NEWS

Il Garante della Privacy sanziona Douglas Italia per 1 milione e 400 mila euro

La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati.  Lo ha stabilito il Garante per la protezione dei dati personali a conclusione di un procedimento avviato a seguito di un reclamo.

Fidelity card: il Garante privacy sanziona Douglas Italia

La società, nata nel 2019 avendo incorporato tre aziende del settore, dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.

La società dovrà innanzitutto modificare l’impostazione dell’appDouglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).

Al momento degli accertamenti ispettivi - svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza - Douglas conservava i dati di quasi 3 milioni e 300 mila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.

La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.

Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti.

Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati.

In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati.

Douglas infine dovrà adottare adeguate soluzioni organizzative e tecniche volte  ad assicurare la corretta conservazione  dei dati dei propri clienti nel rispetto  dei principi di finalità e minimizzazione del Regolamento europeo.

Fonte: Garante Privacy

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Garante Privacy: stop all’uso di Google Analytics. Dati trasferiti negli Usa senza adeguate garanzie
Next Qualificato per errore come cliente 'moroso' perde i vantaggi del libero mercato: il Garante Privacy sanziona la società elettrica per 1 milione di euro

Caffè Privacy: l'interessato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy