Attenzione a dove compri i trucchi: maxi multa a Douglas

Il Garante Privacy ha erogato una maxi multa alla catena di profumeria Douglas per non aver correttamente trattato i dati personali in suo possesso.

Comprare trucchi, profumi e bagnoschiuma a volte più rivelarsi più pericoloso di quanto si immagini. Nulla di allarmante, se non fosse che non sempre i negozi in cui si acquista rispettano come dovrebbero la normativa italiana ed europea sul trattamento dei dati personali (ma questo, purtroppo, è un discorso che vale per ogni settore commerciale).

È il caso della catena di profumerie Douglas Italia Spa, che dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati. Lo ha stabilito il Garante per la protezione dei dati personali a conclusione di un procedimento avviato a seguito di un reclamo. La società, nata nel 2019 avendo incorporato tre aziende del settore, dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.

La società, si legge nella newsletter del Garante, dovrà innanzitutto modificare l’impostazione dell’app Douglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).

Al momento degli accertamenti ispettivi – svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – Douglas conservava i dati di quasi 3 milioni e 300mila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.

La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività. Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti (in questo modo i dati non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive).

Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati. In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati.

Douglas infine dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo.