Molto interessante ed istruttivo questo Provvedimento del Garante Privacy, consultabile anche al seguente link:
https://www.garanteprivacy.it/home/docw ... eb/9902472
Grazie e buona lettura,
Giancarlo Favero
Provvedimento del 27 aprile 2023
Registro dei provvedimenti
n. 188 del 27 aprile 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTO il Regolamento del Garante n. 1/2019 concernente le “Procedure interne aventi rilevanza esterne finalizzato allo svolgimento dei compiti e all’esercizio dei poteri del Garante”, pubblicato nella G.U. 8 maggio 2019, n. 106;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. Gli accertamenti espletati dal Nucleo Speciale Privacy della Guardia di Finanza e l’istruttoria preliminare svolta dall’Ufficio.
Nell’ambito dei controlli programmati dal Garante con deliberazione n. 42 del 14 febbraio 2019, il Nucleo Speciale Privacy della Guardia di Finanza, in esecuzione dell’attività ispettiva delegata, ha effettuato fra il 5 e il 7 novembre 2019 presso Benetton Group S.r.l. (di seguito “Società”) accertamenti con riguardo al trattamento dei dati personali per finalità di marketing e profilazione.
Sono stati effettuati in primis alcuni approfondimenti cartolari, inviando, in particolare, una richiesta d’informazioni il 16 novembre 2020 ed ottenendo il richiesto riscontro l’11 dicembre successivo, con particolare riguardo alla gestione dei cookie.
Esaminati gli atti ricevuti, l’Ufficio, tenuto conto della numerosità e complessità dei profili giuridici e tecnici in rilievo, ravvisava la necessità di verificare con un nuovo accertamento in loco le attività di marketing e di profilazione al fine di ottenere un quadro più completo e dettagliato.
2. Prima contestazione (29 settembre 2021).
Nelle more del nuovo accertamento ispettivo, impedito dalle restrizioni causate dalla pandemia da Covid-19, si provvedeva ad avviare un procedimento amministrativo in data 29 settembre 2021, evidenziando le seguenti criticità:
a) con riferimento al sito familycard.benetton.com, il “banner informativo relativo all’utilizzo dei cookie, propri e di terze parti (tecnici, marketing e profilazione)”, risultava da accettare senza poter deselezionare le tipologie di cookie; inoltre, l’informativa estesa non menzionava tra i cookie utilizzati quelli di profilazione, come invece indicati nel banner, ma solo quelli tecnici, di marketing diretto, di marketing e retargeting di terzi (verbale operazioni compiute 5 novembre 2019, pp. 4 e 5);
b) con riguardo al sito blackcard.sisley.com, pur presentando un “collegamento ipertestuale “clicca qui”, il banner dei cookie rimanda (va), per errore di puntamento ad una pagina bianca del sito stesso (area test) e il link cookie presente sul footer risultava sprovvisto della relativa informativa; inoltre, non era presente alcun form di manifestazione di volontà relativamente all’utilizzo dei cookie (v. op. comp., cit., ibid.)”; in merito a tali aspetti, la Società, nel fornire riscontro alla predetta richiesta di informazioni del 16 novembre 2020, ha comunicato che “[…]. Come emerso durante le attività ispettive era già in corso l’implementazione di una nuova tecnologia per la gestione dei cookie. Tale tecnologia è stata definitivamente implementata nei siti […] nel mese di dicembre 2019, con l’adozione della piattaforma Cookiebot […]”, la quale “consente all’utente di gestire in autonomia la verifica dello stato attuale del consenso, l’ID del consenso, la data di rilascio del consenso, la modifica dei consensi rilasciati […] e la loro revoca […]”;
c) contrariamente a quanto indicato nel registro dei trattamenti e nell’informativa rilasciata al cliente per l’adesione ai programmi loyalty (in base ai quali il tempo di conservazione dei dati indicato sarebbe limitato a 2 anni in relazione sia al marketing che alla profilazione), nei gestionali utilizzati dalla società sono risultati presenti dati personali dei clienti, titolari della carta fedeltà, unitamente alle informazioni relative agli acquisti a far data dall’anno 2015, nonché dati di dettaglio degli scontrini, dei punti, del prodotto venduto anche con riferimento a soggetti che non hanno espresso il consenso alla profilazione (verbali operazioni compiute 6 novembre 2019, p.10 e 7 novembre 2019, p.13);
d) a seguito di una ricerca selettiva sul gestionale Dynamics, è emerso che la società ha inviato e-mail promozionali a 13 clienti successivamente “alla data di disiscrizione degli stessi dal marketing del Loyalty” (verbale 7 novembre 2019, p. 14, all. 15);
e) analogamente, da una ricerca selettiva sul gestionale “ContactLab” è emerso che la società ha inviato una “[…] comunicazione di marketing a 4.259 consumatori iscritti al Loyalty program il cui consenso all’invio di comunicazioni di marketing (DB Dynamics) era antecedente alla data di disiscrizione dal servizio Newsletter on line […]”, e quindi anche dopo la revoca del consenso alla ricezione di comunicazioni promozionali (verbale 7 novembre 2019, p. 15, all. 16 e pec del 18 novembre 2019, punto 1).
Pertanto, in base a quanto sopra considerato, l’Ufficio, con la stessa comunicazione del 29 settembre 2021, ha contestato alla Società la presunta violazione delle seguenti disposizioni:
- art. 13 del Regolamento; art. 6 del Regolamento e art. 122 del Codice, anche alla luce di quanto indicato nel provvedimento del Garante 8 maggio 2014 “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (in G.U. n. 126 del 3 giugno 2014), con riguardo a quanto rappresentato alle suindicate lett. a) e b);
- art. 5, par.1, lett. c) ed e), del Regolamento, con riguardo a quanto indicato sub lett. c);
- art. 6 del Regolamento e art. 130 del Codice, con riguardo alle violazioni di cui alle lett. d) ed e).
