;
• ha imposto la cancellazione, o la pseudonimizzazione, dei dati personali dei clienti delle tre società incorporate risalenti ad un periodo massimo di 10 anni, entro 30 giorni;
• nel caso in cui la società scelga la pseudonimizzazione, ha imposto alla stessa di avvisare gli interessati, entro 60 giorni, riguardo alla possibilità di rinnovare la loro vecchia Card (Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa) con la nuova Card Douglas entro 6 mesi informando altresì che, in caso di mancato rinnovo entro il detto termine, i loro dati verranno cancellati;
• ha rilevato che, nei confronti dei clienti delle tre società incorporate, Douglas Italia S.p.A. non ha provveduto a fornire l’apposita informativa redatta ai sensi dell’art. 14 del regolamento.

Analoghe considerazioni vanno fatte in relazione ai tempi di conservazione previsti da Douglas nell’informativa resa ai propri clienti: il Garante, anche in questo caso, ha rilevato una non conformità e ingiunto alla società di adottare misure organizzative e tecniche idonee a garantire una conservazione correttamente improntata ai citati principi di finalità e di limitazione. In particolare, la conservazione dovrebbe essere “selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti, ancor più considerato che, in tal caso, la Società svolge con essi attività promozionale o di profilazione, e quindi non li detiene in modo inattivo”. Ciò a prescindere dalla facoltà, in capo agli interessati, di revocare, in qualunque momento, il consenso prestato al trattamento.

Attenzione: pur  consapevoli della possibilità di estensione dei periodi di conservazione da parte del titolare del trattamento, in particolare in riferimento al settore lusso, sulla base di una valutazione di impatto posta all’attenzione del DPO è importante osservare che sul provvedimento pubblicato il GPDP richiama i tempi di conservazione previsti dal Provvedimento generale “Fidelity Card” del 24 febbraio 2005 – con un errore però delle indicazioni in quanto i 12 mesi sono previsti per la finalità profilazione e i 24 mesi per la finalità marketing e non viceversa come indicato

L’attività di telemarketing

In sede d’ispezione, è stato anche accertato che, se i clienti avevano prestato il consenso ai soli sms promozionali, in realtà ricevevano anche telefonate promozionali, e viceversa. La società ha quindi tentato di giustificarsi dichiarando che “le modalità promozionali (sms e telefono) seguono il modello stabilito ed indicato dalla capogruppo tedesca in formato standard”, di essere consapevole di tale non conformità e di aver provveduto ad adeguare la procedura alla vigente normativa.

Il Garante ha quindi ritenuto confermata la violazione ma, alla luce del carattere residuale dell’attività e delle misure introdotte dalla società, ha deciso di non adottare alcuna prescrizione correttiva.

Spunti operativi in sintesi

Vista la complessità del provvedimento sopra esaminato, che coinvolge molteplici profili, riassumiamo a seguire, per punti, i principali elementi da attenzionare.

• Da un reclamo può nascere un procedimento ispettivo ad ampio spettro;
• Fondamentale attivare un piano di gestione delle istanze privacy, per fornire riscontro in modo celere agli interessati ed evitare reclami e segnalazioni;
• Necessario fornire agli interessati informazioni facilmente accessibili e comprensibili, soprattutto in ambienti online;
• I termini e le condizioni di servizio (redatte per regolare il rapporto giuridico fra le parti), devono essere chiaramente distinte dalle informazioni sul trattamento fornite ai sensi dell’art. 13 del GDPR e dalle informazioni relative al tracciamento dei dati di navigazione degli utenti mediante cookies;
• Il Garante ha verificato anche l’applicazione delle Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021;
• Le informazioni fornite ai sensi dell’art. 13 del GDPR agli interessati devono essere pertinenti: APP, blog, siti web tematici, necessitano di informative specifiche / dedicate;
• Il consenso deve sempre poter essere comprovato e comprovabile;
• Il consenso deve essere distinto e granulare per finalità quali marketing diretto; Profilazione; Marketing da parte delle società partner;
• Nel contesto del telemarketing, le scelte effettuate dagli utenti, in relazione alle modalità di contatto (quali SMS o email) devono essere rispettate;
• Il provvedimento a carattere generale “Fidelity Card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” è ancora attuale e costituisce il riferimento per la determinazione dei termini di conservazione dei dati connessi alle Fidelity Card;
• Interessante notare come il Garante, nel provvedimento in esame, ha imposto “la cancellazione, o la pseudonimizzazione, dei dati personali dei clienti delle tre società incorporate risalenti ad un periodo massimo di 10 anni”. In precedenti provvedimenti (comprese le regole a carattere generale sulle Fidelity), si faceva riferimento alla anonimizzazione dei dati, ovvero la “la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati”;
• La conservazione deve essere sempre chiaramente definita e non può basarsi su scenari meramente eventuali / ipotetici. Va sempre fatta una valutazione nell’ottica di accountability. Tutte le scelte vanno descritte e giustificate.

Per trattamenti delicati quali l’attività di profilazione, l’utilizzo di carte fedeltà, il marketing ed il telemarketing, la conoscenza dei provvedimenti e della prassi in materia di protezione dei dati personali costituisce un elemento chiave per determinare la conformità o meno della tua organizzazione. Il fai da te è rischioso, così come è rischioso il ricorso a soluzioni non convenzionali.

Fonti: 

• Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. - 20 ottobre 2022
• 'Fidelity Card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione - 24 febbraio 2005

Articolo a cura di Matteo Colombo, Amministratore delegato e Data Protection Consultant, e Federico Corti, Data Protection Consultant.