Il fatto è avvenuto due anni fa dopo un litigio tra l'addetta alle vendite e la consumatrice. L'authority ha rilevato la violazione delle regole sul trattamento dei dati personali non solo nel caso specifico e comminato una multa da 300 mila euro.
La vendetta è un piatto che va servito freddo. Lo sa bene la commessa della Rinascente che dopo una lite con una cliente ha pensato bene di cambiarle le generalità sulla fidelity card sottoscritta con il noto centro commerciale. Il nome scelto per il battesimo virtuale è «Donzella Svampita» che, oltre a essere poco lusinghiero, costituisce una violazione della privacy. Il fatto risale al 24 luglio di due anni fa e ad accorgersene è stata la stessa «vittima» di quello che forse era nato più come uno scherzo che un vero e proprio tentativo di danneggiare la consumatrice. Infatti, la donna - oltre a non aver mai fatto richiesta di una nuova fidelity card, di cui era già in possesso - si è subito resa conto che quella presa in giro poteva essere ricondotta a un alterco che aveva avuto poche ore prima proprio con un'addetta alle vendite dello store.
Violazione della privacy e cessione a Facebook
La cliente, dopo essersi vista recapitare la nuova singolare carta e aver contattato il servizio di assistenza del negozio, ha deciso di rivolgersi al Garante della Privacy per accertare eventuali irregolarità nel trattamento dei suoi dati personali. La domanda è: come è possibile che una commessa abbia potuto annullare la precedente carta e crearne una nuova con un nome fittizio? Dalla segnalazione dell'interessata è nata un'istruttoria dell'Authority che si è conclusa con una condanna della Rinascente al pagamento di 300mila euro. Somma di un certo livello che potrà essere dimezzata se versata entro 30 giorni, salvo la possibilità di impugnare la decisione. Nella motivazione, l'autorità definisce il comportamento della dipendente «una leggerezza» che ha portato alla violazione delle «istruzioni ricevute nonché, più in generale, un predefinito protocollo, e quindi può essere archiviato». Per l'audace commessa la conseguenza sarà un provvedimento disciplinare. Ma non è tutto. Nella nota del Garante si legge anche che nell’informativa relativa alla fidelity card denominata «friendscard», non erano stati esplicitati i tempi di conservazione dei dati per finalità di marketing e di profilazione. In più, non veniva indicata l’attività svolta tramite Facebook Meta, che prevedeva la diffusione degli indirizzi email dei clienti alla società statunitense. In altre parole, stando all'accusa, Rinascente avrebbe inoltrato a Facebook i dati dei propri clienti senza specificarlo. E il Garante se n'è accorto grazie alle doglianze della cliente soprannominata «Donzella Svampita».
Le motivazioni della multa
Per quanto riguarda l’attività di e-commerce presente sul sito, nonostante lo svolgimento di un’ampia attività di profilazione, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal Gdpr - fa presente ancora il Garante - che ha quindi chiesto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti con finalità di marketing e trattamenti a fini di profilazione. Di conseguenza, deve essere prevista la cancellazione dei dati che dovessero risultare conservati oltre i termini stabiliti. L'autorità conclude specificando che nel definire l’importo della sanzione a 300mila euro è stato considerato l’elevato numero dei soggetti coinvolti dalle violazioni, la loro durata e la capacità economica della società. Tuttavia, hanno attenuato la severità della pena l’assenza di altri procedimenti a carico della società, la tempestività dell'adozione di misure correttive e la grave crisi socio economica in atto. Infatti, «Donzella Svampita» non è l'unica vittima della violazione della privacy, ma i clienti tesserati nel loro complesso.
News ripresa da Corriere della sera