Fidelity card, Garante Privacy multa la Rinascente per 300 mila euro (Foto cottonbro studio per Pexels)
Fidelity card, Garante Privacy multa la Rinascente per 300 mila euro
Il Garante Privacy multa la Rinascente per 300 mila euro per il trattamento dei dati personali nelle fidelity card
Fidelity card, ancora una sanzione dal Garante Privacy. Questa volta l’Autorità ha multato la Rinascente SpA per 300 mila euro per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione attraverso l’uso delle carte di fedeltà.
Fidelity card con riferimenti offensivi, il caso
L’intervento del Garante Privacy è avvenuto dopo la segnalazione di una cliente. Dopo un alterco con un’addetta di uno store Rinascente, la cliente si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, che aveva, nella parte relativa all’intestazione, dei riferimenti offensivi nei suoi confronti. La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.
Oltre alla violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali.
I risultati dell’istruttoria
Come spiega il Garante Privacy nella sua ultima newsletter, nel corso dell’istruttoria è emerso che “nell’informativa relativa alla fidelity card denominata “friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana. Riguardo infine all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR”.
L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti.
Nel definire l’ammontare della sanzione a 300 mila euro, il Garante Privacy ha considerato l’alto numero di clienti coinvolti nelle violazioni – più di 2 milioni di persone sono risultate iscritte presso i negozi oppure online – la loro durata e la capacità economica della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.