3. La memoria della Società del 27 ottobre 2021.
La Società – in relazione a tale prima contestazione - ha inviato una memoria difensiva il 27 ottobre 2021, con la quale, preliminarmente, ha evidenziato come, a suo avviso, “la notificazione della comunicazione delle presunte violazioni in oggetto sia stata effettuata da codesta Autorità oltre il termine di 120 giorni dalla data dell’accertamento, previsto dalla Tabella B, n. 2), del Regolamento n. 2 2/2019 del Garante, affermando “l’insanabile tardività della notifica delle contestazioni avanzate nei confronti della Società …”, in quanto avvenuta “… a distanza … di quasi due anni dagli accertamenti ispettivi della GdF (v. verbali del 5-7.11.2019 e comunicazione integrativa Benetton del 18.11.2019) e di quasi un anno dal riscontro fornito da Benetton all’ultima richiesta di informazioni di codesta Autorità (v. nota GPDP del 16.11.2020 e riscontro Benetton dell’11.12.2020)”.
In merito, Benetton, pur rappresentando anche gli orientamenti giurisprudenziali più favorevoli all’ampliamento temporale di tale termine, ha conclusivamente sostenuto il contrasto della contestazione formulata dall’Autorità con i “citati principi di congruità e ragionevolezza affermati dalla Cassazione in materia, rendendo la contestazione delle suddette violazioni del tutto intempestiva e tardiva, con conseguente invalidità ed annullabilità di ogni eventuale, successivo provvedimento sanzionatorio.”; pertanto, la medesima Società ha chiesto l’archiviazione del procedimento avviato.
La Società, con la medesima memoria, ha confermato di aver comunque provveduto a completare già da tempo le attività di implementazione delle misure organizzative e tecniche volte a superare i profili di possibile criticità rilevati in sede di ispezione (v. dichiarazioni sul layout “Cookie Consent – deploy novembre 2019”, p. 5 verbale e sull’avviato processo di migrazione ed unificazione dei database, p. 9, verbale cit.), implementando “una nuova tecnologia di gestione cookie da parte degli utenti, con l’adozione della piattaforma Cookiebot, volta a consentire all’utente di gestire in autonomia gli eventuali consensi rilasciati, producendo anche i nuovi testi di banner ed informative”. In base a quanto rappresentato da Benetton “il processo di implementazione (iniziato già nel mese di luglio 2019) del progetto Database Unico (è stato) finalizzato a razionalizzare, centralizzare e garantire la corretta gestione dei dati e dei consensi degli iscritti alle fidelity card” e sarebbero stati “superati i rilievi critici emersi nel corso dell’ispezione, con specifico riferimento sia alle eventuali problematiche di data retention …. sia alle anomalie emerse sempre in sede ispettiva (verbale 7.11.2019) riguardo all’invio di comunicazioni commerciali agli interessati successivamente “alla data di disiscrizione degli stessi dal marketing del Loyalty” o “dal servizio Newsletter on line”.
Benetton, rispetto alle misure organizzative e tecniche implementate, ha quindi rappresentato -in assenza di rilievi al riguardo da parte dell’Autorità nella comunicazione del 29 settembre 2021- di poter “desumere che le stesse siano state giudicate adeguate o comunque sufficienti ... escludendo quindi la necessità … di adottare i provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del GDPR e potendo, per converso, portare ad una archiviazione del procedimento.”
Con specifico riguardo al punto 2.1 della contestazione, Benetton ha eccepito che il banner cookie relativo al sito familycard.benetton.it, il quale “risultava da accettare senza poter deselezionare le tipologie di cookie”, sarebbe stato impostato conformemente a quanto previsto nel citato Provvedimento generale 8 maggio 2014, che costituiva il punto di riferimento all’epoca dei fatti contestati (v. memoria cit. per maggior dettaglio).
In ordine all’ulteriore profilo inerente la mancata indicazione nell’informativa cookie estesa del sito familycard.benetton.com dei “cookie di profilazione, come quelli indicati nel banner del medesimo sito, ma solo di quelli tecnici, marketing diretto, di marketing e retargeting di terzi”, Benetton ha peraltro evidenziato che, secondo la propria interpretazione del citato Provvedimento generale, “poiché i cookie di profilazione sono definiti quali cookie volti a creare profili relativi all’utente e che vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete…, quanto indicato nella ‘cookie policy’ del sito di Benetton, in ordine all’utilizzo di cookie di marketing diretto, marketing e retargeting di terzi non costitui(va) altro che una specificazione dei cookie di profilazione utilizzati”.
In relazione al punto 2.3 della contestazione, Benetton ha rappresentato “che la conservazione dei dati riferiti agli interessati titolari di carta fedeltà, con connessi scontrini e così via, atteneva ad un piano prettamente contrattuale (ad. es. riconoscimento della correttezza dei punteggi attribuiti e dei premi riconosciuti agli aderenti, etc., v. anche quanto indicato nel verbale di operazioni compiute del 5 novembre 2019, pag. 6), per il quale … il relativo registro dei trattamenti (v. all. 5 al verbale di operazioni compiute) prevedeva, appunto, un periodo di conservazione pari a 10 anni (v. anche le informative di cui all’all. 1 al verbale di operazioni compute le quali riportavano quale periodo di conservazione la durata del programma fedeltà – mentre per i consensi si faceva riferimento a 2 anni), e prescindeva dagli eventuali trattamenti effettuati a fini di profilazione, come anche di marketing (posti in essere solo in presenza di validi consensi a tali fini).”
