menu close EventiNewsContatti search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUnited Arab EmiratesZimbabwe
Italian
Italian
Servizi
close Servizi
M&A
Servizi
Industries
close Industries
Industries
Insights
Chi siamo
close Chi siamo
Chi siamo
Opportunità di carriera
close Opportunità di carriera
Opportunità di carriera
EventiNewsContatti
search close
GDPR

Anche le grandi aziende possono sbagliare

Sandro Iannucci
18/09/2023
GDPR

È il caso di Rinascente Spa. Il Garante privacy ha sanzionato per ben 300mila euro la Rinascente S.p.A. per aver trattato in modo illecito dati personali di milioni di clienti nell'attività di marketing e profilazione mediante l’uso delle carte di fedeltà (fonte Garante Privacy).

Veniamo ai fatti: il Garante è intervenuto dietro segnalazione da parte di una cliente che, dopo un diverbio con personale dello store, si era vista annullare la sua fidelity card emessa diversi anni addietro e farne una nuova (senza sua richiesta) riportante, nell’intestazione, dei riferimenti offensivi nei confronti della persona.

La cliente a questo punto ha ipotizzato un accesso illecito dei suoi dati scatenando quindi una denuncia alle autorità. Le autorità, oltre ad intervenire sull’episodio verificando la violazione dei principi cardine della privacy quali integrità, riservatezza, correttezza e liceità, hanno verificato tramite accertamento presso la sede della Rinascente, svolto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, altre inosservanze della normativa sulla tutela dei dati personali. 

Nell’ indagine è emerso che nell’informativa della fidelity card, non erano stati riportati i periodi di conservazione dei dati per finalità di marketing e profilazione e non era riportata l’attività con Facebook, che prevedeva l’invio delle email dei clienti alla società americana.

Nella sanzione di 300.000 euro il Garante ha tenuto conto del numero dei soggetti coinvolti dalle violazioni, (circa 2.000.000 di persone sono risultate iscritte nei negozi oppure nel sito online), la loro durata ed il valore economico della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.

È utile quindi ricordare che:

Il trattamento illecito dei dati relativi alle carte fedeltà è una violazione della privacy e delle leggi sulla protezione dei dati personali. Le carte fedeltà sono spesso utilizzate dalle aziende per raccogliere informazioni sui comportamenti d'acquisto dei clienti e creare profili per scopi di marketing. Tuttavia, il trattamento di tali dati deve essere effettuato nel rispetto delle normative in materia di privacy.

Il trattamento illecito dei dati della carta fedeltà può includere:

  • Raccolta di dati senza il consenso del titolare della carta fedeltà.
  • Utilizzo dei dati raccolti per scopi diversi da quelli previsti e comunicati al titolare.
  • Trasferimento o vendita dei dati personali a terzi senza il consenso del titolare.
  • Conservazione dei dati per periodi di tempo più lunghi di quelli necessari per gli scopi dichiarati.
  • Mancanza di sicurezza adeguata a proteggere i dati da accessi non autorizzati o violazioni.

Risulta quindi utile necessario avere, oltre al tema carta fedeltà, una compliance alla nuova normativa della privacy europea (GDPR) adeguata, monitorata ed aggiornata in maniera costante ed in linea con le continue indicazioni che il Garante esprime ed indica di volta in volta.

Crowe Bompani con esperienza decennale sul tema privacy realizzata ed applicata su aziende di diverso settore merceologico e di varie dimensioni, può offrire un servizio adeguato e commisurato alle dimensioni dell’azienda, assicurando al Titolare dei dati la compliance e la corretta applicazione del GDPR.
Un Team di professionisti preparati in ambito privacy, alcuni certificati DPO, possono accompagnare aziende, enti ed organizzazioni non solo nelle azioni da compiere per poter essere ritenuti compliant, ma anche verso l’ottenimento della certificazione ISO 27001.

Per scoprire i nostri servizi clicca qui