Protezione dei dati, il Garante privacy sanziona Douglas Italia per 1 milione e 400 mila euro
Il Garante Privacy ha chiesto a Douglas Italia di adottare una serie di misure per conformarsi alla normativa italiana ed europea, con particolare riguardo ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione
La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro “per aver violato la normativa in materia di protezione dei dati”. Lo ha stabilito il Garante Privacy, a conclusione di un procedimento avviato a seguito di un reclamo.
La società nata nel 2019, avendo incorporato tre aziende del settore, dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea, con particolare riguardo ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
Protezione dei dati, le richieste del Garante alla società Douglas
La società – si legge in una nota del Garante – dovrà innanzitutto modificare l’impostazione dell’appDouglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti, inoltre, dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
“Al momento degli accertamenti ispettivi – svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – Douglas conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società – spiega il Garante – avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo”.
“La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività – prosegue l’Autorità -. Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti”.
Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati. In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati.
Douglas, infine, dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti, nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo.