Marketing e Privacy: il caso Douglas Italia

Sommario: 1. Chi bell* vuole apparire… la normativa privacy deve rispettare: la sanzione a Douglas Italia – 2. Criticità del trattamento emerse dall’ispezione del Garante – A) Gestione delle istanze di esercizio dei diritti ex art. 15-22 del Regolamento – B) La raccolta dei dati mediante l’app aziendale – C) Il trattamento dei dati dei clienti acquisiti dalle Società fuse per incorporazione – D) Conservazione dei dati dei clienti che non hanno rinnovato la fidelity card – E) L’informativa resa ai clienti – F) Telemarketing effettuato dagli store – G) Trattamenti di dati mediante blog – 3. La compliance aziendale “operazionalizzata”: alcune riflessioni conclusive

1. Chi bell* vuole apparire… la normativa privacy deve rispettare: la sanzione a Douglas Italia S.p.A.

È stata resa nota la sanzione amministrativa che il Garante per la Protezione dei Dati Personali ha recentemente comminato alla catena di profumerie Douglas Italia S.p.A.[1] (di seguito “Douglas” o la “Società”): un milione e quattrocentomila euro. A ciò si aggiunge, quale sanzione accessoria, la pubblicazione nel sito del Garante del provvedimento, al quale è stata data massima diffusione tramite la Newsletter dell’Autorità del 28 novembre 2022[2].

Secondo le indagini del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, l’azienda colosso della profumeria, che è soggetta all’attività di direzione e coordinamento della capogruppo tedesca Douglas GMBH e che è stata costituita nel 2019 dalla fusione con le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa, “è titolare del trattamento dei dati acquisiti da parte della clientela e nel complessivo CRM aziendale sono presenti circa 10 milioni di anagrafiche di clienti, costituite mediante l’incorporamento dei data base delle tre predette società a partire da inizio 2019”[3]. Un numero di dati trattati significativamente rilevate, dunque. A determinare la gravità della sanzione è stata peraltro anche la numerosità dei dati fra essi trattati illecitamente da Douglas: si tratta, infatti, dei dati di circa tre milioni e trecentomila clienti delle tre aziende inglobate.

L’accertamento del Garante è stato avviato a seguito della segnalazione del 5 novembre 2020 pervenuta da parte di una interessata che lamentava di “aver presentato, in data 3 agosto 2020, un’istanza a Douglas Italia, ai sensi degli artt. 15-22 del Regolamento, senza però aver ricevuto alcun riscontro”[4] (si fa riferimento al Regolamento UE 2016/679 – General Data Protection Regulation[5], di seguito solo il “Regolamento”). Al fine di conseguire un miglior quadro informativo rispetto ai trattamenti di dati per finalità di marketing e di profilazione posti in essere dalla Società, l’Autorità, in sede di ispezione, ha posto sotto la lente d’ingrandimento i temi (A) della gestione delle istanze di esercizio dei diritti ex art. 15-22 del Regolamento; (B) della raccolta dei dati mediante l’app aziendale; (C) del trattamento dei dati dei clienti acquisiti dalle società fuse per incorporazione; (D) della conservazione dei dati dei clienti che non hanno rinnovato la fidelity card. Ha poi inoltre esaminato (E) l’informativa resa ai clienti; (F) il telemarketing effettuato dagli store; e (G) i trattamenti di dati mediante blog.

 

2. Criticità del trattamento emerse dall’ispezione del Garante

A) Gestione delle istanze di esercizio dei diritti ex art. 15-22 del Regolamento

In base alle risultanze dell’ispezione, il mancato riscontro alla richiesta dell’interessata che ha effettuato la segnalazione all’Autorità ha rappresentato un caso episodico, a fronte di una gestione delle istanze degli interessati, che, secondo il Garante “di regola, può definirsi corretta e tempestiva”[6]. Pertanto, il Garante ha ritenuto di non contestare la violazione dell’art. 12, par.3, del Regolamento.

Tuttavia, non è possibile non notare come l’attività istruttoria abbia avuto avvio proprio a seguito della segnalazione effettuata da un’interessata non riscontrata: ciò è indice della rilevanza di questo aspetto di compliance cui il titolare del trattamento deve riservare particolare attenzione.

B) La raccolta dei dati mediante l’app aziendale

Fra le modalità di raccolta dei dati personali, il Garante ha esaminato l’app Douglas, verificando che il sistema preliminarmente presentava diversi link (personalizza i tuoi cookie, condizioni generali di vendita, informativa dati personali e cookie policy), invitando al contempo ad accettare tutti i suindicati testi con una unica formula (“ok, ho capito, acconsento”).

