[doc. web n. 9909907]

Provvedimento dell'8 giugno 2023

Registro dei provvedimenti
n. 253 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione pervenuta (fasc. n. 169175).

Con segnalazione, datata 28 luglio 2021, la Sig.ra XX ha lamentato che, dopo un alterco con un’addetta di uno store Rinascente nella giornata del 24 luglio 2021, riceveva in pari data una e-mail con la quale veniva comunicata dalla detta Società l’avvenuta attivazione -mai richiesta- di una nuova fidelity card, recante le sue generalità modificate rispetto a quelli reali, e in particolare intestata a “Donzella Svampita”. La medesima interessata aggiungeva che, contattando il Servizio clienti, veniva informata che la Rinascentecard, anni addietro attivata, risultava essere stata annullata e sostituita in data 24.07.2021 dalla nuova, con le nuove generalità sopra indicate. A suo parere riteneva, pertanto, che fosse stato effettuato un accesso non richiesto alla scheda cliente, per introdurre la nuova intestazione -evidentemente offensiva- e chiedeva al Garante di valutare quanto accaduto, al fine, se del caso, di emanare i provvedimenti di cui all'art. 58 del Regolamento.

2. Istruttoria preliminare relativa alla segnalazione e suoi esiti.

Nel riscontro fornito il 30 ottobre 2021 alla richiesta d’informazioni inviata dall’Ufficio il 12 ottobre 2021 (qui da intendersi integralmente richiamata e riprodotta), la Società ha rappresentato che: -“non appena appreso notizia di quanto occorso…, ha prontamente fornito riscontro, confermando di aver inoltrato la comunicazione ricevuta, per alcune verifiche …” e che, “data la peculiarità della vicenda rappresentata, sono risultati necessari alcuni giorni per accertare internamente i fatti e verificare le condizioni necessarie per dare seguito alla richiesta di ripristino della Rinascentecard … avanzata dall’interessata tramite il suo avvocato, ripristino integrale che è avvenuto in data 5 agosto 2021…”, come comunicato all’interessata; - di aver contattato telefonicamente il legale della segnalante “al fine fornire ulteriore conferma delle attività intraprese dalla Società stessa per il ripristino della situazione quo ante e per confermare la piena disponibilità di tutti i dati personali della sua assistita …”; -“l’evento occorso non ha comportato alcun trattamento di dati personali da parte del personale Rinascente in modo difforme rispetto a quanto rappresentato all’interessata nell’informativa resa in sede di attivazione della Card, fatta eccezione per l’atto compiuto dall’addetta dello store in violazione delle procedure e istruzioni alla stessa impartite dalla Società;“ -“… tale atto ha in ogni caso comportato un trattamento di dati confinato esclusivamente nella modifica del “nome” e “cognome” dell’interessata senza autorizzazione della stessa, senza ulteriori trattamenti; …. che non vi è stata alcuna perdita dei dati personali della Sig.ra XX. Con il supporto del servizio IT è stata, infatti, rispristinata integralmente la situazione antecedente all’accadimento senza alcuna conseguenza”.

Inoltre, la Società ha rappresentato che a tutti i lavoratori, “in sede di assunzione, vengono consegnate la policy aziendale di Rinascente in materia di protezione dei dati personali e specifiche istruzioni per il corretto trattamento dei dati ai sensi dell’art. 29 del GDPR” e che è curata la formazione sia teorica sia pratica del personale. Ad avviso de La Rinascente: “Alla luce di quanto sopra, e delle risultanze delle verifiche interne, … le azioni poste in essere dall’addetta …. nei confronti della Sig.ra XX … si discostano totalmente dalle procedure adottate da Rinascente in relazione alla gestione delle Card nonché dalle istruzioni che la Società stessa fornisce ai propri dipendenti …”, evidenziando altresì di aver applicato alla lavoratrice in questione una sanzione disciplinare.

3. Accertamento ispettivo condotto dal Nucleo Speciale Privacy (fasc. n. 175437) con riguardo ai trattamenti per finalità di marketing e di profilazione.

Il Nucleo Speciale Privacy e Frodi Tecnologiche, in base al protocollo d’intesa con il Garante, nel periodo compreso fra il 30 novembre e il 2 dicembre 2021, ha condotto un accertamento ispettivo presso la sede della Società. Dall’analisi dei verbali ispettivi, sono emerse le seguenti criticità.

In base all’esame dell’informativa rilasciata (v. in particolare quella relativa alla fidelity card denominata “friendscard”: v. all. 9 ai detti verbali), è risultato che, in caso di consenso al trattamento per finalità di marketing (p. 2, lett. c) e analisi delle abitudini di consumo (p. 2, lett. b), “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali.” (v. così anche verbale 2 dicembre 2021), senza tuttavia indicare alcun riferimento necessario per far comprendere agli interessati quanti e quali termini temporali vengano applicati dalla Società, anche in relazione alla tipologia dei dati e alle finalità del trattamento.

Nelle informative prodotte dalla Società (all.9, cit.), non viene indicata l’attività di trattamento svolta mediante Facebook-Meta, con riguardo anche all’inoltro degli indirizzi email dei clienti de La Rinascente alla società americana. Inoltre, è stata acclarata (v. all. 10 ai verbali) la procedura di registrazione presso gli store, relativa all’acquisizione di un'unica manifestazione di volontà tanto per i termini di servizio quanto per la presa visione dell’informativa per il trattamento. Analogamente, nell’ambito della procedura di e-commerce presente sul sito web societario - ferma restando, per l’utente che si sia previamente registrato, la richiesta di consensi distinti - per quello non registrato è emersa la seguente formulazione: “Procedendo con l’acquisto, dichiaro di aver letto ed accettato termini e condizioni di vendita di Rinascente e di aver preso visione della privacy policy” (v. all.8).

Peraltro, pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che La Rinascente avesse definito la procedura di valutazione d’impatto, avendo infatti dichiarato che la documentazione di tale procedura, alla data dell’accertamento, era ancora una bozza, che necessitava di modifiche ed integrazioni per poi essere sottoposta all’approvazione dell’organo amministrativo (v. verbale 1° dicembre 2021). Infine, è stato accertato (verbale 2 dicembre 2021, cit.) che i dati personali degli interessati, pur in caso di campagne promozionali “generiche”, vengono conservati per 7 anni.

4. Supplemento istruttorio – richiesta informazioni e documenti del 10 marzo 2022

Al fine di chiarire alcuni aspetti e di acquisire elementi quantitativi riguardo ai trattamenti in rilievo, l’Ufficio ha rivolto alla Società una puntuale richiesta. Con nota del 30 marzo u.s., ai cui allegati si rinvia per maggior dettaglio, La Rinascente ha fornito riscontro, rappresentando che:

a) “dal 25 maggio 2018 … ha rilevato e registrato una sola violazione di dati personali che non si è ritenuto di notificare … avendo ritenuto improbabile che detta violazione potesse presentare rischi per i diritti e le libertà degli interessati”. In particolare, “durante un rilascio in produzione di uno sviluppo tecnico …, a causa di un disallineamento 5 clienti e-commerce hanno ricevuto erroneamente le comunicazioni relative agli ordini di 70 utenti”, precisando di essere intervenuta per bloccare subito il flusso di email e per avvisare dell’accaduto i clienti destinatari, invitandoli a cancellare le e-mail ricevute. 

b) al 27 marzo 2022 i clienti che hanno richiesto la fidelity card presso gli store sono risultati 2.503.105; invece, quelli che hanno richiesto la fidelity card sul sito societario sono stati 327.830.

c) con “riguardo all’attività di targeting effettuata mediante Facebook”, a) “…l’attuale assetto contrattuale dei servizi usati per le “Campagne Custom Audience CRM” … offerti da Meta Platforms Ireland Limited (di seguito “Meta”) prevede un inquadramento del fornitore del servizio di social media, quale responsabile del trattamento dei dati personali di cui la Società rimane titolare …. Per quanto concerne, invece, gli ulteriori servizi di targeting …. nell’ambito delle … “Campagne Standard” secondo l’attuale assetto documentale, Meta e la Società agiscono quali contitolari del trattamento... Ad oggi il numero di indirizzi e-mail condivisi, in forma crittografata, con Meta … è pari a 1.398.563”;

d) con particolare riguardo all’informativa e al consenso, la Società ha prodotto copia dell’informativa Rinascentecard sul trattamento dei dati personali, aggiornata ad ottobre 2021, nonché la formula di acquisizione del consenso per l’attività di marketing e/o profilazione, aggiornata al 2022 (all. 7), evidenziando che “ … provvederà alla pubblicazione di un aggiornamento della informativa … comprensiva del più aggiornato inquadramento dei ruoli privacy correlati ai servizi di targeting tramite Facebook.”;

e) con particolare riguardo alle modalità e al numero di comunicazioni promozionali effettuate negli ultimi 2 anni, tramite Facebook, la Società ha comunicato che: “Le campagne dallo strumento “Business Manager” di Facebook possono essere di due tipi: 1. Campagna Standard e 2. Custom Audience CRM. … È possibile individuare due tipologie di targeting per queste campagne: - prospecting (= ricerca di nuovi utenti potenzialmente interessati ai prodotti Rinascente) e - retargeting (= contatto sulle property di Meta -come utenti del social network- relative a utenti che hanno già visitato il sito Rinascente). Nel caso di una campagna “prospecting”, quest’ultima sarà rivolta a segmenti di pubblico potenzialmente interessati ai prodotti promossi. … Nel caso di una campagna di retargeting, la stessa sarà rivolta ad utenti che, ad esempio, hanno già visitato il sito Rinascente, aggiunto prodotti al carrello ma non ancora effettuato alcun acquisto. In entrambe le ipotesi non vengono utilizzate liste di interessati iscritti al CRM di Rinascente”, ma liste degli utenti di Meta. Il numero di “Campagne Standard” effettuate e pubblicate su Facebook da gennaio 2020 a marzo 2022 è pari a 157. Invece, con riguardo alla gestione delle ‘Campagne Custom Audience CRM’, e quindi con la propria base di dati, si avvale di un’apposita agenzia, i cui operatori, nel “caricare le campagne marketing da pubblicare su Facebook …, hanno esclusivamente visibilità della presenza del segmento di pubblico a cui destinare o meno la campagna marketing …”; il numero di tale diverso tipo di campagne, da marzo 2021 (data di inizio di quest’attività) a marzo 2022, è pari a 30;

f) con riguardo ai tempi di conservazione dei dati, la Società ha rappresentato “che i dati conferiti per finalità legate in generale ad attività di marketing”, poiché  riguardano “acquisti relativi a prodotti di ‘fascia alta’ e … la frequenza media annuale di acquisto … è distanziata nel tempo, vengono attualmente conservati per un termine massimo di 7 anni, in linea con precedenti provvedimenti emessi per fattispecie analoghe da Codesta Autorità, essendo stato ritenuto tale arco temporale congruo e proporzionato sia alle finalità … sia alla tipologia di dati personali oggetto di trattamento.”

5. Complessivi esiti dell’istruttoria preliminare e notifica delle presunte violazioni ai sensi dell’art. 166, comma 5, del Codice.

Nella fattispecie, alla luce degli esiti dell’accertamento complessivamente effettuato dal Nucleo speciale Privacy e dall’Ufficio, è stato rilevato quanto segue.

L’Autorità, in particolare, ha ritenuto configurabili n. 2 casi di possibile ‘violazione di dati’ (quella riguardante la segnalante XX e il disallineamento ammesso dalla Società nella memoria del 30 marzo 2022). In particolare, nel primo caso la Società non è risultata essere stata in grado di “ … assicurare su base permanente … l'integrità” dei dati della segnalante, “modificati” infatti senza alcun previo consenso dell’interessata; nel secondo caso (dove i dati dei clienti e-commerce risultano indebitamente comunicati ad altri clienti), non è parso aver garantito “una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

Sono stati rilevati, dunque, i presupposti della violazione dei principi d’’integrità’ e ‘riservatezza’, di cui all’art. 5, par.1, lett. f), del Regolamento generale UE n. 679/2016 (di seguito: “Regolamento”) nonché del collegato art. 32, par. 1, lettere b) e d), e par. 2, del Regolamento. Peraltro, con riferimento all’indesiderata modifica delle generalità dell’interessata, peraltro con un epiteto non compatibile con il diritto all’identità e alla reputazione, è risultata ravvisabile la violazione dei principi di ‘correttezza’ e di ‘liceità’, sanciti dall’art. 5, par. 1, lett. a), del Regolamento, per il tramite della violazione anche dell’art. 1, d.lgs. n. 196/2003 (di seguito: “Codice”), in base al quale: “Il trattamento dei dati personali avviene secondo le norme del … «Regolamento» e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.

Inoltre, non è risultato che la Società avesse fornito la prova di aver rilasciato alla segnalante - interessata l’informativa relativa al trattamento dei dati al momento dell’attivazione dell’originaria fidelity card (nel novembre 2016). Più in generale, con riguardo sia alla procedura d’attivazione delle card presso gli store, come confermato dalla formulazione della e-mail inviata alla segnalante (al momento –19 novembre 2016- dell’attivazione della card originaria), sia alla procedura di e-commerce (all. 8 ai verbali suindicati), risultava acquisita un’unica manifestazione di contestuale volontà dell’interessata, con riferimento sia al regolamento contrattuale sia alla presa visione dell’informativa che recava più trattamenti per varie finalità, fra cui quelle promozionali svolte con modalità variegate, anche automatizzate (“posta, telefono o comunicazioni elettroniche, es. sms, email, ecc.”) e quelle di profilazione. Pur rilevato che la Società raccoglieva due consensi specifici e distinti, rispettivamente per la finalità di marketing e per quella di profilazione, l’adempimento informativo (in comune con quello contrattuale), dunque, non è parso impostato in modo corretto e idoneo a garantire l’effettiva consapevolezza dell’interessato riguardo ai vari numerosi elementi informativi, quali i tempi di conservazione, le modalità dell’attività promozionale o i diritti esercitabili ai sensi del Regolamento. Quanto sopra è dunque apparso in contrasto con i principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché con l’art. 13 del Regolamento. Peraltro tale presunta violazione ha riguardato, al 27 marzo 2022, 2.503.105 clienti che hanno attivato la fidelity card presso gli store e 327.830 clienti che hanno proceduto all’attivazione mediante il sito web societario.

Con riguardo al testo dell’informativa (sito web; attivazione fidelity card Rinascente e Friendscard: v. all.9 ai citati verbali), l’indicazione “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali.” è risultata eccessivamente generica ed indeterminata, non consentendo agli interessati una consapevolezza diretta ed agevole di siffatta tempistica, anche al fine di valutare se e quali dati rilasciare od eventualmente se disiscriversi dal programma fedeltà.

Sono stati dunque ravvisati i presupposti per la violazione del principio di trasparenza (artt. 5, par.1, lett. a) e 12, par.1, del Regolamento). Peraltro ciò risultava in contrasto anche con Linee Guida del Comitato europeo per la protezione dei dati sulla trasparenza ai sensi del Regolamento (wp260rev.01, in www.edpb.europa.eu) che, in coerenza con la suindicata normativa, valorizzano espressamente l’adempimento informativo in termini di semplicità, chiarezza e immediata intellegibilità, anche tenuto conto delle categorie di interessati maggiormente vulnerabili, e in particolare connotate da una minor capacità di discernimento.

Rispetto all’adempimento informativo sono stati rinvenuti i seguenti ulteriori possibili profili critici: in termini di incompletezza e di complessiva inidoneità delle informative, in sede di attivazione della fidelity card, sopra individuate, ove risulta mancare l’indicazione delle peculiari attività di trattamento svolte unitamente a Facebook-Meta, con particolare riferimento alle campagne ‘Custom Audience CRM’ rivolte a 1.398.563 clienti de La Rinascente; o anche in termini di mancato rilascio di una propria informativa da parte della Società con riguardo alle due tipologie di campagne (prospecting e retargeting).

Per entrambi i profili ), da quanto sopra esposto, sono emersi dunque i presupposti per contestare la possibile violazione dell’art. 13 del Regolamento. Alla luce delle suesposte lacune informative, è altresì emersa la possibile violazione anche degli artt. 6-7 del Regolamento, con limitato riguardo alla gestione delle (157) ‘Campagne Standard’ rivolte a soggetti non clienti, non risultando acquisito da La Rinascente alcun specifico consenso né al marketing né alla sottesa profilazione.

Con limitato riferimento alle ‘Campagne Custom Audience CRM’, non risultando in atti la nomina a responsabile del trattamento dell’agenzia media, i cui operatori “accedono a Business Manager per caricare le campagne marketing da pubblicare su Facebook per conto di Rinascente”, con “visibilità della presenza del segmento di pubblico a cui destinare o meno la campagna marketing”, è risultata contestabile la violazione dell’art. 28 del Regolamento.

Peraltro, è emerso che la Società -pur svolgendo attività di profilazione- non aveva ancora definito la procedura di valutazione d’impatto, che va obbligatoriamente effettuata prima dell’avvio di siffatta invasiva attività di trattamento. Quindi sono stati rilevati i presupposti della possibile violazione dell’art. 35, parr. 1, e 3, lett. a), del Regolamento.

Infine il tempo di conservazione (7 anni) dei “dati conferiti per finalità legate in generale ad attività di marketing”, è risultato in probabile contrasto con i principi di ‘finalità, di minimizzazione e di limitazione della conservazione’, ai sensi dell’art. 5, par.1, lett. b), c), ed e) del Regolamento. Il suddetto termine, pur presupponendo che sia stato individuato dalla Società nell’esercizio della propria accountability, è parso comunque eccessivamente dilatato. Infatti l’analogo termine preso a riferimento da società-brand appartenenti al comparto del lusso (invocato, quale termine di paragone, dalla Società nella propria memoria difensiva) è stato individuato, peraltro in un contesto temporale ormai datato (2013), da questa Autorità a seguito di apposita richiesta di prior cecking e di una complessa istruttoria. Inoltre, per quanto in atti, non pare potersi ritenere che la tipologia di prodotti posti in vendita da La Rinascente sia assimilabile a quella commercializzata da tali altre società (quali: Bulgari, Ferragamo; v. provv. 30 maggio 2013, doc. web n.2547834).

In base a quanto sopra considerato, tenuto conto anche del carattere sistematico dei trattamenti in rilievo, è stata contestata alla Società, in data 7 luglio 2022, la presunta violazione delle seguenti disposizioni del Regolamento

- art. 5, par.1, lett. a), b), c), e) ed f), anche in relazione all’art. 1 del Codice;

- art. 6;

- art. 7;

- art. 12, par.1;

- art. 13;

- art. 28;

- art. 32, par.1, lettere b) e d), e par.2;

- art. 35, parr. 1, e 3, lett. a).

6. La memoria difensiva della Società.

La Società, con memoria del 5 agosto 2022, si è opposta alle presunte violazioni contestate, rappresentando, per ciascuna, quanto segue:

6.1.Data Breach

Con riferimento al data breach relativo ai dati della segnalante (data breach n.1), la Società ha rappresentato che: a) il personale dei negozi accede, tramite utenza personale e nominativa, all’applicazione Store Portal da tablet (fornito dalla Società), sulla base di una procedura di autenticazione basata su username (nome.cognome) e password (per la quale si prevedono alcuni requisiti di sicurezza rafforzata). La policy di Rinascente prevede che la password debba essere obbligatoriamente cambiata ogni 90 giorni; 2. Lo Store Portal, di cui si avvale il personale dei negozi, è realizzato per consentire fra l’altro l'accesso e la gestione delle Rinascentecard secondo le procedure definite e le istruzioni impartite da Rinascente. Inoltre, b) il personale dei negozi non può, in nessun caso, effettuare il download delle informazioni della clientela; c) al momento di ciascun accesso allo Store Portal, viene visualizzato un pop-up informativo, volto a sensibilizzare l'utente circa la riservatezza delle informazioni accedute ed evidenziare le istruzioni operative; d) la conservazione dei file di log delle operazioni poste in essere dal personale, che ha consentito di risalire immediatamente all’utenza che aveva effettuato le relative operazioni di modifica e, in tal modo, mitigarne le conseguenze. La Rinascente ha poi aggiunto che non si è verificata alcuna divulgazione dei dati personali dell’interessata al di fuori della ristretta cerchia di dipendenti della Società che ha dovuto necessariamente gestire il caso in Rinascente (v. in particolare la Direzione IT che ha provveduto al ripristino dei dati sulla Rinascentecard dell’interessata); e che sono state immediatamente avviate una serie di azioni tecniche volte a rimediare all’accaduto, garantendo il ripristino integrale dei dati personali della cliente.

Con riferimento al 2° caso di data breach (invio di 70 ordini agli indirizzi e-mail di 5 clienti e-commerce), la Rinascente ha evidenziato di: • aver immediatamente gestito l’incidente, implementando ulteriori migliorie di processo e tecniche richiamate nell’all. 1 del riscontro del 30 marzo 2022 per evitare il ripresentarsi della medesima casistica; • l’incidente ha riguardato un limitato numero di dati personali, non rientranti nelle categorie dei dati particolari, “e comunque alcuni dati di base relativi ad un acquisto, privi di informazioni relative ai mezzi di pagamento ovvero suscettibili di un grado di attenzione maggiore”; • l’incidente ha riguardato un numero limitato di interessati; • l’errore umano che ha cagionato l’incidente era “imprevedibile, e quindi non addebitabile a un comportamento colposo o doloso della Società”. In più, la Società, nel prospettarne la possibile causa tecnica, ha fatto presente di aver adottato alcune misure tecniche per evitare il ripresentarsi della casistica.

6.2. Informativa resa all’interessata

Con riferimento all’informativa resa all’interessata, la Società ha rappresentato che, “ad ulteriore rafforzamento del rispetto dell’obbligo informativo nei confronti dell'interessata, si segnala che nel giugno 2018, a seguito dell'avvenuto aggiornamento delle informative privacy sulla base del RGPD, è stata fatta una campagna informativa a tutti gli interessati, ivi inclusi i titolari di Rinascentecard (tra cui rientra la segnalante), i quali sono stati invitati a prendere visione della nuova informativa privacy accedendo al Sito; tale informativa contiene “tutti gli elementi informativi richiesti dall'art. 13 del Regolamento, riportati peraltro in modo chiaro e distinto tra loro”; è stata “formulata con un linguaggio semplice e chiaro, e in modo conciso per consentire una più immediata comprensibilità dei relativi trattamenti secondo quanto richiesto dall'art. 12, par. 1, del RGPD”;  è “facilmente accessibile, come previsto dal medesimo art. 12, in quanto disponibile (già) in fase di registrazione/attivazione”.

6.3. La richiesta di un’unica manifestazione di volontà per contratto e presa di visione dell’informativa privacy

La Rinascente ha chiarito che si è limitata a richiedere una mera "presa visione" dell’informativa sul trattamento dei dati personali (priva di qualunque portata approvativa o di determinazione di volontà) senza che ciò comportasse l'eventuale accettazione di trattamenti elencati nell’informativa stessa, quali il marketing e la profilazione (considerato anche che i consensi al marketing e alla profilazione sono ben distinti e separati); inoltre, l'informativa Rinascentecard è divisa in modo evidente, sia graficamente che concettualmente, dal regolamento contrattuale.

6.4. Descrizione delle campagne promozionali della Società

La Società ha rappresentato lo svolgimento -comprese alcune peculiarità rispetto a quanto descritto nel riscontro del 30 marzo 2022- delle diverse tipologie di campagna promozionale. 

