La multa è scattata per la mancata conformità ai principi di minimizzazione e limitazione della conservazione dei dati, una battaglia che da anni ormai combattiamo insieme all’Unione Europea.
La vicenda, inoltre, ruota anche attorno all’assenza di adeguate misure di sicurezza e conservazione (di dati personali), senza limiti temporali – si parla di una data retention decennale -, ai fini di marketing e di profilazione.
I dati dei clienti, infatti, venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.
Nonostante la nota sia del 28 giugno 2023, vi sono state – nel tempo – diverse contestazioni.
La vicenda, infatti, ha radici ben più profonde e lontane. E, dunque, per avere un quadro più chiaro e completo della situazione è bene ripercorrere alcune di queste tappe e, soprattutto, analizzare alcune memorie, come quelle contenute in un Provvedimento 27 aprile 2023, n. 188 (testo in calce).
Nel provvedimento, innanzitutto, si specifica che “nell’ambito dei controlli programmati dal Garante con deliberazione n. 42 del 14 febbraio 2019, il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione dell’attività ispettiva delegata, ha effettuato fra il 5 e il 7 novembre 2019 presso Benetton Group S.r.l. (di seguito “Società”) accertamenti con riguardo al trattamento dei dati personali per finalità di marketing e profilazione”.
I fatti contestati dall’Autorità Garante della privacy alla Società del Gruppo Benetton risalgono al lontano 2015, quando la Società raccoglieva e conservava i dati raccolti tramite le fidelity card, anche di ex clienti, creando – come scrive bene il Garante – “una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione”. Inoltre, dalle verifiche effettuate dall’Autorità Garante, si evinceva che “il database gestionale (della Società) era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in sette paesi europei da qualunque dispositivo connesso alla rete internet (PC, smartphone, tablet), tramite un’unica password e un unico account”.
Dunque, è facilmente intuibile che si tratti di una vera e propria mole di dati (personali) trattati in modo non legittimo.
Inoltre, dal presente documento si desume la prima contestazione – risalente al 29 settembre 2021.
In tal caso, l’accertamento ispettivo, reso difficile dalle restrizioni causate dalla pandemia Covid-19, aveva lo scopo di avviare un procedimento amministrativo, per evidenziare alcune criticità. In particolare:
- con riferimento al sito familycard.benetton.com, il “banner informativo relativo all’utilizzo dei cookie, propri e di terze parti (tecnici, marketing e profilazione)”, bisognava accettarlo senza poter deselezionare le tipologie di cookie e, inoltre, l’informativa estesa non menzionava tra i cookie utilizzati quelli di profilazione – indicati, invece, nel banner -, ma solo quelli tecnici, di marketing diretto, di marketing e retargeting (azioni di recupero dell’audience che avvengono attraverso l’utilizzo di campagne di advertising. Grazie al retargeting è possibile incentivare un potenziale cliente a tornare nuovamente sul sito per concludere un’azione che non ha intrapreso durante la visita iniziale) di terzi;
- con riguardo al sito blackcard.sisley.com, pur presentando un “collegamento ipertestuale – clicca qui”, il banner dei cookie rimandava, per errore di puntamento, ad una pagina bianca del sito stesso (c.d. area test) e il link cookie presente sul footer risultava sprovvisto della relativa informativa. Inoltre, non era presente alcun form di manifestazione di volontà relativamente all’utilizzo dei cookie;
- per di più, contrariamente a quanto indicato nel registro dei trattamenti e nell’informativa rilasciata al cliente per l’adesione ai programmi loyalty (in base ai quali il tempo di conservazione dei dati indicato sarebbe limitato a 2 anni, in relazione sia al marketing che alla profilazione), nei gestionali utilizzati dalla società risultarono presenti i dati personali dei clienti – titolari della carta fedeltà – unitamente alle informazioni relative agli acquisti, a far data dall’anno 2015, nonché dati di dettaglio degli scontrini, dei punti ottenuti e del prodotto venduto – anche con riferimento a soggetti che non avevano espresso il consenso alla profilazione dei dati;
- inoltre, a seguito di una ricerca sul gestionale Dynamics, era emerso che la società aveva inviato delle e-mail promozionali a 13 clienti successivamente “alla data di disiscrizione degli stessi dal marketing del Loyalty”;
- in modo analogo, da una ricerca selettiva sul gestionale “ContactLab” era emerso che la società aveva inviato una comunicazione di marketing a 4.259 consumatori iscritti al Loyalty program (comunicazione prive di consenso, poiché il consenso all’invio di comunicazioni di marketing (DB Dynamics) era antecedente alla data di disiscrizione dal servizio Newsletter on line e, quindi, era un consenso alla ricezione di comunicazioni promozionali (già precedentemente) revocato.