Il link all’informativa dati personali rimandava ad una pagina web comprensiva di condizioni di vendita, una sezione “Privacy”, una sezione “Cookie”, nonché un’ulteriore sezione attraverso la quale l’interessato dichiarava di aver letto e compreso quanto riportato nell’Informativa e di prendere atto che i suoi dati saranno trattati “per la registrazione al sito www.douglas.it o all’app della Società, la fruizione dei relativi servizi di acquisto online, la gestione degli ordini d’acquisto dei prodotti e finalità statistiche su dati anonimizzati e inoltre acconsente al trattamento dei propri dati personali per finalità (…) di profilazione[7]; (…) di invio di newsletter e comunicazioni commerciali o promozionali da parte della Società, anche relative a prodotti o servizi diversi da quelli già acquistati; (…) di invio di comunicazioni commerciali e promozionali da parte delle altre società del gruppo Douglas e di società terze partner di Douglas.”

Riguardo alla configurazione dell’app, il Garante ha rilevato i presupposti della violazione dell’art. 7 del Regolamento, in quanto viene raccolto un consenso, in una forma che non può considerarsi né libera né specifica, per diverse finalità non contrattuali, come il marketing della Società, quello di soggetti terzi e la profilazione. Di conseguenza, in via strettamente correlata, le prospettate attività di trattamento in questione sono risultate prive di base giuridica, in violazione dell’art. 6 del Regolamento.

C) Il trattamento dei dati dei clienti acquisiti dalle Società fuse per incorporazione

Rispetto alle informative e consensi al marketing distinti per le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa, il Garante ha rilevato che Douglas, a seguito delle citate fusioni, ha unificato i tre distinti database in un unico database  aziendale e ha provveduto a sostituire – limitatamente ai clienti delle tre società acquisite che si siano presentati e si presentino nei punti vendita Douglas e che abbiano liberamente scelto di aderire al programma di fedeltà – le fidelity card. “In tali occasioni, la Società ha somministrato agli stessi il medesimo modulo con le medesime informative e consensi rispetto a quello attualmente in uso, considerando non più validi i consensi eventualmente acquisiti dalle preesistenti Società. Douglas non ha dimostrato di aver traccia di tali consensi, al pari delle informative al tempo eventualmente rilasciate agli interessati nonché dell’origine e del canale di raccolta utilizzato al tempo dalle tre società, motivando detta lacuna con la creazione di un unico data base mediante fusione delle banche dati delle società in questione”[8].

Di fatto, però, ciò ha determinato l’impossibilità di comprovare la dinamica (a partire dalle modalità di raccolta dei dati) dei trattamenti svolti dalle Società acquisite, unitamente ai rispettivi database, né se e come gli adempimenti dell’informativa e del consenso fossero stati assolti dalle medesime. Pertanto, il Garante ha ravvisato i presupposti della violazione degli artt. 5, par.2 e 24, del Regolamento (principio di accountability).

D) Conservazione dei dati dei clienti che non hanno rinnovato la fidelity card

Il tema in esame ha sollevato non poche criticità in sede di ispezione, poiché il Garante ha appurato come i dati dei clienti delle tre preesistenti società che non avevano attivato la carta Douglas venissero conservati in stato inattivo nel CRM di Douglas allocato sui server della società capogruppo tedesca. Alla data del 29 novembre 2021, la Società contava un numero di card fidelity pari a 5.165.839; contestualmente, il numero dei soggetti intestatari di card fidelity “Douglas” attivi nei 24 mesi precedenti e che avevano rilasciato lo specifico consenso al marketing e profilazione era pari a 2.094.373. I dati di 3.288.170 “vecchi clienti” venivano conservati per permettere l’eventuale sostituzione con la nuova card Douglas e facilitare le operazioni di travaso delle anagrafiche, pur precisando Douglas che “in un’ottica di business aziendale la società esclude dall’invio delle comunicazioni commerciali la clientela che non ha effettuato acquisti negli ultimi 24 mesi; pur rimanendo i dati (inclusi i dati relativi agli acquisti e i consensi espressi dagli interessati) all’interno del db aziendale”[9] e che tale politica veniva attuata in ragione delle determinazioni della capogruppo tedesca.

La normativa in materia di protezione dei dati personali prevede tuttavia che la conservazione dei dati non possa essere “in perpetuo” e, considerata anche la notevole massa dei dati in questione e l’attuazione meramente eventuale della finalità sostituiva sopra indicata, il trattamento effettuato dalla Società si pone in violazione dei principi di finalità e limitazione della conservazione, di all’art. 5, par.1. lett. b) ed e), del Regolamento.

E) L’informativa resa ai clienti

Il Garante ha rilevato un’apparente discrasia fra la prassi descritte ai punti precedenti e l’informativa rilasciata agli interessati, che forniva agli stessi informazioni non coerenti e incomplete rispetto alle politiche operate dalla Società. Pertanto, è stata ritenuta contestabile la violazione dell’art. 13, par. 2, lett. a), del Regolamento.

F) Telemarketing effettuato dagli store

Rispetto al telemarketing effettuato dalla Società, in sede di ispezione è emerso come, anche in base all’analisi del campo del CRM, le anagrafiche con il consenso all’invio di sms o alla ricezione di telefonate promozionali di fatto venivano trattate da Douglas con entrambe le modalità indicate (sms e telefonata con operatore). Dunque, se l’interessato aveva prestato il consenso ai soli sms promozionali, in realtà avrebbe potuto ricevere anche telefonate promozionali, e viceversa. Non era inoltre stato predisposto uno script da consegnare agli store per l’effettuazione di attività di telemarketing, né istruzioni standard fornite agli store.

Alla luce di quanto emerso, il Garante ha ritenuto ravvisabili i presupposti per ritenere violati gli artt. 5, par.2 e 24, del Regolamento (accountability) nonché, in via strettamente connessa, l’art. 25, par.1, del Regolamento (privacy by design).

G) Trattamenti di dati mediante blog

Il Garante si è poi occupato di verificare il funzionamento del blog della Società, attraverso il quale l’utente può lasciare un commento e compilare i campi “nome” ed “e-mail”, contrassegnati come obbligatori. È stato inoltre verificato che all’interno delle pagine web “è presente il link “politica sulla privacy” che rimanda l’utente al documento di “informativa generale” presente sul sito e che, tuttavia, non contiene alcun riferimento ai trattamenti dei dati sul blog”[10].

La Società ha poi precisato di aver accesso esclusivamente al CRM aziendale e di non avere contezza di altre banche dati dove sono allocati i dati relativi al blog (sul punto, la Società italiana ha richiesto informazioni alla capogruppo tedesca, che ha fatto pervenire il numero complessivo di utenti del blog acquisiti dalla Società pari a 1698, crescenti nel tempo, senza, tuttavia, chiarire per quali finalità e per quanto tempo tali dati vengano conservati).

Anche rispetto a questo trattamento sono dunque emersi i presupposti della violazione degli artt. 5, par.2 e 24, nonché dell’art. 13 del Regolamento in ragione della citata mancanza di un’informativa riguardante il blog.

 

3. La compliance aziendale “operazionalizzata”: alcune riflessioni conclusive

L’Ordinanza del Garante offre alcuni spunti di riflessione per tutte le aziende che intendano svolgere attività di trattamento simili o riconducibili a quelle realizzate da Douglas.

La violazione del principio di accountability non deve essere sottovalutata: per dimostrare la “responsabilizzazione” della società risulta determinante la capacità di documentare la compliance della stessa attraverso un impianto documentale pronto per essere esibito all’Autorità in caso di controlli.

Tuttavia, la predisposizione dei documenti non è di per sé sufficiente: nell’ottica della necessità di “operazionalizzare” la privacy e di non mantenere lettera morta le previsioni normative, è essenziale analizzare con attenzione i flussi di dati e i trattamenti posti in essere in azienda e dare effettiva attuazione a politiche e procedure “compliant”.

Dalla lettura del Provvedimento emerge peraltro come le istruttorie ed i relativi provvedimenti sanzionatori prendano il via non solo dopo l’emissione dei Piani Ispettivi semestrali dell’Autorità, ma anche a seguito di segnalazioni provenienti da interessati alle cui richieste di esercizio dei diritti non è dato un corretto riscontro. Ciò evidenzia l’importanza di definire ed implementare una procedura di gestione delle richieste di esercizio dei diritti cui sia data effettiva applicazione da parte del personale.

Ancora, non è infrequente che l’Autorità, per mezzo della Guardia di Finanza, conduca accertamenti ispettivi presso le sedi delle società. È dunque di grande importanza la predisposizione di procedure di cooperazione con l’Autorità di Controllo e la programmazione di audit interni per non arrivare impreparati al momento dei controlli.

Inoltre, è rilevante sottolineare come i rapporti infragruppo assumano una rilevanza strategica notevole poiché, se non correttamente gestiti ed organizzati, possono determinare criticità nella gestione dei flussi e delle procedure operative che certamente non saranno ignorati dall’Autorità.

 

[1] GPDP, Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, doc. web 9825667, 20.10.2022, reperibile al seguente indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9825667.

[2] GPDP, Newsletter n. 497 del 28 novembre 2022, doc. web 9826440, 28.11.2022, reperibile al seguente indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9826440.

[3] GPDP, Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, ivi.

[4] Ibidem.

[5] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), reperibile al seguente indirizzo: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679.

[6] GPDP, Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, ivi.

[7] Sul tema della pubblicità personalizzata si veda per un approfondimento Zampaglione C., Il provvedimento del Garante privacy in materia di pubblicità personalizzata nei confronti di Tik Tok, Ius in Itinere, 03.10.2022, reperibile al seguente indirizzo: https://www.iusinitinere.it/il-provvedimento-del-garante-privacy-in-materia-di-pubblicita-personalizzata-nei-confronti-di-tik-tok-43298.

[8] GPDP, Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, ivi.

[9] Così riporta il Garante quanto riferito da Douglas Italia S.p.A. durante l’ispezione presso la sede della Società. Si veda ibidem.

[10] GPDP, Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, ivi.