Banner cookie e periodo di conservazione dei dati personali
240 mila euro è questa la sanzione elevata dal Garante per la protezione dei dati personali ad un’azienda per illecito trattamento di dati personali per finalità di marketing e profilazione riferiti a clienti ed ex clienti.
Dall’attività ispettiva del Garante sono risultati diversi disallineamenti in relazione ai banner cookie utilizzati dall’azienda rispetto alla disciplina in materia e alle linee guida del Garante.
Il “banner informativo relativo all’utilizzo dei cookie, propri e di terze parti (tecnici, marketing e profilazione)”, utilizzato dall’azienda, risultava da accettare senza consentire all’utente di deselezionare le tipologie di cookie di cui l’utente non chiedeva l’attivazione; inoltre, l’informativa estesa non richiamava tra i cookie utilizzati quelli di profilazione, come invece segnalati nel banner, ma solo quelli tecnici, di marketing diretto, di marketing e retargeting di terzi.
Un altro sito dell’azienda, nonostante disponesse di un banner con “collegamento ipertestuale “clicca qui”, tale banner puntava ad una pagina bianca del sito stesso, mentre il link cookie presente sul footer non aveva informativa e mancava di un form per esprimere le volontà.
La società, inoltre, continuava a conservare dati personali di clienti ed ex clienti raccolti per programmi fedeltà, diversamente da quanto risultava dal registro dei trattamenti e da quanto dichiarava nell’informativa rilasciata al cliente per aderirvi, conservando altresì dati di dettaglio degli scontrini, dei punti, del prodotto venduto anche con riferimento a soggetti che non hanno espresso il consenso alla profilazione.
Dall’istruttoria è emerso inoltre che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo aziendale, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.
Il Garante ha sanzionato l’azienda, ingiungendole di dotarsi di tutte le misure necessarie per adeguarsi alla disciplina in materia di privacy e dunque di procedere alla cancellazione o anonimizzazione dei dati degli ex clienti vecchi di più di 10 anni e dotarsi di adeguate soluzioni organizzative e misure di sicurezza finalizzate a garantire la corretta conservazione dei dati dei clienti e degli ex clienti in conformità a quanto stabilito dal principio di minimizzazione.