La notizia è di quelle che fanno scalpore: il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver avuto un illecito comportamento nei trattamento dati personali di un rilevante numero di clienti ed ex clienti.
Diverse sono le motivazioni che hanno indotto il Garante a prendere una così drastica decisione e tutte legate alla gestione dei dati dei clienti che venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale. L’attività ispettiva dell’Autorità, che è stata svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza, ha infatti permesso di rilevare che il Gruppo Benetton conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche di chi non era più cliente.
Database accessibile da tutta Europa
Tra le violazioni più gravi spiccano l’assenza di adeguate misure di sicurezza e la conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione. “Una mole di informazioni di grande utilità ed appetibilità per le attività di data enrichment e di profilazione, sempre più diffuse”, sottolinea il Garante in una nota.
Dalle verifiche effettuate è emerso che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account. E questo stupisce non poco sia perché in contrasto con quanto stabilisce il GDPR in tema di trattamento dati personali sia perché un tale sistema di gestione degli accessi spalanca le porte ai cybercriminali mettendo a serio rischio non solo i dati stessi ma l’intera attività aziendale.
Da sottolineare che il primo accertamento ispettivo è stato effettuato nel 2019. A questo ne è seguito uno successivo nel 2021 a fronte del quale sono state evidenziate diverse criticità legate principalmente a una non trasparente gestione dei cookie (per esempio, nell’informativa non erano menzionati quelli utilizzati per la profilazione), una retempion dei dati dei clienti ben oltre i 2 anni citati nell’informativa anche con riferimento a soggetti che non hanno espresso il consenso alla profilazione. Inoltre, la società ha inviato una comunicazione di marketing a 4.259 consumatori iscritti al programma fedeltà dopo la revoca del consenso alla ricezione di comunicazioni promozionali.
Cambio di password
Il Garante evidenzia che, riguardo alla procedura di creazione del profilo di uno store sulla piattaforma Dynamics, viene inviata, via e-mail, la password di accesso al relativo account al District manager (ossia il soggetto preposto a coordinare più store) il quale provvede a inoltrarla allo store manager di riferimento. In tale contesto, il cambio di password non è obbligato dal sistema e la password dell’account di store è unica per tutti i dipendenti del singolo store.
È risultato poi che:
- il pc in uso presso lo store non prevede limitazioni particolari in termini di operatività (si possono effettuare screenshoot, ecc.);
- essendo la piattaforma relativa alle fidelity card raggiungibile a mezzo link web, è possibile accedervi da qualunque dispositivo (smartphone, tablet, pc) ferma restando la policy di accedere esclusivamente con gli strumenti forniti per le mansioni di competenza (esclusivamente dai PC di store);
- l’account dello store consente a tutti gli addetti al medesimo store di visualizzare i dati dei clienti degli store di tutti i paesi europei, ove è presente il programma loyalty di Benetton Group, per consentire ai clienti di poter cumulare i punti relativi ai loro acquisti a prescindere dalla loro nazionalità perché la politica di assegnazione dei punti è la stessa in tutti i detti Paesi;
- il dipendente può accedere al programma fidelity a prescindere che sia loggato o meno al sistema di cassa (infatti, l’accesso al portale relativo alle fidelity card è svincolato dall’accesso alla cassa, per il quale ogni operatore dispone di differenti e specifiche credenziali di accesso).
Infine, con riferimento al tema delle comunicazioni di dati personali a soggetti terzi per finalità di marketing e profilazione, Gruppo Benetton ha citato Tik Tok e Facebook come partner commerciali in tali attività. Tuttavia, è rimasto poco definito e chiaro il rapporto con tali piattaforme relativamente al trattamento dati personali effettuato in nome e/o per conto di Benetton, nonché l’ambito e le modalità degli stessi.
Dati da cancellare
Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (Gdpr).
Da precisare, infine, che il Garante ha sanzionato anche La Rinascente sempre per aver trattato in modo illecito dati personali di oltre 2 milioni di clienti nell’attività di marketing e profilazione mediante l’uso della carte fedeltà. In questo caso, visto il numero di persone coinvolte e la capacità economica della società, la multa è stata addirittura di 300mila euro.
I piú letti
-
Doppia SIM su IPHONE: come funziona?
-
Tutti gli attacchi informatici portano all’esfiltrazione di dati
-
Guida alla crittografia dei dati nel cloud
-
System Administrator Salary : Quanto si può guadagnare ?
-
VMware, Broadcom e la nuova dimensione del mercato della virtualizzazione. Tutto quello che serve sapere