Con riferimento a quanto indicato nei punti 2.4 e 2.5, la Società ha ribadito “(in linea con quanto espresso già nel corso delle ispezioni e dei successivi riscontri integrativi della Società) come (i)i sistemi dedicati alla emissione e gestione delle carte fedeltà, (ii) quelli dedicati alla gestione dei c.d. clienti digital, e (iii) quelli utilizzati per la gestione della c.d. Newsletter … rispondessero a logiche diverse e, del resto, fossero costituiti e gestiti sulla base di differenti documentazioni sottoposte agli interessati, sicché le informative dedicate a questi ultimi e gli eventuali consensi dagli stessi rilasciati (o le opposizioni manifestate) nel corso dell’adesione o nella gestione del rapporto relativo al singolo servizio non fossero sovrapponibili. Ciò si rifletteva anche a contrario, ad es. laddove un determinato interessato avesse negato il consenso a ricevere comunicazioni di marketing diretto nel contesto di un acquisto digital ma poi avesse aderito alla newsletter, lo stesso non avrebbe ricevuto comunicazioni di carattere commerciale diverse dalla newsletter”.
Alla luce di tutto quanto dedotto e documentato, la Società ha chiesto “l’archiviazione del procedimento, anche per quanto concerne l’applicazione di una sanzione amministrativa pecuniaria per le presunte violazioni oggetto di contestazione, o comunque di voler procedere alla definizione del presente procedimento ai sensi degli artt. 4, comma 3, e art. 14, comma 5, del Regolamento n. 1/2019, considerato che le condotte contestate alla Scrivente, risalenti al 2019, hanno esaurito i loro effetti oppure tali effetti sono stati rimossi da Benetton …. o comunque di voler determinare l’ammontare dell’eventuale sanzione nei minimi ritenuti applicabili …”, riservandosi la possibilità dell’impugnazione giurisdizionale.
4. Accertamento ispettivo condotto dall’Autorità e relativi esiti.
L’Autorità, al fine di verificare la concreta implementazione di alcune misure prospettate dalla Società con la memoria difensiva del 27 ottobre, nonché al fine di un accertamento, anche di tipo tecnico, sui sistemi e data base societari e a più ampio raggio sui trattamenti per finalità di marketing e profilazione - approfittando di un miglioramento della situazione pandemica che aveva consentito di riprendere, seppur limitatamente e con adozione di precauzioni, la circolazione nell’ambito del territorio italiano e quindi anche l’effettuazione di accertamenti in loco - ha effettuato, nelle date 8-10 novembre 2021, un’attività ispettiva presso la sede societaria.
In tale occasione si è potuto prendere cognizione diretta delle misure implementate dalla Società, constatando la raggiunta conformità alla normativa in materia, con specifico riferimento alla gestione dei cookie, del CRM aziendale, nonché delle comunicazioni promozionali (come prospettata dalla Società con la memoria del 27 ottobre 2021).
In base alla disamina complessiva delle verifiche effettuate, nonché dei chiarimenti forniti dalla Società nella medesima circostanza, sono emerse tuttavia le seguenti possibili violazioni.
A) Violazione dell’art. 5, par.1, lett. c) ed e), del Regolamento
Dalle verifiche effettuate in sede, è emerso (all.11, verbale 9 novembre 2021) che venivano conservati i dati anagrafici (nome, cognome, genere, data di nascita, indirizzo e-mail; numero telefonico) di XX (“on line newsletter puro inactive’), pur avendo disattivato il servizio di newsletter nei suoi riguardi e, per quanto in atti, in mancanza di ragioni giustificative di siffatta conservazione. Peraltro, la Società ha rappresentato che “i disiscritti nel 2021 dalle Newsletters sono 2.318” (all.21).
Inoltre, sono risultati “presenti a sistema le anagrafiche di tutti quei clienti/ex clienti che non abbiano chiesto la cancellazione del loro account, oppure che non abbiano avanzato specifiche richieste di anonimizzazione” (v. verbale 8.11.2021; similmente, viene indicato nell’informativa resa agli interessati ai sensi dell’art. 13 del Regolamento: all.2 al detto verbale), lasciando presumere una conservazione di siffatti dati - eccetto quelli relativi alle transazioni di cui la medesima policy prevede la cancellazione a 24 mesi – potenzialmente a tempo indeterminato.
Pertanto – fermo restando l’aspetto quantitativo, che in occasione della nuova contestazione l’Autorità ha invitato la Società a voler chiarire - sono stati ravvisati i presupposti della violazione da parte della Società dell’art. 5, par.1, lett. c) ed e), del Regolamento (principi di minimizzazione e di limitazione della conservazione).
B) Violazione dell’art. 32, par.1, lettere b) e d), e par.2, del Regolamento.
Con riguardo alla procedura di creazione del profilo di uno store sulla piattaforma Dynamics, nell’ambito della quale viene inviata, via e-mail, la password di accesso al relativo account al District manager (ossia il soggetto preposto a coordinare più store) il quale provvede ad inoltrarla allo store manager di riferimento, è emerso che “il cambio psw non è obbligato dal sistema.” Inoltre “la password dell’account di store è unica per tutti i dipendenti del singolo store” (verbale 9.11.2021).
È risultato (verbale ult. cit.) inoltre che:
• il pc in uso presso lo store non prevede limitazioni particolari in termini di operatività (si possono effettuare screenshoot, ecc.);
• essendo la piattaforma relativa alle fidelity card raggiungibile a mezzo link web, è possibile accedervi da qualunque dispositivo (smartphone, tablet, pc) ferma restando la policy di accedere esclusivamente con gli strumenti forniti per le mansioni di competenza (esclusivamente dai PC di store);
• l’account dello store in parola consente a tutti gli addetti al medesimo store di visualizzare i dati dei clienti degli store dei 7 paesi europei, ove è presente il programma loyalty di Benetton Group srl, per consentire ai clienti di poter cumulare i punti relativi ai loro acquisti a prescindere dalla loro nazionalità anche perché la politica di assegnazione dei punti in questione è la stessa in tutti i detti Paesi (1 punto =1€);
• il dipendente può accedere al programma fidelity a prescindere che sia loggato o meno al sistema di cassa (infatti, l’accesso al portale relativo alle fidelity card è svincolato dall’accesso alla cassa, per il quale ogni operatore dispone di differenti e specifiche credenziali di accesso);
• in merito alla creazione dell’utenza relativa ad un nuovo store, lato loyalty, il sistema non obbliga al cambio password, tuttavia viene suggerito, come prassi, di provvedere al cambio della stessa dopo il primo accesso;
• a specifica richiesta dei verbalizzanti riguardo “all’effettuazione di audit sul trattamento dei dati fatti dai punti vendita Benetton gestiti dalla società Retail Italia Network Srl (facente parte del gruppo societario), nonché sui trattamenti effettuati dai partner di Co-marketing, la Società ha rappresentato “che sinora non sono stati fatti, ma che sono attualmente in fase di programmazione.”.
