Avrete letto la notizia per cui La Rinascente è stata sanzionata per 300mila euro per aver ribattezzato una cliente “donzella svampita”. Non è esattamente così: lo scherzo è stato solo il “gancio” che ha consentito al Garante di andare molto più in profondità.
Come vedrete dalla screen citata, uno di questi titoli non è come gli altri: Federprivacy ha evitato il collegamento (solo residuale) tra l’appellativo “Donzella Svampita” e la sanzione.
Come vedete, il Garante non irroga sanzioni per “mere burle”, ma lo fa per precise ragioni.
Precise ragioni che più che la burla attengono a profili diffusi in molte dichiarazioni privacy redatte da chi ritiene di aver fatto un lavoro a regola dell’arte ma evidentemente non l’ha fatto.
E parliamo di te, “tecnico del sito internet” che quando ti chiedono di precisare per quanto tempo il dato sarà custodito scrivi “per il tempo previsto dalla legge” e poi ti allontani al tramonto come lo sceriffo di un Western. Sì, parliamo con te.
Il Garante sanziona La Rinascente per 300mila euro: dalla burla ai profili privacy
La storia comincia a Luglio 2021, con una commessa in vena di attaccar briga con una cliente. Un dispetto dettato da una reazione di pancia che, come visto, scoperchierà un vero Vaso di Pandora che il datore di lavoro dovrà pagare a caro prezzo, evidenziando una catena di persone che dovranno rifare meglio il loro lavoro.
Ma cominciamo dall’inizio: il 24 Luglio una cliente si reca in un centro La Rinascente, dove ha un alterco con una commessa. La commessa, credendo di essere evidentemente la nuova regina della comicità e abusando della sua posizione per quel genere di vendette gentiste/nazionalpopolari cui i social di hanno abituato, storie di ordinarie piccinerie, provvede alla sua ripicca.
Nella stessa giornata provvede ad annullare la tessera sconto della cliente sostituendola con una a nome “Donzella Svampita”, cosa che viene immediatamente notificata a mezzo email alla cliente.
La quale contatta il servizio tecnico de La Rinascente e contemporaneamente il Garante Privacy.
Comincia quindi il procedimento.
Cosa viene scoperto
La Rinascente nell’immediato risponde dichiarando di aver immediatamente ripristinato il corretto servizio, che non vi è stato alcun data breach perché il 5 Agosto la card corretta era già stata ripristinata, che i dati erano sempre nella disponibilità della cliente e secondo le modalità indicate nelle informative, che il personale viene solitamente formato sulla privacy e che la commessa in vena di ritorsioni era stata sanzionata.
Se la vicenda fosse finita qui, non ne parlemmo.
Se il punto di discussione fosse stato solo “Eh, La Rinascente sanzionata perché la commessa ha fatto un dispetto”, sarebbe una non notizia, una di quelle cose pruriginose che attirano l’attenzione.
Ma esaminando l’informativa suddetta, il Garante riscontra che essa contiene la laconica frase
“i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali.”
Quale sarebbe questo periodo massimo? Al cliente non è dato saperlo.
Salta inoltre all’occhio vigile del Garante una attività di trattamento svolta mediante Facebook-Meta non indicata, ed una attività di profilazione sguarnita della valutazione di impatto, al momento dell’occorso ancora in stato di bozza.
Un ulteriore supplemento istruttorio nel 2022 fa emergere il caso che la ditta non ha ritenuto di notificare “avendo ritenuto improbabile che detta violazione potesse presentare rischi per i diritti e le libertà degli interessati” in cui cinque clienti hanno ricevuto le comunicazioni relative agli ordini di altri 70, il numero di indirizzi condivisi con Meta viene quantificato in oltre un milione e trecento e ancora nel 2022 l’informativa Privacy riporta l’ennesimo “ … provvederà alla pubblicazione di un aggiornamento della informativa … comprensiva del più aggiornato inquadramento dei ruoli privacy correlati ai servizi di targeting tramite Facebook.”.
I tempi di conservazione del dato, nella policy indicati come “il massimo di legge” vengono quantificati al Garante in sette anni, termine “erga omnes” valevole per tutti i trattamenti.
Cosa ha deciso il Garante
Davanti a tutti questi nuovi elementi il Garante decide di trovarsi davanti a non uno, ma due casi di violazione rilevanti.
Il primo, ovviamente, sotteso a “Donzella Svampita”: il solo fatto che una commessa in vena di provocazioni possa cancellare una tessera fedeltà e sostituirla con dati arbitrari significa a dire del Garante che non può essere garantita la conservazione dell’integrità dei dati, nonché il basilare rispetto di dignità e liceità nell’uso dei dati.
Ovviamente, se un tuo dipendente usa il dato conferito per piccinerie e dispetti a tua insaputa, questi elementi secondo l’analisi del garante vanno a perire.
Il secondo riferito al “disallineamento” che ha consentito a 5 clienti di conoscere la “lista spese” di altri 70, sia pur per poco.
Il Garante ha avuto anche modo di contestare il fatto che non esistono prove che la ricorrente abbia avuto congrua informativa privacy al momento di attivazione della tessera fedeltà, in quanto “risultava acquisita un’unica manifestazione di contestuale volontà dell’interessata, con riferimento sia al regolamento contrattuale sia alla presa visione dell’informativa che recava più trattamenti per varie finalità, fra cui quelle promozionali svolte con modalità variegate, anche automatizzate (“posta, telefono o comunicazioni elettroniche, es. sms, email, ecc.”) e quelle di profilazione.”.
Unitamente a questo sono stati elevati rilievi sulla profilazione e il trasferimento dati presso Facebook.
Arriviamo al 5 Agosto 2022, in cui La Rinascente rivendica che le operazioni di modifica dei dati usate per il dispetto alla cliente avvengono su tablet con accesso registrato, tale da identificare il dipendente “infedele” e porre rimedio alle sue azioni, e di aver posto in cantiere tutti gli strumenti per rimediare al “disallineamento” dei cinque clienti precedenti, rivendicando l’imprevedibile errore umano nel secondo caso e la celere risoluzione del primo, precisando diversi profili relativi a Meta ed alla profilazione, tutti riportati nel provvedimento del Garante, richiedendo altresì di tenere di conto la condotta collaborativa e le perdite di esercizio patite negli anni in corso alla fine della commisurazione di una sanzione congrua e della pubblicazione “in anonimo” del provvedimento, espungendo il nome de La Rinascente.
Il Garante ha riconosciuto le eccezioni relative alla tempestività ed alla pregressa buona condotta della ditta, ma altresì ha rigettato tutte le eccezioni di merito.
Per questo è arrivata la sanzione di 300mila Euro (salvo definizione abbreviata entro 30 giorni) oltre all’obbligo di “stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti”.
Di tutto questo, probabilmente, il Garante prima o poi si sarebbe accorto: ma grazie alla ripicca della commessa ciò è avvenuto ben prima.
E speriamo che la stessa, in futuro, si astenga da simili azioni, date le gravi conseguenze avute sul suo datore di lavoro che potrebbero ripercuotersi sul suo posto di lavoro.