Dunque, in base a quanto sopra evidenziato, veniva contestato alla Società la presunta violazione delle seguenti disposizioni:
- articolo 13 del Regolamento generale sulla protezione dei dati (GDPR);
- articolo 6 del Regolamento generale sulla protezione dei dati (GDPR) e art. 122 del Codice Privacy, anche alla luce di quanto indicato nel provvedimento del Garante 8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (in G.U. n. 126 del 3 giugno 2014);
- art. 5, par.1, lett. c) ed e) del GDPR;
- art. 6 del GDPR e art. 130 del Codice Privacy.
2. La prima contestazione da parte della Società
La Società, da parte sua, riguardo questa prima contestazione aveva inviato una memoria difensiva il 27 ottobre 2021, con la quale, in via preliminare, aveva sottolineato come, a suo avviso, “la notificazione della comunicazione delle presunte violazioni in oggetto sia stata effettuata da codesta Autorità oltre il termine di 120 giorni dalla data dell’accertamento, previsto dalla Tabella B, n. 2), del Regolamento n. 2 2/2019 del Garante”, affermando “l’insanabile tardività della notifica delle contestazioni avanzate nei confronti della Società …”, in quanto avvenuta “… a distanza di quasi due anni dagli accertamenti ispettivi della GdF e di quasi un anno dal riscontro fornito da Benetton all’ultima richiesta di informazioni di codesta Autorità” (v. nota GPDP del 16.11.2020 e riscontro Benetton dell’11.12.2020).
Dunque, sostanzialmente la Società solleva un’eccezione procedurale (consistente nella presunta tardività della notifica da parte dell’Autorità sulla base del Regolamento 2/2019), di fatto poi respinta.
Inoltre, sempre la Società e con la medesima memoria, confermava di “di aver comunque provveduto a completare già da tempo le attività di implementazione delle misure organizzative e tecniche volte a superare i profili di possibile criticità rilevati in sede di ispezione […] implementando una nuova tecnologia di gestione cookie da parte degli utenti, con l’adozione della piattaforma Cookiebot, volta a consentire all’utente di gestire in autonomia gli eventuali consensi rilasciati, producendo anche i nuovi testi di banner ed informative”.
In ordine all’ulteriore profilo inerente la mancata indicazione nell’informativa cookie estesa del sito familycard.benetton.com dei “cookie di profilazione, come quelli indicati nel banner del medesimo sito, ma solo di quelli tecnici, marketing diretto, di marketing e retargeting di terzi”, Benetton specificava che, secondo la propria interpretazione del citato Provvedimento generale, “poiché i cookie di profilazione sono definiti quali cookie volti a creare profili relativi all’utente e che vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete…, quanto indicato nella ‘cookie policy’ del sito di Benetton, in ordine all’utilizzo di cookie di marketing diretto, marketing e retargeting di terzi non costitui(va) altro che una specificazione dei cookie di profilazione utilizzati”.
Dunque, la conservazione dei dati riferiti agli interessati titolari di carta fedeltà, con connessi scontrini e così via, atteneva ad un piano prettamente contrattuale (ad. es. riconoscimento della correttezza dei punteggi attribuiti e dei premi riconosciuti agli aderenti) per il quale il relativo registro dei trattamenti prevedeva un periodo di conservazione pari a dieci anni. La Società, inoltre, sottolineava come l’idea/progetto di un “Database Unico fosse finalizzato a razionalizzare, centralizzare e garantire la corretta gestione dei dati e dei consensi degli iscritti alle fidelity card” superando di fatto i rilievi critici mossi in sede di prima contestazione.