In base alla complessiva disamina di quanto sopra, sono stati ravvisati i presupposti per ritenere integrata la violazione dell’art. 32, par.1, lettere b) e d), e par. 2, del Regolamento, con riguardo alla “capacità di assicurare su base permanente la riservatezza … e l'integrità” dei dati trattati e di garantire “una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” (v. par. 2: “Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”).
C)Violazione degli artt. 5, par. 2, e 24, del Regolamento.
Infine, con riferimento al tema delle comunicazioni di dati personali a soggetti terzi per finalità di marketing e profilazione, la Società ha fatto riferimento a Tik Tok e Facebook come partner commerciali in tali attività, Tuttavia, nonostante le puntuali richieste rivolte dall’Ufficio (v. verbale 9 novembre 2021), è rimasto poco definito e chiaro il rapporto con tali piattaforme relativamente ai trattamenti dei dati effettuati in nome e/o per conto di Benetton, nonché l’ambito e le modalità degli stessi, considerato che Benetton ha fornito al riguardo solo copia dei termini di servizio somministrati in via standard da tali due Società terze alla generalità dei propri utenti, senza spiegare né produrre documentazione relativamente al ruolo, nella fattispecie, di queste nel trattamento dei dati ed ad eventuali istruzioni operative date loro. Ciò ha fatto ritenere ipotizzabile una violazione del principio di accountability (artt. 5, par. 2, e 24, del Regolamento).
Le suindicate presunte violazioni sono state oggetto di una nuova ulteriore contestazione l’11 marzo u.s.
5. La memoria della Società dell’11 aprile 2022.
La Società l’11 aprile u.s. ha inviato una memoria difensiva, con la quale ha evidenziato di aver voluto fornire “elementi, integrazioni e chiarimenti necessari per la valutazione dei motivi per i quali si ritiene sia da escludersi l’esigenza di applicazione di eventuali provvedimenti correttivi e sanzionatori nel caso di specie, alla luce anche delle misure adottate o in corso di adozione da parte di Benetton …”.
Per quanto riguarda le potenziali violazioni indicate alla lett. A) della Contestazione, ha rappresentato che:
“Con riferimento alla sig.ra XX, i relativi dati personali sono tuttora presenti nei sistemi di Benetton, pur a fronte della disattivazione da parte della medesima dal servizio newsletter, in quanto l’interessata è tuttora titolare ed utilizzatrice della nostra fidelity card. In particolare, l’interessata si è iscritta al programma relativo alla fidelity card nel 2012 (utilizzando, peraltro, il relativo indirizzo e-mail come user-id) ed al servizio newsletter nel 2017. Come già rappresentato, tra il 2019 ed il 2020 è stato implementato il c.d. “DB unico”, nell’ambito del quale è stata prevista la creazione di un unico record riferito al singolo interessato contenente tutte le relative informazioni in ordine alla iscrizione ai servizi Benetton (Newsletter, Fidelity card, e-Commerce). In tale database è presente dunque un unico, specifico record riferito alla sig.ra XX, in quanto la stessa risulta ancora titolare della fidelity card (che utilizza regolarmente) e sempre nello stesso record risulta inoltre la disattivazione del servizio di newsletter.” (v. all. 1 alla memoria 11 aprile u.s., cit.).
Per quanto riguarda il diverso profilo inerente la presenza, nei sistemi Benetton, dei dati riferiti alle anagrafiche dei clienti che non abbiano richiesto la cancellazione del proprio account o che non abbiano avanzato specifiche richieste di anonimizzazione, “così come similmente indicato nell’informativa agli interessati”, la Società ha osservato che “in relazione all’iscrizione al servizio e-commerce (necessario per effettuare gli acquisti) e all’iscrizione al programma fidelity card, tali servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo, in considerazione anche della tipologia di prodotti offerti dalla Società e della frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo. Va tenuto presente altresì che, poiché si procede ad un processo automatico di cancellazione dei dati relativi alle transazioni od acquisti risalenti ad un periodo superiore a 24 mesi, non sarebbe teoricamente possibile ricostruire se il cliente non abbia mai fatto operazioni o se ne ha fatte e sono state cancellate dal processo descritto. Di qui l’indicazione del mantenimento dell’account del cliente nei sistemi fino a quanto quest’ultimo non chieda (i) la disattivazione del servizio/account o (ii) la cancellazione dei dati personali dagli archivi (nei casi di disiscrizione o disattivazione, è possibile considerare gli interessati come “ex clienti”).
La Società ha poi aggiunto che: “In ogni caso, … considerata la profondità storica dei dati più risalenti relativi ai predetti servizi, … intende procedere a definire una durata massima di conservazione dei dati dei clienti relativi all’iscrizione o registrazione ai suddetti servizi, in caso di loro inattività negli ultimi 24 mesi, da fissarsi nel termine massimo di 10 anni dalla data della medesima iscrizione o registrazione (in tal senso, si procederà ad aggiornare l’informativa agli interessati). Ciò permetterebbe anche di preservare le legittime esigenze della Società di mantenimento, per detto periodo (sostanzialmente allineato a quello normativamente previsto per la conservazione di documenti contrattuali), dei dati dei clienti aderenti ai suddetti servizi, che sono essenziali anche al fine di potersi difendere in caso di eventuali, successive contestazioni (negli scorsi anni si sono infatti verificati alcuni contenziosi con gli interessati, rispetto ai quali, se i dati fossero stati completamente cancellati, Benetton non sarebbe stata in grado di tutelare i propri diritti….). Anche per il servizio di newsletter si prevede di procedere ad una conservazione dei dati per 10 anni, fatta salva la previsione di un sistema di disattivazione automatica in caso di mancato invio di comunicazioni da parte della Società o di inattività dell’interessato per 24 mesi e ferma restando la possibilità di chiedere la disattivazione del servizio e la cancellazione dei dati. Come richiesto, si comunica inoltre che, ad oggi, il numero complessivo degli iscritti solo alla newsletter, che risultino aver disattivato il servizio, è di 249.859. Si conferma che, nei casi di iscrizione esclusivamente alla newsletter, sono conservati i dati relativi soltanto ad indirizzi e-mail e consensi privacy rilasciati dagli utenti.”
Con riferimento alle potenziali violazioni indicate alla lett. B) della Contestazione, la Società ha rappresentato che: “Con riguardo alla creazione del profilo di uno store sulla piattaforma Dynamics, si fa presente che, dal punto di vista tecnico, il sistema non permette di impostare come obbligatorio il cambio “psw” di tale profilo e, per questo motivo, sono state fornite indicazioni volte a raccomandare il cambio di psw al primo accesso (v. la procedura di cassa fornita dall’azienda allo store manager, oltre a quanto comunicato all’atto della consegna delle credenziali), in linea con quanto già previsto nelle istruzioni impartite più in generale alle persone autorizzate (ex incaricati del trattamento) nell’ambito delle policy e documentazioni aziendali già in atti. Per far fronte ai suddetti limiti tecnici, sono state già avviate le attività per la sostituzione della piattaforma con una nuova che avrà anche la specifica funzionalità dell’obbligatorietà del cambio pw. Tale attività verranno completate nei prossimi mesi prima comunque della fine dell’anno. Al fine comunque di rafforzare ulteriormente le suddette indicazioni ed istruzioni in questo periodo transitorio, si è inoltre previsto che, all’atto della comunicazione della psw allo store manager (separatamente dalla comunicazione della username) sia presente anche uno specifico richiamo all’obbligo di modifica al primo accesso (ovviamente la psw modificata non risulta più visibile), nonché che, periodicamente, sia inviata una comunicazione volta a richiamare al rispetto di tale obbligo.”
Benetton inoltre ha evidenziato: “che la piattaforma Dynamics, pur prevedendo un account unico per singolo store, consente un accesso in sola visione dei dati degli interessati, senza possibilità di modifica (ad eccezione della possibilità di creare nuove fidelity card) e che le operazioni effettuate con tale account sono comunque tracciate attraverso appositi log, che sono conservati a sistema per un idoneo periodo di tempo, permettendo quindi di poter effettuare appositi audit anche a campione od in caso di eventuali segnalazioni di anomalie”; che alla data della memoria in questione non sono pervenute “lamentele o contestazioni di clienti in riferimento alla predetta piattaforma. Ad ogni modo …. tramite l’attivazione di ulteriori, specifici interventi tecnici, si è riusciti ad implementare un processo che prevede l’attribuzione di utenze sulla piattaforma Dynamics con credenziali individuali per ogni addetto dello store .... La piattaforma Dynamics …. prevede necessariamente la possibilità di accesso tramite link web in quanto sovrintende alla gestione delle fidelity card anche lato clienti che vi accedono (come gli store), ferme restando le diverse abilitazioni ed autorizzazioni informatiche correlate ai rispettivi account (il cliente avrà modo di consultare solo le informazioni a sé riferite, mentre gli addetti dello store potranno visualizzare un set di informazioni più ampio (riferito agli iscritti al programma di fidelizzazione) per la gestione operativa delle fidelity card e per permettere ad ogni store di verificare i punti attribuiti al cliente, ove necessario.”
La Società ha altresì evidenziato che “il sistema permette di accedere ai dati di tutti gli iscritti al servizio fidelity card (degli store dei 7 paesi europei in cui è presente il programma), in quanto il servizio è unico ed i clienti possono accumulare punti in qualsiasi store, a prescindere da dove sia localizzato (i clienti che viaggiano possono effettuare acquisti in qualsiasi paese ove è presente uno store). Inoltre, l’accesso alla piattaforma Dynamics è svincolato da quello del sistema di cassa, in quanto si tratta di sistemi distinti, gestiti entrambi in cloud, e per vincoli e limiti prettamente tecnici non è possibile bloccare l’accesso da dispositivi diversi da quelli utilizzati per la cassa, anche se, come riportato anche da codesta Autorità, i dipendenti dello store sono obbligati ad utilizzare i PC di store, come indicato nella policy aziendale. In relazione a quanto da ultimo dichiarato riguardo all’effettuazione di specifici audit sui punti vendita Benetton, si specifica che, come accennato, gli stessi sono slittati anche a causa della nota situazione pandemica e che la funzione internal audit di Retail Italia Network s.r.l. ha recentemente avviato alcuni audit sul rispetto delle procedure di sicurezza (riguardanti anche la gestione della sicurezza delle informazioni) e è destinataria dell’incarico di svolgere entro quest’anno il piano audit relativo alle procedure privacy in fase di predisposizione da parte della Società. Ciò detto, la Società ha ribadito di non aver ricevuto segnalazioni o contestazioni di eventuali anomalie o irregolarità da parte degli store e dei relativi addetti in relazione agli aspetti sopra evidenziati.
Per quanto riguarda le potenziali violazioni indicate alla lett. C) della Contestazione, con specifico riferimento ai rapporti con Facebook e TikTok, la Società ha chiarito “che, per un mero errore materiale, dovuto anche al particolare momento di concitazione correlato alle articolate attività di collazione, verifica e consegna delle documentazioni richieste in sede di ispezione, sono stati consegnati, all’allegato 22, documenti acquisiti on line attinenti alle condizioni generali di servizio relative ai clienti consumer, anziché quelli relativi ai contratti di servizio business a cui Benetton aveva aderito che si allegano alla presente (v. all. 2) - come è agevole immaginare si tratta di contratti per adesione, redatti unilateralmente dai soggetti, rispetto a cui il potere negoziale dell’aderente è piuttosto limitato -. Ad ogni modo, si specifica che, rispetto a quanto complessivamente previsto da tali condizioni contrattuali, le competenti funzioni della Società hanno attivato i servizi di c.d. inserzione o pubblicazione di annunci o, meglio, banner pubblicitari che non risultano comportare alcun trattamento di dati personali ‘in nome e/o per conto di Benetton’, né alcuna comunicazione di dati personali tra Benetton e i predetti soggetti, mantenendo le parti un distinta titolarità del trattamento per quanto concerne gli ambiti ed attività di rispettiva competenza. In sostanza, come altri operatori del settore, Benetton si limita a predisporre dei contenuti pubblicitari e ad acquistare gli “spazi” od ambiti pubblicitari gestiti a cura esclusiva di tali soggetti, utilizzando i soli servizi che prevedono l’inserimento dei banner all’interno delle relative piattaforme, senza fornire dati personali di clienti od utenti, né ricevere dati personali sugli utenti che li visualizzano.“
Alla luce degli elementi e documenti forniti in ordine alle misure adottate, Benetton ha chiesto “l’archiviazione dell’ulteriore procedimento in esame, anche per quanto concerne l’applicazione di un’eventuale sanzione amministrativa pecuniaria” e “comunque di voler determinare l’ammontare dell’eventuale sanzione nei minimi ritenuti applicabili”, richiamando, oltre agli elementi su esposti, “le dichiarazioni rilasciate in chiusura del verbale ispettivo del 10 novembre 2021 circa l’attenzione mantenuta da parte della complessa organizzazione aziendale agli aspetti e ai presidi privacy anche nel corso di anni particolarmente difficili a causa della nota situazione di emergenza sanitaria e della situazione di crisi socioeconomica.”
6. Osservazioni complessive dell’Autorità alla luce delle due memorie della Società.
6.1. Le presunte violazioni contestate con la comunicazione del 29 settembre 2021.
Con riferimento alla difesa formulata dalla Società con la prima memoria (27 ottobre 2021), va detto anzitutto che i tempi dell’accertamento da parte dell’Ufficio, che sin dall’acquisizione degli atti, ha ritenuto necessaria una propria attività di verifica in sede, a completamento e chiarimento delle operazioni già condotte dal Nucleo Speciale Privacy della Guardia di Finanza nel novembre 2019, sono stati determinati dall’emergenza pandemica manifestatasi sin dall’inizio del 2020.
L’Ufficio ha pertanto rivolto solo richieste di informazione cartolari in attesa che terminassero le note limitazioni alla libera circolazione disposte dalla normativa governativa nonché – una volta gradualmente ridotte le stesse – l’attenuazione del rischio di contagio da Covid-19, a tutela della salute individuale e di quella pubblica.
In questa eccezionale ottica, s’inscrive la sospensione ex lege di tutti i termini inerenti lo svolgimento di procedimenti amministrativi pendenti alla data del 23 febbraio 2020 o iniziati successivamente a tale data, per il periodo compreso tra questa e il 15 maggio 2020 (proroga disposta dall’art. 37, d.l. n.23/2020, comma 1). Ciò premesso, la contestazione del 29 settembre 2021 -a dispetto di quanto ritenuto dalla Società e proprio alla luce di un orientamento della Suprema Corte citato nella sua stesa memoria del 27 ottobre u.s. -non può certo ritenersi intempestiva, in quanto notevolmente condizionata tanto da effettive esigenze di verifica e comprensione delle dinamiche di trattamento di Benetton quanto dall’eccezionale e nota condizione di limitazioni e di incertezza legate all’emergenza pandemica. Si deve inoltre considerare che -come ricordato dal recente provvedimento del Garante del 16 dicembre 2021, doc. web n. 9735672- in generale per quanto attiene l’attività delle Autorità amministrative indipendenti, la Cassazione (Cass. Civ. Sez. 2, n. 31635/2018), riprendendo argomentazioni già espresse in precedenza, ha ribadito che “l'attività di accertamento dell'illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il fatto’ nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017)”.
Analogamente, con specifico riferimento agli illeciti amministrativi di cui al Codice privacy, la Suprema Corte ha poi recentemente ribadito che (Cass. civ., sez. 2, n. 18288/2020) ”essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad essa relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018).” Pur riferendosi tale giurisprudenza al termine di 90 giorni previsto dall’articolo 14 della legge n. 689/1981, i principi ivi individuati ben possono trovare analoga applicazione in relazione all’art. 166, comma 5, del Codice privacy, dal momento che tale ultima disposizione, a seguito delle modifiche apportate dal d.lgs. n. 101/2018, reca la nuova disciplina relativa ai procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, prima di allora definita esclusivamente tramite il rinvio operato dal Codice stesso alla menzionata legge 689/1981. Ne discende “che il tempo per l’elaborazione e valutazione dei dati, quando non arbitrariamente ed irragionevolmente protratto, sarà direttamente proporzionale al livello di complessità delle fattispecie oggetto del procedimento”, incluso anche ….”il metodo di analisi applicato dall’Autorità” (v. provv. 16 dicembre 2021, cit.).
Si deve, tuttavia, considerare, come rilevato in occasione dell’ispezione condotta fra l’8 e il 10 novembre 2021, che il tempo decorso ha consentito alla Società di migliorare sensibilmente la conformità alla normativa vigente in materia di alcune rilevanti criticità, oggetto della prima contestazione (v. anche memoria 27 ottobre 2021 e verbali ispettivi citati). Si fa riferimento, in particolare, alla rinnovata gestione dei cookie nonché all’implementazione del data base dei clienti che attualmente consente di avere, per ciascuno di essi, un unico record, con un’unica opzione di volontà -positiva o negativa- rispetto al trattamento per finalità promozionale, pur a fronte di più servizi (fidelity card; e-commerce; iscrizione alla newsletter), tutti comportanti l’invio di comunicazioni a carattere sostanzialmente promozionale. Sicché, ad esempio, se l’interessato si dis-iscrive dal programma fidelity non dovrebbe più ricevere neanche newsletter promozionali.
Considerato l’intervento correttivo- sistematico e radicale- apportato dalla Società nella revisione dei detti trattamenti, questa Autorità ritiene di poter procedere all’archiviazione della suindicata prima contestazione.
6.2. Le presunte violazioni notificate con la seconda contestazione (11 marzo 2022).
Alla luce della memoria presentata da Benetton l’11 aprile u.s., si ritiene non ravvisabile, e quindi archiviabile, l’ipotizzata violazione dei principi di minimizzazione e limitazione della conservazione rispetto ai dati di XX (lett. A della contestazione), poiché la Società ha chiarito che i dati in questione “sono tuttora presenti nei sistemi di Benetton, pur a fronte della disattivazione da parte della medesima dal servizio newsletter, in quanto l’interessata è tuttora titolare ed utilizzatrice della nostra fidelity card.”
Risulta inoltre archiviabile, in ragione delle motivazioni addotte dalla Società e delle specifiche fornite riguardo ai ruoli ricoperti dai partner commerciali, Facebook e Tik Tok, nel trattamento dei dati personali per finalità di marketing, la contestazione del principio di accountability riguardo ai trattamenti dei dati effettuati dalle suindicate società, in nome e/o per conto di Benetton (lett. C della contestazione).
Diversamente, pur prendendo atto delle misure correttive che Benetton ha affermato di aver autonomamente posto in essere, si deve confermare la violazione dell’art. 5, par.1, lett. c) ed e), del Regolamento (principi di minimizzazione e limitazione della conservazione) -di cui alla lettera A) della medesima contestazione- rispetto alla conservazione a tempo indeterminato di alcuni dati degli ex clienti (disiscritti o disattivati), anche alla luce dell’altrettanto essenziale principio di finalità (v. art. 5, cit., lett. b). Peraltro, alla data della memoria dell’11 aprile u.s., il numero complessivo degli iscritti solo alla newsletter, che risultavano aver disattivato il servizio, e tuttavia ancora conservati dalla Società, è di importo rilevante (249.859). Tale criticità s’innesta sull’analogo punto 2.3 della prima contestazione, anch’essa riguardante la violazione dei principi di minimizzazione e limitazione della conservazione, rivelando così persistenti criticità al riguardo, anche perché non risultano specifiche misure correttive già poste in essere dalla Società, con particolare riguardo ai dettagli degli scontrini.
Alla luce di ciò, la durata decennale della conservazione dei medesimi, tanto più se ricchi di dettagli oggettivamente riferiti a gusti e preferenze degli interessati -anche se utilizzati dalla Società per finalità di marketing o di profilazione solo previo specifico consenso- è da ritenersi palesemente eccessiva rispetto alla misura di 12 mesi/24 mesi, indicata, in relazione alle anzidette finalità, nel provvedimento generale “Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” - 24 febbraio 2005, doc. web n. 1103045, anche alla luce dei principi di accountability e di “responsabilità generale” (ai sensi degli art. 5, par. 2 e 24, nonché Cons. n. 74, del Regolamento).
Tutto ciò considerato, si ritiene necessario adottare, nei confronti della Società, un provvedimento correttivo con il quale:
- ingiungere di cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria;
- ingiungere di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, minimizzazione e limitazione della conservazione.
Si deve confermare altresì, in capo a Benetton, la violazione dell’art. 32, par. 1, lett. b), anche alla luce del disposto del par.2, del Regolamento, di cui alla lettera B) della contestazione, con riguardo:
alla procedura di creazione del profilo di uno store sulla piattaforma Dynamics;
alla mancanza di limitazioni particolari in termini di operatività (si possono effettuare screenshoot od operazioni analoghe) del pc in uso presso lo store;
alla possibilità di accedere alla piattaforma relativa alle fidelity card raggiungibile a mezzo link web, da qualunque dispositivo (smartphone, tablet, pc);
alla possibilità del dipendente di accedere al programma fidelity a prescindere che abbia, o meno, effettuato il login al sistema di cassa;
alla mancata previsione dell’obbligatorietà del cambio password al momento della creazione dell’utenza relativa ad un nuovo store, lato loyalty, e all’unicità della password dell’account di store per tutti i dipendenti del singolo store (verbale 9 novembre u.s.), e quindi, peraltro, alla mancata possibilità di individuare il soggetto effettivamente responsabile di un’eventuale ‘violazione di dati’.
Infatti, ai sensi della succitata norma, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre: …. b) la capacità di assicurare su base permanente la riservatezza dei dati”. Inoltre, ai sensi del par.2, “nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare (anche) dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”
Inoltre si deve ritenere confermata la violazione dell’art. 32, par. 1, lett. d), in quanto è risultata mancare “una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. Tali violazioni peraltro vanno iscritte nell’alveo dei generali principi di ‘sicurezza’ e ‘riservatezza’ di cui all’art. 5, par.1, lett. f), Regolamento, del quale si ravvisa l’esigenza di assicurare una tutela tempestiva ed efficace, anche per evitare che ricorrano i presupposti fattuali per eventuali data breach. Al riguardo, risulta essenziale osservare che la violazione di cui all’art. 32 del Regolamento non costituisce illecito di ‘danno-evento’, ma illecito di ‘pericolo’, quindi -per integrarla- è sufficiente rilevare la sussistenza dei presupposti previsti dal legislatore europeo, senza che sia necessario che si sia realizzata una violazione di dati personali (data breach), disciplinata infatti da specifiche distinte norme (33 e 34, Regolamento).
Ad aggravare le dette violazioni, concorrono tanto la notevole massa dei dati (accessibili da ciascuno store e riferiti a tutti gli altri store dei Paesi in cui Benetton è presente), quanto la varietà di dettagli personali acquisiti mediante l’utilizzo delle fidelity card, provvisti dunque di grande utilità, ed ‘appetibilità’, per le attività di data enrichment e di profilazione sempre più diffuse nella data economy.
Si ritiene pertanto necessario, in via correttiva, ingiungere alla Società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store, avvenga nel rispetto dell’art. 32, par.1, lett. b) e d), e par. 2), del Regolamento.
6.3. Risultanze complessive e conseguenti misure da adottare.
Complessivamente, da tale accertamento di illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario, nei confronti di Benetton:
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiarare illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della Società; in ragione, in particolare, della violazione delle seguenti disposizioni:
• art. 5, par.1, lett. c) ed e), del Regolamento;
• art. 32, par. 1, lett. b) e d), e par. 2, del Regolamento;
ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiungere di cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 10 giorni dalla data di ricezione del presente provvedimento;
ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, minimizzazione e limitazione della conservazione, entro 30 giorni dalla data di ricezione del presente provvedimento;
ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere alla medesima Società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store, avvenga nel rispetto dell’art. 32, par.1, lett. b) e d), e par. 2), del Regolamento, entro 30 giorni dalla data di ricezione del presente provvedimento;
ai sensi dell'art. 157 del Codice, chiedere alla medesima Società di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 40 giorni dalla data di ricevimento del presente provvedimento;
adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 4 e 5, del Regolamento.
7. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria.
Con limitato riferimento alla seconda contestazione inviata alla Società, occorre rilevare che le violazioni sopra confermate (v. par. 6.3) impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Benetton Group s.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni -avendo ad oggetto anche i principi di minimizzazione e di limitazione della conservazione, di cui all’art. 5 del Regolamento- sono da ricondursi, ai sensi dell’art. 83, par. 3 dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, lett. a), del Regolamento.
Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Nella fattispecie, quali circostanze aggravanti devono essere considerate:
1) l’elevato numero degli interessati e la notevole durata delle violazioni (lett. a);
2) la dimensione soggettiva della condotta, da ritenersi gravemente colposa in ragione della difformità della condotta alla luce della consistente attività provvedimentale dell’Autorità, con particolare riferimento alla conservazione dei dati (lett. d);
3) la rilevanza economica della Società (v. fatturato -“volume d’affari” di euro 510.143.722,00, secondo il “modello IVA 2021” e di euro 817.306.980,00, secondo il “modello IVA 2020”; lett. K).
Quali elementi attenuanti, ai sensi dell’art. 83, par. 2, del Regolamento si ritiene di dover tener in conto:
1) le misure prospettate per migliorare la conformità alla normativa in materia di protezione dei dati (lett. c);
2) l’assenza di precedenti procedimenti avviati a carico della Società (lett. e);
3) la collaborazione e trasparenza manifestate dalla Società all’Autorità in occasione degli accertamenti ispettivi e, più in generale, nell’ambito dell’istruttoria condotta (lett. f);
4) l’accertamento d’ufficio delle suindicate violazioni, in assenza di segnalazioni e reclami a carico della Società (lett. h);
5) la situazione di emergenza pandemica in cui si è collocato l’accertamento in esame e, in particolare, le perdite finanziarie rappresentate dalla Società (ed emergenti peraltro dalla notevole variazione negativa di fatturato pari a 308.011.179: -37% circa); nonché “il ricorso alla cassa integrazione di un giorno a settimana per oltre un anno” (v. verb. 10 novembre 2021) (lett. k).
In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Benetton Group s.r.l. la sanzione amministrativa del pagamento di una somma di euro 240.000 (duecentoquarantamila/00), pari a circa lo 1,18 % della sanzione edittale massima (euro 20.405.748).
Nel caso in argomento si ritiene che debba altresì applicarsi la sanzione accessoria della pubblicazione nel sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria rispetto alla quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Benetton Group s.r.l., P.IVA: 03490770264, con sede in via Villa Minelli, 1, Ponzano Veneto (Treviso);
b) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiunge alla medesima Società di cancellare, o anonimizzare, i dati personali degli ex clienti risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 10 giorni dalla data di ricezione del presente provvedimento;
c) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità, minimizzazione e limitazione della conservazione, entro 30 giorni dalla data di ricezione del presente provvedimento;
d) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store, avvenga nel rispetto dell’art. 32, par.1, lett. b) e d), e par. 2), del Regolamento, entro 30 giorni dalla data di ricezione del presente provvedimento;
e) ai sensi dell'art. 157 del Codice, chiede alla medesima Società di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 40 giorni dalla data di ricevimento del presente provvedimento. Si ricorda che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministrativo di cui all'art. 166, comma 2, del Codice;
ORDINA
a Benetton Group s.r.l. di pagare la somma di euro 240.000 (duecentoquarantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 240.000 (duecentoquarantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;
DISPONE
quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 aprile 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
27/04/23
Argomenti
Misure di sicurezza Consenso Conservazione di dati Informativa Cookies Spam Data breach
Tipologie
Ordinanza ingiunzione o revoca
Stangata di 240.000,00 Euro a Benetton Group
Stangata di 240.000,00 Euro a Benetton Group
Dott. Giancarlo Favero
Direttore
--------------------------------------
Capital Security Srls
Via Montenapoleone, 8
20121 Milano
Tel. 02-94750.267
Cell. 335-5950674
giancarlo.favero@capitalsecurity.it
Direttore
--------------------------------------
Capital Security Srls
Via Montenapoleone, 8
20121 Milano
Tel. 02-94750.267
Cell. 335-5950674
giancarlo.favero@capitalsecurity.it