Commessa dopo lite cambia nome a cliente su fidelity card in ‘Donzella svampita’: Garante condanna Rinascente a 300 mila euro di multa

Pubblicità
Pubblicità

Una lite avvenuta due anni fa tra una commessa e una cliente rischia di costare 300mila euro alla Rinascente, condannata al pagamento della sanzione dal Garante per la protezione dei dati personali: i fatti risalgono al 24 luglio 2021, quando una cliente del centro commerciale, subito dopo “un alterco con un’addetta dello store”, ha ricevuto un’email dalla Rinascente che le comunicava l’avvenuta attivazione di una nuova fidelity card (da lei mai richiesta) in cui le sue generalità erano state modificate e lei figurava con il ben poco lusinghiero appellativo di “Donzella Svampita”.

Ricollegando lo strano episodio al litigio di qualche ora prima, la donna ha subito telefonato al servizio clienti, ricevendo conferma del fatto che la sua Rinascentecard, sottoscritta anni prima, era stata annullata e sostituita proprio quel giorno con quella nuova, rinominata con la nuova intestazione, che nel pronunciamento del Garante viene definita “evidentemente offensiva”.

Si è quindi rivolta al Garante della privacy, ritenendo che fosse stato effettuato un accesso non richiesto alla sua scheda cliente, per introdurre la nuova intestazione. Dal canto suo, la Rinascente, che ha provveduto al ripristino della fidelity card originale della cliente in data 5 agosto 2021, ha comunicato che “l’evento occorso non ha comportato alcun trattamento di dati personali da parte del personale Rinascente in modo difforme rispetto a quanto rappresentato all’interessata nell’informativa resa in sede di attivazione della Card, fatta eccezione per l’atto compiuto dall’addetta dello store in violazione delle procedure e istruzioni alla stessa impartite dalla società”, sottolineando che “non vi è stata alcuna perdita dei dati personali della signora” e che alla lavoratrice è stata applicata una sanzione disciplinare dato che “le azioni poste in essere dall’addetta si discostano totalmente dalle procedure adottate da Rinascente in relazione alla gestione delle Card nonché dalle istruzioni che la società stessa fornisce ai propri dipendenti”.

Il Nucleo speciale privacy e frodi tecnologiche dell’ufficio del Garante ha comunque condotto un accertamento ispettivo nei confronti della società, rilevando anche altre criticità: nell’informativa relativa alla fidelity card denominata friendscard, per esempio, non era stato fornito ai clienti che acconsentivano al trattamento dei dati personali per finalità di marketing e profilazione “alcun riferimento necessario per far comprendere agli interessati quanti e quali termini temporali vengano applicati dalla società, anche in relazione alla tipologia dei dati e alle finalità del trattamento”. Inoltre, si legge ancora nella nota del Garante per la privacy, “non viene indicata l’attività di trattamento svolta mediante Facebook-Meta, con riguardo anche all’inoltro degli indirizzi email dei clienti de La Rinascente alla società americana”.

E ancora, “pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che La Rinascente avesse definito la procedura di valutazione d’impatto” che è invece prevista dal Garante per la protezione dei dati personali: è stato quindi chiesto alla società di definire tempi differenziati di conservazione dei dati, distinguendo fra trattamenti con finalità di marketing e trattamenti a fini di profilazione. Per quanto riguarda gli episodi di data breach (cioè di violazione dei dati personali), ne è stato rilevato un altro oltre a quello segnalato dalla cliente definita “Donzella Svampita”: durante un rilascio in produzione di uno sviluppo tecnico, “a causa di un disallineamento, cinque clienti e-commerce hanno ricevuto erroneamente le comunicazioni relative agli ordini di 70 utenti” ha ammesso la Rinascente, precisando però di essere intervenuta per bloccare subito il flusso di email e per avvisare dell’accaduto i clienti destinatari, invitandoli a cancellare le e-mail ricevute.  Se il primo data breach, secondo il Garante, “pare esser attribuibile alla leggerezza di una dipendente che ha violato le istruzioni ricevute nonché, più in generale, un predefinito protocollo, e quindi può essere archiviato”, il secondo “risulta sottendere un non adeguato originario livello di misure tali da impedire la violazione”.

Ecco quindi scattare la sanzione amministrativa di 300mila euro (importo che potrà essere dimezzato se versato entro 30 giorni), definita tenendo conto dell’elevato numero dei soggetti coinvolti nelle violazioni, della durata e dell’ampio ambito territoriale delle violazioni stesse e delle capacità economiche della società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti avviati a carico della società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto, con riflessi anche sulla situazione economico-finanziaria della Rinascente.

Pubblicità

Pubblicità

Go to Source

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *