Rubrica #Elex- Novità dal diritto dei media, è la rubrica sui temi del diritto applicato al digitale, curata dallo studio E-lex di Roma per Key4biz. Per consultare tutti gli articoli clicca qui.
Il Garante ha sanzionato, con una pena pecuniaria di 240.000 euro, una società che conservava i dati raccolti tramite fidelity card, in assenza di adeguate misure di sicurezza e limitazioni temporali.
Il provvedimento del 27 aprile ha sanzionato la società per violazioni correlate alla profilazione di clienti ed ex clienti; la mole di informazioni è stata definita appetibile per le attività di data marketing e di profilazione.
L’Autorità ha svolto una prima attività ispettiva, in collaborazione con la Guardia di Finanza, dalla quale sono emersi alcuni profili critici. Alla luce di tali criticità, la società ha successivamente provveduto a implementare adeguate soluzioni organizzative e misure di sicurezza e tecniche, introducendo una nuova tecnologia di gestione cookie, al fine di rendere l’utente autonomo nella gestione gli eventuali consensi rilasciati, producendo anche i nuovi testi di banner ed informative, in precedenza assenti.
In seguito, l’Autorità ha realizzato una seconda ispezione, volta a verificare la conformità alla normativa in materia, con specifico riferimento alla gestione dei cookie, del CRM aziendale, nonché delle comunicazioni promozionali.
Nonostante le misure correttive introdotte dalla società, è stata confermata la violazione dell’art. 5, par.1, lett. c) ed e) GDPR (principi di minimizzazione e limitazione della conservazione), In aggiunta, è stato ordinato alla società di adottare le misure necessarie per conformarsi alla normativa sulla privacy.
Nello specifico, il Garante ha censurato la conservazione, senza limiti temporali, dei dati dei clienti e ha ordinato alla società di cancellare (o anonimizzare) i dati degli ex clienti che risalgono a più di 10 anni, ad eccezione dei casi in cui sia in corso una controversia giudiziaria od extra-giudiziaria.
Il provvedimento evidenzia, inoltre, le circostanze aggravanti presenti: l’elevato numero degli interessati e la notevole durata delle violazioni; la dimensione soggettiva della condotta, da ritenersi gravemente colposa in ragione della difformità della condotta, in relazione alla conservazione dei dati; da ultimo, la rilevanza economica della società.
L’Autorità ha inoltre imposto alla società di adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del GDPR, e in particolare alla luce delle finalità di minimizzazione e limitazione della conservazione.
A fronte dei fatti esposti, la società ha ricevuto una sanzione amministrativa pecuniaria per le violazioni indicate e, in aggiunta, una sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019 e la pubblicazione nel sito del Garante del provvedimento.
