Una lite tra una cliente e una commessa è costata cara, anzi, carissima, alla Rinascente, storico colosso dello shopping Made in Italy. Sì, perché dopo aver avuto un alterco con una delle acquirenti, l’addetta alle vendite in questione l’ha salvata sulla fidelity card come “Donzella Svampita”, definizione che, oltre a essere poco lusinghiera, costituisce una chiara violazione della privacy della cliente. La quale, appena se ne è accorda, non ci ha pensato un attimo a denunciare il tutto al Garante della Privacy che, dopo un’attenta indagine, ha provveduto a multare i grandi magazzini con una sanzione di 300mila euro.
Andiamo con ordine. Tutto è successo il 24 luglio di due anni fa alla Rinascente di corso Vittorio Emanuele a Milano: come riferisce il Garante dando la notizia, la “cliente, dopo un alterco con una commessa, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante”. L’addetta l’aveva infatti rinominata “Donzella Svampita”. “La signora – prosegue la nota del Garante – lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente”.
Così, ha fatto scattare la denuncia ed è emerso che “oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali. Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla fidelity card denominata ‘friendscard’, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana”. In altre parole, stando all’accusa, Rinascente avrebbe inoltrato a Facebook i dati dei propri clienti senza specificarlo.
“Riguardo infine all’attività di e-commerce presente sul sito, pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR. L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti”, spiega ancora il Garante della Privacy. Quindi, conclude la nota, “nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni (più di 2 milioni di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto”.