Con riferimento alle “Campagne Custom Audience CRM”, la condivisione con Facebook avviene accedendo all'account Business Manager Facebook di Rinascente “ad opera del personale interno della Società che carica la lista restando escluso qualsiasi accesso a, o lavorazione di, dette liste da parte dell'agenzia media che supporta la Società nella gestione di tali campagne; (c) la lista degli indirizzi e-mail viene caricata, previa applicazione della procedura di hashing nel contesto dell’upload sull'account Business Manager Facebook, che usa queste informazioni per abbinarle con quelle in suo possesso e per includere o meno quel soggetto nel pubblico al quale la campagna è indirizzata.” La Società ha altresì fornito copia della nomina a responsabile del trattamento dell’agenzia in questione (all. 20).

La Rinascente ha evidenziato che, con riferimento alle Campagne "Standard”, diversamente dalle prime, non sussiste alcuna condivisione di elenchi da parte della Società, i dati sono invece raccolti esclusivamente mediante soluzioni di tracciamento:

a) per le campagne di retargeting (volte a ricontattare coloro che abbiano già visitato il Sito, ma non abbiano ancora effettuato alcun acquisto e che sono al contempo anche utenti del social network), il principale strumento di raccolta dei dati rilevanti è il pixel Facebook di retargeting, rilasciato sul Sito e accettato mediante i meccanismi di gestione dei cookies;

b) per le campagne prospecting (volte alla ricerca di nuovi utenti potenzialmente interessati ai prodotti Rinascente, a cui far visualizzare le campagne che Rinascente commissiona a Meta, quale, ad esempio, una campagna che intende promuovere prodotti per la casa, per cui Facebook individua utenti interessati all’arredamento e al design) è Meta che, sulla base delle impostazioni di account dei propri utenti che consentono l'uso dei loro dati per finalità di targeting in campagne di inserzionisti terzi, individua gli utenti riconducibili al pubblico di riferimento, destinato a visualizzare i contenuti della campagna della Società.

6.5. Il ruolo di Meta nell’ambito della gestione delle campagne promozionali

La Società ha precisato il ruolo di Meta in relazione al trattamento degli indirizzi e-mail in formato hash (i soli dati condivisi con la Meta stessa) dei titolari di Rinascentecard per la creazione del pubblico delle diverse campagne. Gli indirizzi e-mail sono forniti a Meta con il precipuo e solo scopo di definire la base di utenti Facebook a cui indirizzare la specifica campagna Custom Audience CRM, in linea con quanto previsto contrattualmente (Condizioni per gli strumenti di Facebook Business, punto 2.a.i.1). L’attività viene svolta nel solo interesse di Rinascente, essendo contrattualmente proibito a Meta qualunque uso delle liste e-mail condivise per finalità diverse e ulteriori rispetto all'abbinamento necessario alla definizione del pubblico a cui indirizzare le inserzioni richieste da Rinascente, e impegnandosi Meta a cancellare i dati al termine del processo di definizione del pubblico. In tal senso, dunque, ad avviso della Società, Meta agisce in qualità di responsabile del trattamento (in tal senso v. condizioni per gli strumenti di Facebook Business, punto 5.10).

Con riferimento alle campagne prospecting e retargeting, secondo la Rinascente, Meta sarebbe invece da considerarsi, rispettivamente, titolare del trattamento, trattandosi di dati relativi ai suoi utenti e titolare (oppure contitolare) del trattamento, a seconda se ad aver acquisito il consenso sia stata la sola società americana, sulla propria piattaforma, o anche La Rinascente, mediante i propri cookies banner.

6.6. L'adempimento dell'obbligo informativo e dell’obbligo del consenso rispetto alle campagne promozionali riconducibili a La Rinascente spa.

Con riferimento alle campagne “Custom Audience CRM”, la Rinascente ha chiarito che l’obbligo informativo nell’ambito delle campagne digitali viene dalla medesima svolto non solo per il tramite dell’Informativa Rinascentecard, ma anche della Privacy Policy (si veda Allegato 6 ai verbali Ispettivi). Entrambi i documenti sopra menzionati contengono, alla sezione "2. Finalità e base giuridica del trattamento dei dati personali", nella sezione titolata "Marketing", un esplicito riferimento al fatto che Rinascente tratta i dati degli interessati per inviare loro, tramite diversi canali elencati nel testo, materiale promozionale. Tra i canali elencati vi sono anche quelli social, ivi incluso Facebook. L'utente destinatario di siffatte campagne può dunque comprendere di essere utente Facebook e che il proprio profilo è impostato in modo da consentire di ricevere inserzioni pubblicitarie sul social, comprese quelle de La Rinascente per il tramite di Meta. Gli interessati vengono così informati, anche riguardo alla base giuridica individuata nel consenso.

Con riferimento alle campagne retargeting, secondo quanto rappresentato dalla Società, queste sono indirizzate verso utenti che non sono loggati come clienti Rinascentecard, ma che abbiano navigato sul Sito in qualità di semplici visitatori, “In quanto basate sull'uso di cookie di Facebook, e in quanto attività compiute sul Sito, Rinascente fa affidamento su Banner e Cookie Policy: il banner consente agli interessati la possibilità di accettare o meno i cookie di profilazione, quali sono i cookie Facebook di retargeting, o altri tracciatori analoghi. Il medesimo informa il visitatore, tra l'altro, circa l'utilizzo di cookie di profilazione, offrendo allo stesso varie possibilità di scelta in relazione all'installazione o meno di tutti o parte dei cookie, e contiene un link alla cookie policy” (Allegato 16 alla memoria). La Cookie Policy descrive le diverse tipologie di cookie utilizzati, sia da Rinascente che da terze parti (come Facebook), e riporta una sezione specifica sui cookie di profilazione in cui si menzionano espressamente anche le finalità di retargeting.

Con riferimento alle campagne prospecting, la Rinascente -premettendo che le medesime sono rivolte a soggetti con cui non ha alcun rapporto- ha evidenziato che si ritiene esonerata dagli obblighi informativi e di acquisizione di un consenso. Come detto, infatti, le campagne sono condotte da Meta sulla propria base utenti, in funzione di parametri di pubblico che vengono selezionati da Rinascente per ciascuna campagna. Meta, sulla base di tali parametri, individua quindi tra i propri utenti – le cui impostazioni privacy e di gestione delle preferenze consentano la visualizzazione di inserzioni di terzi sulla piattaforma Facebook – quelli a cui mostrare le inserzioni di Rinascente. “È in capo a Meta, dunque, informare gli utenti, nel contesto dei suoi servizi, circa il trattamento che la stessa può compiere ai fini della visualizzazione di inserzioni di terzi, come Rinascente…. Un utente Facebook può conoscere l'identità degli inserzionisti per cui visualizza messaggi pubblicitari e come può gestirne la lista (All. 18 alla memoria).”

Con riferimento alle suindicate campagne promozionali, la Società dunque ha negato di aver integrato le violazioni oggetto di contestazione (obblighi dell’informativa e del consenso: art. 6-7 e 13 del Regolamento, nonché della nomina del responsabile del trattamento, ex art. 28 del Regolamento).

6.7. La valutazione d’impatto ex art. 35 del Regolamento.

Quanto alla mancanza di una valutazione di impatto effettuata preventivamente rispetto all'avvio delle attività di profilazione, la Rinascente ha eccepito che svolgerebbe un’attività di marketing sulla base di meri e semplici parametri di estrazione di destinatari delle campagne dai propri database basati esclusivamente su dati grezzi e non elaborati, quali, ad esempio, area geografica di riferimento (provincia/regione/città), genere e/o fascia di età, e/o acquisti effettuati in Rinascente e/o in base all'interesse espressamente manifestato dall'interessato in occasione della sua registrazione alla Rinascentecard. Tale attività non consisterebbe “in alcuna (ri)elaborazione del dato nel contesto di un'analisi deduttiva o inferenziale rispetto a parametri comportamentali del singolo utente, né nell'individuazione di correlazioni rispetto a cluster comportamentali generali”.

La Società ha evidenziato come “i trattamenti in oggetto siano stati condotti non solo avendo assolto correttamente gli obblighi informativi e raccolto un idoneo consenso, ma altresì sulla base di un iniziale quadro di insieme che (avrebbe mostrato) un rischio limitato per i diritti e le libertà degli interessati”. Nell’allegare copia del documento definitivo della valutazione d’impatto, la Società ha evidenziato che, a suo dire, non vi sarebbero i presupposti dell’obbligatorietà di tale adempimento, e quindi neanche della relativa sanzione.

6.8. Conclusioni formulate da La Rinascente SpA.

Ai fini dell’applicazione dell’eventuale sanzione amministrativa pecuniaria, la Rinascente ha chiesto all’Autorità di tenere in conto la collaborazione prestata nonché le misure poste in essere, facendo presente di aver registrato perdite di esercizio per oltre 30,6 milioni di euro nell'anno 2020, quasi 22 milioni di euro nell'anno 2021 e 10 milioni di euro previsti sulla chiusura dell'anno corrente, come si evince dall'allegato bilancio di esercizio (All. 24 alla memoria).La Società, alla luce di quanto esposto in memoria, ha chiesto l’archiviazione del procedimento. Inoltre, evidenziando l’interesse del trasgressore a non subire effetti negativi “sproporzionati”, perché eccedenti quelli connaturati alla pubblicazione del provvedimento medesimo, ha richiesto all’Autorità la non applicazione della sanzione amministrativa accessoria prevista dall’art. 166, comma 7, del Codice ovvero, in subordine, la pubblicazione dell’eventuale provvedimento sanzionatorio in forma anonima.

7. Valutazioni di ordine giuridico.

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società nonché alla documentazione dalla medesima prodotta, che ne risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

7.1. Data breach

In base a quanto illustrato e documentato dalla Società, il data breach n. 1 (relativo alla segnalante), pur in costanza di numerose misure adottate, pare esser attribuibile alla leggerezza di una dipendente che ha violato le istruzioni ricevute nonché, più in generale, un predefinito protocollo, e quindi può essere archiviato. Il data breach n. 2, invece, per il quale la Società pur ha dichiarato di aver implementato successivamente più misure atte ad evitare il ripetersi della violazione, risulta sottendere un non adeguato originario livello di misure tali da impedire la violazione, quindi va confermata la contestazione di cui all’art. 5, par.1, lett. f) e all’art. 32, par. 1, lett. b) e d), del Regolamento, “non essendo stata assicurata su base permanente la riservatezza dei dati.”.

7.2. Informativa resa alla segnalante

Con riguardo all’informativa resa all’interessata, alla luce dei chiarimenti complessivi, e dell’invio del testo aggiornato nel 2018, può dirsi che sia stato comprovato il rilascio all’interessata della stessa. Si ritiene pertanto di dover archiviare la relativa contestazione (art. 13 del Regolamento).

7.3. Acquisizione di un'unica manifestazione di volontà tanto per i termini di servizio quanto per la presa visione dell’informativa per il trattamento

Con riferimento al testo informativo correlato alle fidelity card, dai chiarimenti forniti dalla Società, se ne trae quindi che non vi sia, in pregiudizio degli interessati, un effettivo vizio di consapevolezza rispetto ai trattamenti, alle loro modalità e alle tutele previste dall’ordinamento; emerge, con maggior chiarezza, anche che, a tale unica espressione di volontà, non consegue alcun unico consenso ai vari trattamenti indicati e, più in radice, che nessun riverbero tale manifestazione di volontà abbia sui trattamenti in essere. Peraltro, è stato chiarito che non v’è alcuna estensione degli effetti del modulo di registrazione alle fidelity card a ulteriori trattamenti che non siano pertinenti rispetto alla gestione dei dati dei clienti titolari di Rinascentecard. Pertanto si ritiene di dover archiviare la relativa contestazione (artt. 6-7 del Regolamento).