In base alla complessiva disamina di quanto sopra, furono ravvisati i presupposti per ritenere integrata la violazione dell’art. 32, par.1, lettere b) e d), e par. 2, del GDPR, con riguardo alla “capacità di assicurare su base permanente la riservatezza e l’integrità” dei dati trattati e di garantire “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Infine, è da mettere in luce un ulteriore aspetto: con riferimento al tema delle comunicazioni di dati personali a soggetti terzi per finalità di marketing e profilazione, la Società fece riferimento a due social networks – Tik Tok e Facebook -come partner commerciali in tali attività, ma nonostante le richieste rivolte alla Società per un maggiore chiarimento in merito, è rimasto poco definito e chiaro il rapporto con tali piattaforme relativamente ai trattamenti dei dati effettuati in nome e/o per conto di Benetton, nonché l’ambito e le modalità degli stessi (considerato che Benetton ha fornito al riguardo solo copia dei termini di servizio, somministrati in via standard da tali due Società terze, alla generalità dei propri utenti, senza spiegare e/o produrre una documentazione riguardo al ruolo di queste piattaforme nel trattamento dei dati). Quanto considerato, fece ritenere ipotizzabile una violazione del principio di accountability (artt. 5, par. 2, e 24, del Regolamento) poiché la Società pare abbia violato tale principio per non avere rendicontato in maniera corretta, congrua e coerente i rapporti con i due colossi del mondo social. Ecco, dunque, la quantificazione della sanzione amministrativa pecuniaria irrogata, per un importo pari a 240 mila euro. Nonostante ciò, l’Autorità ha valutato le circostanze attenuanti, quali ad esempio: l’assenza di precedenti procedimenti e sia la collaborazione che la trasparenza, in sede ispettiva e generale, durante l’intera fase istruttoria.
3. Osservazioni sulla seconda contestazione
Da qui, la seconda contestazione – risalente al marzo 2022 – dove l’Autorità Garante ha respinto la richiesta di archiviazione (fatta dalla difesa) poiché aveva ravvisato delle violazioni dei principi di minimizzazione e limitazione della conservazione, rilevando “persistenti criticità anche alla luce dell’ingente complessivo numero di iscritti solo alla newsletter, quasi 250 mila persone, le quali risultavano aver disattivato il servizio”. Ciò considerato, l’Autorità ha ritenuto necessario adottare, nei confronti della Società, un provvedimento correttivo con il quale:
- ingiungere di cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di dieci anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria;
- ingiungere di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del GDPR, e in particolare di finalità, minimizzazione e limitazione della conservazione.
Tuttavia, la gravità di dette violazioni è evidenziata sia dalla notevole massa dei dati (accessibili da ciascuno store e riferiti a tutti gli altri store dei Paesi in cui Benetton è presente) che dalla varietà di dettagli personali acquisiti mediante l’utilizzo delle fidelity card.
Dunque, come si legge nel documento “si ritiene necessario, in via correttiva, ingiungere alla Società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store, avvenga nel rispetto dell’art. 32, par.1, lett. b) e d), e par. 2), del Regolamento”.
La seconda memoria difensiva – risalente all’aprile del 2022 e inviata dalla Società – forniva elementi, integrazioni e chiarimenti necessari, insistendo sulla richiesta di archiviazione già presentata con la prima memoria difensiva del 2021.
In particolare, la Società osservava che “in relazione all’iscrizione al servizio e-commerce (necessario per effettuare gli acquisti) e all’iscrizione al programma fidelity card, tali servizi erano stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo”.
Da tale accertamento di illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, l’Autorità ha dichiarato illecito il trattamento effettuato da parte di Benetton per violazione delle seguenti disposizioni:
- art. 5, par.1, lett. c) ed e), del Regolamento;
- art. 32, par. 1, lett. b) e d), e par. 2, del GDPR.
Pertanto, l’Autorità ha ingiunto alla Società:
- di cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 10 giorni dalla data di ricezione del presente provvedimento;
- di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, minimizzazione e limitazione della conservazione, entro 30 giorni dalla data di ricezione del presente provvedimento;
- di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store, avvenga nel rispetto dell’art. 32, par.1, lett. b) e d), e par. 2), del Regolamento, entro 30 giorni dalla data di ricezione del presente provvedimento;
- di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 40 giorni dalla data di ricevimento del presente provvedimento.
Inoltre, con riferimento alla seconda contestazione inviata alla Società, occorre rilevare che le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Benetton Group s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, inglobando così le violazioni meno gravi.
Inoltre, sono presenti delle circostanze aggravanti, prima tra tutte l’elevato numero degli interessati e la notevole durata delle violazioni.
4. Considerazioni finali (una riflessione riguardo la “fidelity card”)
La vicenda di cui sopra risulta essere di particolare interesse, anche per la sua rilevanza pubblica.
Il Gruppo Benetton, infatti, con i suoi lunghi anni di storia – con quanto accaduto recentemente– ha lasciato un’impronta importante nel suo percorso. La società, secondo quanto emerso, avrebbe conservato indebitamente i dati raccolti tramite le fidelity card (anche degli ex clienti) per un periodo di tempo superiore ai 12 mesi/24 mesi indicati nel provvedimento generale “Fidelity card” e garanzie per i consumatori.
La carta fedeltà è il principale strumento di identificazione per un consumatore che decide di partecipare ad un programma fedeltà e, in tal senso, la c.d. fidelity card rientra in quelli che in gergo si definiscono programmi di fidelizzazione ovvero tecniche di marketing che vengono utilizzate per incoraggiare i clienti a fare più acquisti in cambio di determinati vantaggi (quali ad esempio punti bonus o punti fedeltà) e, in generale, sono moltissime le aziende che utilizzano la Fidelity Card per intercettare le preferenze del consumatore e proporre offerte e sconti ad hoc.
Le carte fedeltà, infatti, hanno lo scopo di fidelizzare i consumatori, ed invogliarli a ritornare nei punti vendita, o negli store online, dei diversi brand (quale – appunto – Benetton). Il consumatore, in cambio di questo “rapporto di fiducia” riceve, quindi, un trattamento vantaggioso rispetto a tanti altri clienti occasionali.
Il suo utilizzo, infatti, rappresenta oggi una delle forme di fidelizzazione più utilizzate per la creazione di un rapporto duraturo nel tempo con la clientela, per l’acquisto di beni e servizi.
In particolare, il rilascio della carta fedeltà è spesso preceduto dalla compilazione di un form on-line o presso i punti vendita di riferimento e ciò consente agli interessati di usufruire di questi vantaggi per effetto della titolarità della carta, ma ciò comporta anche un trattamento dei dati personali dell’intestatario della carta da parte dell’azienda emittente.
Questo perché, oltre ai dati anagrafici e di contatto del cliente, la raccolta dei dati spesso include delle informazioni sulle preferenze o abitudini del consumo, della modalità di acquisto o titoli preferenziali del cliente non necessari per l’attribuzione dei vantaggi, di cui sopra menzionati e collegati alla carta, ma si tratta semplicemente di creare un cluster (insieme di oggetti e/o soggetti con caratteristiche omogenee, raggruppati in base a determinati parametri) di consumatori altamente profilati, a cui poter veicolare posta promozionale, per orientare potenziali acquisti.
Dunque, l’utilizzo di queste tessere è assolutamente legittimo, ma è necessario conoscere cosa richiede la normativa per essere conformi nelle modalità di rilascio, nella gestione e nella conservazione dei dati; il tutto, infatti, trova già conferma nell’attuale quadro normativo a seguito dell’entrata in vigore del GDPR, con la conseguente applicazione – in caso di violazione – delle sanzioni introdotte dal Regolamento Europeo.
Quando le carte fedeltà vengono rilasciate – con l’unico scopo di attribuire ai clienti vantaggi connessi all’utilizzo della carta – è bene sottolineare che gli unici dati personali che è lecito trattare sono quelli necessari a conseguire tali vantaggi, nella misura in cui realmente è necessario trattarli per attribuire i vantaggi medesimi e, per il tempo strettamente necessario. Dunque, la fidelity card è uno strumento di identificazione e/o profilazione di un consumatore.
Tuttavia, un provvedimento del Garante – risalente al 24 febbraio 2005 – denominato “´Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”, precisamente al punto 4 (Finalità di “profilazione” della clientela), specifica che quando lo scopo della raccolta dati sia quello della profilazione “riguardante singoli individui o gruppi, la profilazione può essere svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (i.e. un codice numerico), senza una relazione tra i dati che permettono di individuare gli interessati” e le indicazioni relative alla loro sfera personale (i.e. preferenze, abitudini, bisogni del consumo).
Se la finalità può essere perseguita con tali modalità – soprattutto per quanto riguarda la profilazione della clientela per categorie omogenee -, non è lecito utilizzare e conservare i dati personali o identificativi. Diversamente, le informazioni che si intende acquisire e le modalità del loro trattamento, devono essere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o dei servizi resi.
Il Titolare del trattamento, infatti, dal momento della progettazione del trattamento dovrà utilizzare solo i dati necessari a identificare e/o profilare il cliente/interessato (nel rispetto del principio di minimizzazione). E, il Titolare avrà degli obblighi a cui conformarsi, quali ad es., informare i clienti/interessati sull’uso che la società farà di tali dati (ex art. 13 GDPR), specificare e differenziare le finalità di marketing diretto e/o di profilazione, determinare la data retention o alla scadenza del periodo, provvedere alla cancellazione automatica dei dati e/o trasformali in forma anonima.
Specificato quanto sopra, è bene riportare un accenno su alcuni aspetti della materia di riferimento.
Dunque, con un provvedimento del 25 febbraio 2005, l’Autorità Garante ha preso posizione, emanando delle linee guida, prescrivendo alle società che emettono delle “fidelity card” di operare un corretto trattamento dei dati dei clienti/titolari delle tessere, sottolineando che ulteriori finalità di marketing diretto e/o di profilazione necessiteranno di una modalità di uso diversificata, in particolare riguardo alla tipologia di dati trattati e alle tempistiche della loro conservazione, fissando un limite temporale di conservazione dei dati, rispettivamente di 24 mesi (per scopi di marketing) e di 12 mesi ( per fini di profilazione). Tuttavia, riguardo il periodo di conservazione, il Regolamento UE 2016/679 ha portato al superamento delle presenti linee guida, specificando che è onere del Titolare del trattamento determinare i termini di conservazione dei dati acquisti. Si rimanda, infatti, al provvedimento del Garante n.- 181 del 15 ottobre 2020 – in materia di consenso al trattamento dei dati personali con finalità promozionali, secondo cui:
“Il consenso al trattamento dei dati personali per finalità promozionali, (…) deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
In conclusione, e dopo tale riflessione in materia di “fidelity card”, è bene chiarire gli ultimi aspetti della vicenda.
Nel caso di riferimento e dalle verifiche effettuate – come specificato sopra -, infatti, è emerso che il database gestionale della società Benetton era accessibile da tutti gli addetti dei negozi del Gruppo, da qualunque dispositivo connesso alla rete internet, tramite una sola password e un unico account. Infatti, la motivazione secondo cui il Garante della Privacy ha sanzionato il Gruppo è stata addotta poiché il Gruppo ha trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti, ma anche per l’assenza di adeguate misure di sicurezza e per la conservazione senza limiti temporali per finalità di marketing e di profilazione di tali dati. Come detto, infatti, i dati venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.
Pertanto, considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante – dopo attenta analisi e valutazione – ha irrogato tale sanzione nei confronti del Gruppo e ha imposto alla società di adottare misure necessarie per conformarsi alla normativa privacy. In particolare, è stato stabilito che il Gruppo Benetton dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di dieci anni (fatti salvi i contenziosi in atto) e la società dovrà predisporre di “adeguate soluzioni organizzative e misure di sicurezza” al fine di assicurare la corretta conservazione dei dati – sia dei clienti che degli ex clienti – nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (GDPR).
Per informazioni sulla gestione della privacy e sull’applicazione del GDPR in azienda potete contattare gli specialisti di GlobalDPO.
Credits: Altalex
