A seguito del reclamo presentato da un cliente il Garante privacy ha sanzionato Douglas Italia per € 1,4 milioni per aver conservato per molti anni, i dati di milioni di clienti, violando la normativa sul trattamento dei dati personali.
L’Autorità garante ha anche prescritto a Douglas di adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
La società dovrà, innanzitutto, modificare l’impostazione dell’app Douglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.
Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per ciascuna delle diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
Al momento degli accertamenti ispettivi, Douglas Italia conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società incorporate, che aveva lasciato per lungo tempo “inerti” senza preoccuparsi di richiedere alcun consenso al trattamento per le proprie finalità.
Douglas Italia dovrà, quindi, cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti.
Nel caso decida di pseudonimizzarli, dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati.
Il provvedimento del Garante richiama l’attenzione, tra l’altro ed implicitamente, sulla necessità di valutare le implicazioni delle operazioni straordinarie di fusioni ed acquisizioni societarie sulle banche di dati aziendali, specie quando le banche dati costituiscano asset rilevanti per l’operazione di M&A (se compro una banca dati, meglio verificare prima che sia utilizzabile e che non mi esponga a rischi sanzionatori).