7.4. Informative e consenso riguardanti le campagne promozionali con l’ausilio di Facebook-Meta

Tenendo conto degli elementi al riguardo, complessivamente, forniti da La Rinascente con riferimento alle varie campagne promozionali effettuate, la Società risulta aver reso i richiesti chiarimenti. In particolare, per i soggetti destinatari delle campagne di retargeting, l’informativa viene resa mediante la cookie policy e i consensi acquisiti mediante il cookies banner presenti sul sito, dove -rispettivamente- viene fatto esplicito riferimento ai cookie di profilazione (fra cui quello di Facebook) utilizzati per il retargeting e viene acquisito uno specifico consenso per tali cookies. In aggiunta alle informazioni sui cookie disponibili e sulla Cookie Policy, l'utente può accedere a informazioni più di dettaglio sui singoli cookie tramite i link disponibili nella tabella dei cookie di profilazione riportata nella Cookie Policy. Inoltre, sussiste la Privacy Policy presente su ogni pagina del sito web e contenente sempre un richiamo alla Cookie Policy (punto 1.1 della Privacy Policy). In tal caso, gli obblighi d’informativa e consenso sono espletati da Meta, e talora anche da La Rinascente, sicché, in base ad un disegno complessivamente coerente, Meta è, nel primo caso, titolare esclusivo ed invece, contitolare, nel secondo.

In relazione alle campagne di prospecting, tali obblighi -secondo la Rinascente– risultano, condivisibilmente, espletati direttamente da Meta, in quanto titolare esclusivo del trattamento, venendo in rilievo solo i dati degli utenti della sua piattaforma social. Con riguardo alle “Campagne Custom Audience CRM”, l’obbligo risulta espletato solo da La Rinascente, quale titolare esclusivo dei dati dei suoi clienti, senza che Meta possa trattare i dati personali dei clienti in quanto sottoposti a procedura di hash.  Pertanto la relativa contestazione (artt. 6-7, 12 e 13, del Regolamento) deve essere archiviata, fatto salvo quanto si dirà di seguito rispetto all’idoneità dell’informativa, con specifico riferimento ai tempi di conservazione (v. par. 7.7).

7.5. Ruolo di Facebook-Meta nelle campagne promozionali

Come detto, il ruolo in questione, anche alla luce degli elementi forniti nella memoria, è stato chiarito dalla Società. Peraltro, risulta che la Società abbia provveduto ad aggiornare le informative “Standard", l'Informativa Rinascentecard e la Privacy Policy, introducendo – fra le altre cose – una nuova formulazione, specificando il coinvolgimento, ed il corrispondente ruolo, di Meta nelle campagne marketing qui trattate (v. All.ti alla memoria n. 13, 14 e 19).

Pertanto, con riferimento ai suindicati punti 7.2 ; 7.3; 7.4; 7.5, in considerazione degli elementi forniti dalla Società ed accogliendone le complessive argomentazioni, si ritiene di dover archiviare le relative contestazioni (artt. 5; 6; 7; 12, par.1; art. 13; nonché art. 28 del Regolamento).

7.6. Mancanza di una previa valutazione d’impatto sui diritti e libertà fondamentali

Le linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del Regolamento (UE) 2016/679 del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017  e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “WP 248, rev. 01”), hanno individuato i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone; 3) monitoraggio sistematico degli interessati; 4) dati sensibili o dati aventi carattere altamente personale; 5) trattamento di dati su larga scala; 6) creazione di corrispondenze o combinazione di insiemi di dati; 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto". Secondo tali Linee Guida e secondo questa Autorità,  il ricorrere di due o più dei predetti criteri è indice di “un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati” e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati (cfr. WP 248, rev. 01, p. 11)

Ebbene, nella presente fattispecie, dei criteri indicati dal Board, ricorrono sia l’attività di profilazione con valutazione di interessi e preferenze degli interessati, sia il trattamento su larga scala (considerato l’elevato numero di clienti degli store fisici e di quelli on line), sicché, prima di iniziare i relativi trattamenti, la Società avrebbe dovuto effettuare tale valutazione.

Peraltro, la Società effettua sicuramente un’attività di profilazione e non una semplificata attività di marketing, come nella memoria parrebbe osservare. Infatti, ai sensi dell’art. 4 del Regolamento, per ‘profilazione’ va intesa “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

Si deve infatti ritenere profilazione l’attività descritta nella propria memoria, anche in considerazione della componente valutativa, e tale è quella che viene indicata alla lettera b) , par.2, del Regolamento Rinascente Card: “b. Analisi delle abitudini di consumo Per analizzare le Sue abitudini di consumo e svolgere analisi e ricerche di mercato al fine di migliorare la nostra offerta commerciale e inviarLe promozioni e inviti adatti a Lei e alle Sue preferenze. La base giuridica di tale trattamento è il Suo consenso (raccolto in sede di richiesta della Carta e revocabile in qualsiasi momento).”

Ad acclarare che la Società svolge vera e propria attività di profilazione -fermo restando quanto altro sopra indicato nella memoria- la medesima, peraltro, nel medesimo atto, e con particolare riferimento ai cookies, rappresenta che “essi raccolgono informazioni demografiche e/o relative alle pagine visitate, ai prodotti visualizzati e agli acquisti effettuati a seguito di campagne pubblicitarie.”.

Si ritiene pertanto di dover confermare la violazione contestata nei suindicati termini (art. 35, par. 1, del Regolamento).

7.7. La conservazione dei dati per finalità di marketing e profilazione

Il tema della conservazione dei dati viene in rilievo sotto un duplice aspetto. Sotto un primo profilo, anzitutto si deve considerare l’eccedenza e incongruità dell’indistinto termine di 7 anni previsto dalla Società rispetto ai tanti brand reclamizzati (più di 800, stando a quanto visualizzabile dal sito www.rinascente.it, alla data del 19 dicembre 2022), non tutti di “fascia alta”. Peraltro, non pare giovare alla tesi difensiva della Società richiamare alcuni precedenti provvedimenti del Garante (provv. n. 227/2017 [doc. web. n. 6495144]; provv. 304/2017 [doc. web. n. 6844421]; provv. n. 296/2018 [doc. web. n. 8998339]), citati dalla medesima nella sua memoria, perché si riferiscono a società caratterizzate unicamente da un brand di lusso e sono stati esitati da istruttorie specifiche sulla questione dei tempi di conservazione, in base all’attivazione dell’abrogato istituto del prior cecking (art. 17 del Codice previgente). Essi si collocano dunque al di fuori della piena applicazione del Regolamento europeo che ha inteso valorizzare ed implementare diritti, principi e garanzie a tutela del diritto alla protezione dei dati e dei connessi principi di finalità e limitazione della conservazione (oltre all’art. 5, v. cons. 39 del Regolamento, in base al quale: “il periodo di conservazione dei dati personali (deve essere) limitato al minimo necessario;  (e)  i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi”.

Inoltre, ad aggravare la suindicata criticità, va considerata l’elevata mole degli interessati in quanto sottoscrittori di fidelity card o meri soggetti utenti del sito che abbiano accettato i cookies di marketing e profilazione nonché l’elevata mole di dati, peraltro dettagliati, raccolti.

Peraltro, sotto un secondo aspetto, il tema della conservazione viene in rilievo anche rispetto alla mancata indicazione di tale termine nell’informativa resa dalla Società in relazione al sito www.rinascente.it, trattandosi di trattamenti (marketing e profilazione) alquanto invasivi per la sfera degli interessati. Termine che tanto più deve essere esplicitato, o perlomeno reso con criteri di riferimento chiari e precisi -diversamente da quelli indicati nell’informativa della Rinascente (rilasciata presso store fisici e sul sito societario) e da quelli rinvenibili on line (cookie policy)- ossia: l’adempimento di generici “obblighi di legge” e la categoria dell’indistinta serie dei “provvedimenti del Garante”. Riferimenti che inevitabilmente costringono l’utente/cliente a cercare di rinvenire tali fonti, con non agevoli ricerche, tanto più considerata la rapida prassi commerciale della sottoscrizione delle fidelity card (necessarie per l’accesso a premi, sconti ed altri vantaggi). Tale criticità risulta tanto più evidente rispetto ad interessati appena maggiorenni od anziani, che, pur non essendo il target prioritario de La Rinascente, inevitabilmente entrano in relazione con la stessa, soprattutto nell’ambito della piattaforma on line o nella dimensione fisica degli store.

Pur prendendo atto che la Società (v. memoria del 5 agosto 2022) ha provveduto a modificare la propria informativa, esplicitando la durata di 7 anni e declinando maggiormente i tempi di conservazione in relazione alla tipologia di dati, si rende comunque necessario confermare le relative violazioni come specificate nella contestazione del 7 luglio 2022 (art. 5, par. 1, lett. a), b), c), ed e), nonché 12, par.1, del Regolamento) e prescrivere alla Società di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti.

7.8. Sulla richiesta di non pubblicazione della decisione o di sua “anonimizzazione”.

Con riferimento alla richiesta con la quale la Società, in relazione ad un eventuale provvedimento adottato nei suoi confronti, ha chiesto, in caso di pubblicazione, l’oscuramento dei propri dati identificativi, si osserva preliminarmente che l’Autorità è sottoposta a puntuali vincoli normativi che impongono la pubblicazione dei provvedimenti aventi rilevanza esterna.

Tali vincoli, che risiedono nell’art. 154-bis, comma 3, del Codice, nell’art. 24 del “Regolamento sugli obblighi di pubblicità e trasparenza relativi all’organizzazione e all’attività del Garante per la protezione dei dati personali - 1 agosto 2013” (in www.garanteprivacy.it, doc. web n. 2573442) e  nell’art. 37 del Regolamento del Garante n. 1/2019 (in www.garanteprivacy.it, doc. web n. 9107633), possono essere derogati principalmente per ragioni di salvaguardia della  protezione dei dati personali (che nel nostro ordinamento è riconosciuta solamente alle persone fisiche) ovvero su richiesta del soggetto che ha dato impulso al procedimento e al correlato provvedimento.

Le ulteriori condizioni derogatorie, espresse nelle citate norme, non appaiono riconducibili alle fattispecie rappresentate dalla Società e, al riguardo, si deve altresì evidenziare che la pubblicazione dell’ordinanza-ingiunzione ha natura di sanzione accessoria, in base a quanto stabilito dall’art. 166, comma 7, del Codice e pertanto è strettamente correlata alla valutazione che il Garante effettua sulla particolarità e/o gravità dell’eventuale sanzione principale.

8. Conclusioni.

Per quanto sopra complessivamente esposto, si ritiene accertata la responsabilità de la Rinascente spa in ordine alle seguenti violazioni del Regolamento:

- art. 5, par.1, lett. a), b), c), e), f);

- art. 12, par.1;

- art. 32, par.1, lett. b) e lett. d);

- art. 35, par. 1.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ingiungere alla medesima, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti.

- con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.

9. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti de La Rinascente spa della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche il principio di ‘limitazione’ della conservazione (art. 5 del Regolamento) - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1) l’elevato numero dei soggetti coinvolti nei trattamenti contestati (lett. a);

2) la durata delle violazioni, con particolare riferimento a quella relativa ai tempi di conservazione (lett. a);

3) l’ampio ambito territoriale delle violazioni (lett. a);

4) la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (relativa al periodo d’imposta all’anno 2021) (lett. k).

Quali elementi attenuanti, si ritiene di dover tener in conto:

1) l’assenza di precedenti procedimenti avviati a carico della Società (lett. e);

2) la tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi (lett. f);

3) La grave crisi socio-economica in atto e dei suoi riflessi anche sulla situazione economico-finanziaria della Società (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a La Rinascente – tenendo in considerazione casi analoghi, quali il provv. 20 ottobre 2022, doc. web n. 9825667 - la sanzione amministrativa del pagamento di una somma di euro 300.000 (trecentomila/00), pari a circa l’1,65 % della sanzione edittale massima (euro 18.129.491) nonché a circa lo 0,066 dell’ultimo fatturato disponibile (euro 453.237.299, al 31 dicembre 2021).

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della delicatezza della materia oggetto di istruttoria (conservazione dei dati per finalità di marketing e di profilazione; obbligo di valutazione d’impatto per trattamenti invasivi e su larga scala) nonché dell’esigenza di non discriminazione rispetto a fattispecie analoghe (v. provv. 20 ottobre, cit.).

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della Società La Rinascente S.p.A., con sede legale e amministrativa in Milano, via Giorgio Washington n. 70, C.F. e partita IVA 05034580968;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti;

c) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a La Rinascente S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 300.000 (trecentomila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 300.000,00 (trecentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei