g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. - 20 ottobre 2022 [9825667]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 28 novembre 2022

 

[doc. web n. 9825667]

Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. - 20 ottobre 2022

Registro dei provvedimenti
n. 348 del 20 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

1. IL RECLAMO

In data 5 novembre 2020, è pervenuto un reclamo con il quale la Sig.ra XX ha lamentato di aver presentato, in data 3 agosto 2020, un’istanza a Douglas Italia S.p.a. (di seguito: “Douglas” o “Società”), ai sensi degli artt. 15-22 del Regolamento, senza però aver ricevuto alcun riscontro; la stessa ha quindi chiesto all’Autorità di valutare quanto accaduto, al fine, se del caso, di emanare i provvedimenti previsti dalla vigente normativa.

2. PRIME ATTIVITÀ ISTRUTTORIE E ACCERTAMENTI ISPETTIVI

Douglas, nel suo riscontro del 24 febbraio 2021 alla richiesta d’informazioni inviata il 16 febbraio 2021 dall’Ufficio, ha rappresentato:

- che il trattamento dei dati personali della reclamante “… trova(va) la sua base giuridica nell’adesione della stessa (interessata) al c.d. programma fidelity Douglas”;

-  di aver richiesto alla medesima consensi liberi e specifici per le finalità diverse da quelle contrattuali e para-contrattuali (ossia in particolare: marketing diretto; profilazione; marketing da parte delle società partner), precisando che  nell’impostazione di tale raccolta di dati l’eventuale diniego dell’interessato a siffatte finalità  non avrebbe precluso “l’attivazione della Card Douglas e di partecipare alle iniziative ad essa correlate, producendo in particolare anche il ‘Modulo di aggiornamento dell’autorizzazione e del consenso al trattamento dati personali per l’utilizzo della Douglas Card’, sottoscritto dalla reclamante in data 05 agosto 2019 presso una Profumeria Douglas, “in occasione dell’operazione di cambio card ovvero passaggio dalla vecchia fidelity card Limoni S.p.A. (Gruppo Douglas) alla nuova card Douglas”;

-  di aver “tempestivamente agito per l’esercizio dei diritti dell’interessata a seguito della ricezione del reclamo”, come veicolata dal Garante, in pari data (16.02.21), “non avendo, di fatto, ricevuto la precedente comunicazione della Sig.ra …. datata 03/08/2020”, confermando, anche documentalmente, “sia la revoca dei consensi che la contestuale cancellazione dai sistemi gestionali Douglas dei dati dell’interessata”.

Alla luce di tale riscontro, la condotta lamentata non è risultata chiarita ed è emersa l’esigenza di verificare le modalità di gestione, da parte della Società, delle istanze degli interessati e, più in generale, i trattamenti per finalità di marketing e di profilazione.

A tale fine e onde conseguire un miglior quadro informativo rispetto ai trattamenti di dati per finalità di marketing e di profilazione, l’Autorità, nelle date 29 novembre – 1° dicembre 2021, ha condotto un accertamento ispettivo presso la sede societaria, poi ripreso nella giornata del 14 dicembre 2021 per essere completato il 16 successivo. Dall’analisi dei verbali ispettivi è emerso quanto segue.

In via preliminare, la Società ha evidenziato di essere soggetta all’attività di direzione e coordinamento della società capogruppo Douglas GMBH; di essersi costituita nel 2019 dalla fusione con le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa e di contare attualmente circa 400 punti vendita operanti sul territorio nazionale. La stessa è titolare del trattamento dei dati acquisiti da parte della clientela e nel complessivo CRM aziendale sono presenti circa 10 milioni di anagrafiche di clienti, costituite mediante l’incorporamento dei data base delle tre predette società a partire da inizio 2019 (verbale 29/11/2021).

Sono inoltre stati evidenziati diversi aspetti specifici sui trattamenti di dati personali che qui di seguito vengono sintetizzati.

A) Gestione delle istanze di esercizio dei diritti ex art. 15-22 del Regolamento.

Con specifico riferimento a quanto lamentato dalla reclamante, il mancato riscontro alla medesima è risultata essere un caso episodico, a fronte di una gestione delle istanze degli interessati, che, di regola, può definirsi corretta e tempestiva. In particolare, è stata mostrata la gestione di alcune delle istanze in questione, in particolare di cancellazione e di opposizione al trattamento per finalità promozionali, rilevando che esse vengono trattate nel tempo di due-tre giorni, attuando la richiesta e, contestualmente, informando l’interessato dell’avvenuta gestione. La Società ha attivato tre canali per la ricezione delle istanze: 1) via mail; 2) mediante il servizio clienti, al numero unico di Douglas che recepisce tutte le richieste della clientela comprese quelle relative alla privacy; 3) presso gli Store. Inoltre, la medesima, “per il tramite del Dpo, ha congegnato una gestione graduale e specifica di tali istanze, prevedendo specifici esiti … in conformità alle richieste degli interessati e, ove opportuno, chiedendo prontamente al medesimo di chiarire la sua effettiva volontà” (verbale 14/12/2021). Alla luce di quanto sopra rappresentato, si è ritenuto di non contestare la violazione dell’art. 12, par.3, del Regolamento.

B) La raccolta dei dati mediante l’app aziendale.

Fra le modalità di raccolta dei dati personali, è stata rilevata l’app Douglas, di cui è stata simulata e documentata la procedura di registrazione attraverso smartphone (verbale 29/11/2021). È risultato che il sistema preliminarmente presenta i seguenti link (personalizza i tuoi cookie, condizioni generali di vendita, informativa dati personali e cookie policy), invitando al contempo ad accettare tutti i suindicati testi con la seguente unica formula (“ok, ho capito, acconsento”). Il link ‘informativa dati personali’ rimanda ad una pagina web con url (https://www.douglas.it/ help/condizioni-di-vendita) comprensiva di condizioni di vendita, una sezione “privacy”, una sezione “Cookie”, nonché un’ulteriore sezione di cui al punto 12 in cui si legge che (all. 2 - cartaceo): …  “Il/la sottoscritto/a dichiara di aver letto e compreso quanto riportato nell’Informativa e prende atto che i suoi dati saranno trattati per le finalità di cui al punto 2 lett a), b), c) e d) dell’Informativa, ovvero per la registrazione al sito www.douglas.it o all’app della Società, la fruizione dei relativi servizi di acquisto online, la gestione degli ordini d'acquisto dei prodotti e finalità statistiche su dati anonimizzati e inoltre acconsente al trattamento dei propri dati personali per finalità di cui al punto 1, lett. e) dell’Informativa, ossia finalità di profilazione, quali ad esempio l’analisi delle mie preferenze operate con mezzi automatizzati per il miglioramento dell’offerta commerciale; acconsente al trattamento dei propri dati personali per le finalità di cui al punto 2 lett. f) dell’Informativa, ossia finalità di invio di newsletter e comunicazioni commerciali o promozionali da parte della Società, anche relative a prodotti o servizi diversi da quelli già acquistati; acconsente al trattamento dei propri dati personali per finalità di cui al punto 1, lett. g) dell’Informativa, ossia finalità di invio di comunicazioni commerciali e promozionali da parte delle altre società del gruppo Douglas e di società terze partner di Douglas.” Nella successiva fase (creazione dell’account), è risultata la richiesta all’interessato -oltre dei dati anagrafici- anche dell’indirizzo e-mail e della data di nascita.  Per quanto riguarda le attività di geolocalizzazione, di marketing di prossimità, nonché di accesso a contatti in rubrica o a messaggistica, pur indicate nell’informativa, la Società ha rappresentato “che l’app. Douglas non effettua alcuna di tali attività”, fornendo documentazione specifica.

Alla luce di quanto sopra rappresentato, riguardo alla configurazione dell’app, sono emersi i presupposti della violazione dell’art. 7 del Regolamento, in quanto viene raccolto un consenso, in una forma che non può considerarsi né libera né specifica, per diverse finalità non contrattuali, come il marketing della Società, quello di soggetti terzi e la profilazione. Di conseguenza, in via strettamente correlata, le prospettate attività di trattamento in questione sono risultate prive di base giuridica, in violazione dell’art. 6 del Regolamento.

C) Il trattamento dei dati dei clienti acquisiti dalle Società fuse per incorporazione.

L’Ufficio ha chiesto alla parte di fornire alcuni esempi di informative e consensi al marketing distinti per le società Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa. Il titolare ha rappresentato di non essere in grado di produrre quanto richiesto in quanto, tra gennaio e maggio 2019, l’attuale società a seguito delle già citate fusioni, conclusesi nel luglio 2020, ha unificato i 3 distinti DB (Limoni Spa, La Gardenia Beauty Spa e la Profumerie Douglas Spa) in un unico DB aziendale e ha provveduto a sostituire -limitatamente ai clienti, delle tre società acquisite, che si siano presentati e si presentino nei punti vendita Douglas e che abbiano liberamente scelto di aderire al programma di fedeltà- le fidelity card. In tali occasioni, la Società ha somministrato agli stessi il medesimo modulo con le medesime informative e consensi rispetto a quello attualmente in uso, considerando non più validi i consensi eventualmente acquisiti dalle preesistenti Società. Douglas non ha dimostrato di aver traccia di tali consensi, al pari delle informative al tempo eventualmente rilasciate agli interessati nonché dell’origine e del canale di raccolta utilizzato al tempo dalle tre società, motivando detta lacuna con la creazione di un unico data base mediante fusione delle banche dati delle società in questione,

Alla luce di quanto sopra rappresentato, considerato che la Società non ha dato seguito alle richieste dell’Autorità riguardo alla suindicata documentazione, non riuscendo così a comprovare la dinamica (a partire dalle modalità di raccolta dei dati) dei trattamenti svolti dalle Società acquisite, unitamente ai rispettivi database, nè se e come gli adempimenti dell’informativa e del consenso siano stati assolti dalle medesime, sono stati ravvisati i presupposti della violazione degli artt. 5, par.2 e 24, del Regolamento (principio di accountability).

D) Conservazione dei dati dei clienti che non hanno rinnovato la fidelity card

I dati dei clienti delle tre preesistenti società, che non hanno attivato la carta Douglas, vengono conservati in stato inattivo nel CRM di Douglas allocato sui server della società capogruppo tedesca (verbale 30/11/2021). La Società ha dichiarato che: “il numero dei clienti le cui card sono state sostituite (vecchi clienti) nonché i clienti (nuovi clienti acquisiti) nei cui confronti sono state emesse nuove card fidelity sono pari a 5.165.839 (alla data del 29 novembre 2021); contestualmente il numero dei soggetti intestatari di card fidelity “Douglas” attivi negli ultimi 24 mesi e che hanno rilasciato lo specifico consenso al marketing e profilazione, è  pari a 2.094.373 (alla data del 29 novembre u.s.) e unicamente verso tali clienti vengono effettuate attività di marketing e di marketing profilato della società; non viene effettuato alcun tipo di marketing e marketing profilato per i restanti clienti (ossia i citati clienti delle 3 società, che non hanno attivato la carta Douglas), i quali sono pari a 3.288.179 (alla data del 29/11/2021).”

La Società ha rappresentato che i dati dei citati “3.288.170 clienti (vecchi clienti) vengono conservati per permettere l’eventuale sostituzione con la nuova card Douglas e facilitare le operazioni di travaso delle anagrafiche” e che “in un’ottica di business aziendale la società esclude dall’invio delle comunicazioni commerciali la clientela che non ha effettuato acquisti negli ultimi 24 mesi; pur rimanendo i dati (inclusi i dati relativi agli acquisti e i consensi espressi dagli interessati) all’interno del db aziendale”. In riferimento alla persistente conservazione di tali dati nonché ad altre scelte strategiche in materia, la Società ha peraltro evidenziato “che, per molti aspetti della protezione dei dati, Douglas Italia deve preventivamente confrontarsi con la società capogruppo tedesca, la quale di regola tende ad applicare gli standard di gruppo a tutti i paesi.”

Alla luce di quanto sopra rappresentato, considerata la notevole massa dei dati in questione e l’attuazione meramente eventuale della finalità sostituiva sopra indicata, l’Ufficio ha rilevato i presupposti della violazione dei ‘principi di finalità e limitazione della conservazione’, ai sensi dell’art. 5, par.1. lett. b) ed e), del Regolamento.

E) L’informativa resa ai clienti.

In ragione di quanto dichiarato dalla parte, l’Ufficio ha rilevato un’apparente discrasia fra la prassi suindicata e l’informativa rilasciata agli interessati, dove si rappresenta che: “I dati eventualmente raccolti e trattati con il Suo consenso per le finalità indicate alle lettere e), f) e g) saranno conservati fino a che l’Interessato non revochi il consenso alla ricezione di comunicazioni commerciali da parte di Douglas o revochi il consenso all’attività di profilazione delle preferenze, o revochi il consenso alla ricezione di comunicazioni commerciali da parte dei partner di Douglas oppure richieda la cancellazione dei propri dati, salvo l’eccezionale necessità di conservare i dati per difendere i diritti di Douglas in relazione a contestazioni in essere al momento della richiesta, o su indicazione delle autorità pubbliche “ (pag. 8 condizioni generali di vendita sezione informativa privacy). Alla luce di quanto sopra rappresentato, considerata l’incompletezza dell’informativa in questione, è stata ritenuta contestabile la violazione dell’art. 13, par. 2, lett. a), del Regolamento, in stretta connessione con la presunta violazione di cui al precedente punto C).

F) Telemarketing effettuato dagli store.

Il personale ispettivo ha chiesto alla Società di produrre il dato relativo al numero dei clienti che hanno fornito il proprio recapito telefonico e di quelli che hanno accettato le comunicazioni “telemarketing”. Douglas -nel fornire il dato quantitativo richiesto (all. 3 al verbale del 1° dicembre: 7.432.425 “clienti che hanno valorizzato il campo numero di telefono”; 5.142.445 “clienti che hanno valorizzato il campo numero di telefono con consenso sms/num”) - ha precisato che “anche in base all’analisi del campo del CRM, le anagrafiche con il consenso all’invio di sms o alla ricezione di telefonate promozionali vengono trattate, in realtà, con entrambe le modalità indicate (sms e telefonata con operatore). In vero, i campi predisposti in modo specifico per le singole modalità promozionali (sms e telefono) seguono il modello stabilito ed indicato dalla capogruppo tedesca in formato standard per i vari Paesi europei dove siamo presenti con gli store.” (verbale 1° dicembre, cit.).

Al riguardo, già in sede d’ispezione, è stata rilevata la mancata corrispondenza, nell’ambito del complessivo disegno dei trattamenti, fra il suindicato modello e la concreta prassi operativa utilizzata per il marketing; in particolare è stato accertato che, se l’interessato ha prestato il consenso ai soli sms promozionali, in realtà potrebbe ricevere anche telefonate promozionali, e viceversa. Il personale ispettivo ha chiesto alla parte se questa avesse predisposto procedure e script da consegnare agli store per l’effettuazione di attività di telemarketing, ricevendo come risposta che “non essendo il core business societario non sussistono procedure formalizzate e script predisposti ed utilizzati a tal fine”, né idonee a surrogarle possono ritenersi le istruzioni standard fornite agli store. Alla luce di quanto sopra rappresentato, sono risultati ravvisabili i presupposti per ritenere violati gli artt. 5, par.2 e 24, del Regolamento (accountability) nonché, in via strettamente connessa, l’art. 25, par.1, del Regolamento (privacy by design).

G) Trattamenti di dati mediante blog.

Ad esito della verifica (avviata il 29 novembre 2021) del blog societario collegato al sito internet di Douglas, è emerso un apposito link alla pagina dedicata “Beauty Stories” (articoli testuali con un'immagine a supporto, rispetto ai quali l'utente può solo commentare: v. verbale 15/12/2021). In particolare, a fine pagina il sistema presenta tre campi distinti: 1. lascia un commento, 2. nome; 3. mail. “I campi nn. 2 e 3, contrassegnati con asterisco, sono obbligatori; tuttavia, possono anche non essere veritieri, non essendo prevista alcuna procedura di conferma dei dati inseriti dall’interessato”. Tutte le Beauty stories riportano espressamente la dicitura che: “i dati personali vengono raccolti, archiviati ed utilizzati”, altresì, in basso è anche presente il link “politica sulla privacy” che rimanda l’utente al documento di “informativa generale” presente sul sito e che, tuttavia, non contiene alcun riferimento ai trattamenti dei dati sul blog. Il personale della Società, su richiesta dell’Autorità, ha fatto accesso alla piattaforma di back-end che gestisce il blog e ha estratto, a mo’ di esempio, alcuni indirizzi mail di interessati che hanno interagito lasciando un commento nel citato blog. Il personale ispettivo ha chiesto di fornire il dato quantitativo dei soggetti che hanno interagito tramite il blog aziendale, nonché, il dato più risalente e più attuale relativo ai commenti registrati ed informazioni in merito alla loro registrazione, conservazione, alle modalità e ai fini per i quali vengono utilizzati. La Società ha rappresentato di non esser in grado al momento di fornire informazioni al riguardo, non avendone la visibilità e di doversi rivolgere alla Corporate per poter fornire riscontro, precisando di aver accesso esclusivamente al CRM aziendale e di non avere contezza di altre banche dati, dove sono allocati i dati in questione. Per tali ragioni, Douglas ha contattato il proprio referente in Germania, facendo riserva di fornire le richieste informazioni, che tuttavia, alla data di completamento degli accertamenti in sede (16/12/2021), non sono pervenute. La Società ha inoltre evidenziato che il blog è in dismissione e che, per quanto risultava in quel momento, non aveva mai utilizzato i dati ivi presenti. Ad esito delle verifiche fatte con la capogruppo tedesca, a scioglimento della riserva di cui sopra (in data 10/1/2022), ha fatto pervenire il numero complessivo di utenti del blog, acquisiti dalla Società (1698), in misura crescente nel tempo (a partire dal 13/1/2017) senza, tuttavia, chiarire per quali finalità e per quanto tempo tali dati vengano conservati dalla Corporate o da altra società del gruppo di afferenza. Alla luce di quanto sopra rappresentato, anche in tal caso sono emersi i presupposti della violazione degli artt. 5, par.2 e 24, nonché dell’art. 13 del Regolamento, quest’ultima, in ragione della citata mancanza di un’informativa riguardante il blog.

3. NOTIFICA DELLE PRESUNTE VIOLAZIONI E DIFESA DEL TITOLARE DEL TRATTAMENTO.

In base a quanto sopra evidenziato, il 13/04/2022 è risultato necessario contestare a Douglas la presunta violazione delle seguenti disposizioni del Regolamento:

- art. 5, par. 1. lett. b) ed e), e par. 2,

- art. 6,

- art. 7,

- art. 13, par.2, lett. a);

- art. 24,

- art. 25, par.1;

avviando contestualmente un procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni economiche di cui all’art. 83, parr. 4 e 5, del Regolamento.    

La Società il 12 maggio 2022 ha inviato una memoria difensiva, con la quale ha evidenziato quanto segue:

- con riferimento al punto B) della contestazione (raccolta dei dati mediante app), la Società ha rappresentato che, a suo avviso, “nessuna violazione dell’art. 7 del GDPR possa essere contestata alla Società in quanto, come argomentato e dimostrato, il consenso liberamente prestato dal soggetto interessato attraverso il pulsante “ok, ho capito. Acconsento” concerne esclusivamente l’autorizzazione all’utilizzo dei cookie e non riguarda in alcun modo le diverse finalità non contrattuali (i.e. marketing della Società, marketing di soggetti terzi e profilazione).” …. La Società ha poi precisato che: ”l’inclusione dei link che rispettivamente rinviano alle ‘condizioni generali di vendita’ e all’’informativa dati personali’ è prevista per mera completezza, al fine di fornire all’utente, fin dal primo accesso all’app Douglas, tutta la documentazione di natura legale …” ; l’impostazione ed il funzionamento dell’app sono in corso di modifica e che “infatti a partire dall’1 ottobre 2021 … la società capogruppo tedesca … ha dato avvio al progetto denominato ‘EPR Southern Europe, che verrà completato e sarà live a partire dall’1 giugno 2022 “ (v. sub doc. 4, presentazione fornita da Douglas GmbH9). In base a tale progetto “anche il banner dei consensi per i cookie verrà riformulato secondo le indicazioni fornite dal Garante nelle ‘Linee guida cookie e altri strumenti di tracciamento’ del 10 giugno 2021“.

- Con riferimento al punto C (trattamento dei dati dei clienti acquisiti dalle Società fuse per incorporazione), la Società ha rappresentato che: “ … l’unico canale utilizzato da Limoni, La Gardenia e Profumerie Douglas per la raccolta dei dati degli interessati era lo store fisico … i dati venivano raccolti presso gli interessati esclusivamente nei negozi con la compilazione e sottoscrizione del modulo cartaceo di richiesta della fidelity card (comprensivo di regolamento del programma di fidelizzazione e informativa privacy)”, allegando il modulo di Limoni (sub doc. 6), “corredato dall’informativa privacy redatta ai sensi dell’allora vigente art. 13 del D.Lgs. 196/2003”, il modulo dei consensi e il regolamento “Experience card Limoni”; il modulo La Gardenia (sub doc. 7) “che riflette quanto previsto per Limoni”; nonché il modulo Profumerie Douglas (sub doc. 8.) La Società inoltre ha affermato che, a seguito della prima operazione societaria “(e quindi a decorrere da novembre 2017), le società avevano impostato all’interno dei siti www.limoni.it e www.lagardenia.it un automatico reindirizzamento al sito www.douglas.it gestito da Profumerie Douglas. A partire da quella data, dunque, l’utente che intendeva registrarsi sul sito e aderire al programma di fidelizzazione poteva esclusivamente iscriversi sul dominio www.douglas.it, accettando l’informativa privacy di Profumerie Douglas e ottenendo una fidelity card Douglas (cfr. doc. 8 con riferimento all’informativa ex art. 13 D.Lgs 196/2003 e doc. 9 quanto all’informativa fornita successivamente all’entrata in vigore del GDPR). In fase di sostituzione delle vecchie fidelity card Limoni e La Gardenia con la nuova card Douglas, avvenuta a partire da Aprile 2019, la Società ha avviato una campagna di refresh dei consensi precedentemente prestati dai propri clienti, con contestuale consegna a questi ultimi dell’informativa privacy aggiornata. Ciò ha comportato la disattivazione delle fidelity card dei vecchi cardisti Limoni e La Gardenia che non avevano richiesto la conversione e sostituzione delle loro card con la nuova card Douglas. Non avendo detti cardisti preso visione delle nuove condizioni del programma di fidelizzazione Douglas (unica card funzionante e utilizzabile a quella data) e della relativa informativa sulla privacy, e non avendo tantomeno potuto prestare (qualora di loro interesse) i consensi per le finalità di marketing, marketing di terzi e profilazione, gli stessi venivano dichiarati inattivi nel sistema CRM. Nell’ambito di questa campagna di refresh, i vecchi consensi eventualmente prestati dai cardisti Limoni e La Gardenia in conformità alle informative privacy a suo tempo in vigore (si vedano i docc. 6 e 7 e i relativi moduli di consenso) non sono stati ritenuti validi da Douglas ai fini delle attività di trattamento oggetto della nuova informativa  … Essendo state disabilitate le vecchie card, nessuna attività di marketing o di profilazione poteva essere lecitamente svolta” e la Società “non ha, quindi, mai compiuto alcun trattamento dei dati di tali clienti che richiedesse il preventivo consenso del soggetto interessato (i.e. profilazione e/o marketing).”

- con riferimento al punto D (conservazione dei dati dei clienti che non hanno rinnovato la fidelity card), la Società ha fatto presente “di aver dimostrato come i vecchi clienti Limoni e La Gardenia, attualmente inattivi, abbiano ricevuto idonea informativa privacy … dalle società titolari del trattamento al tempo della relativa raccolta dei dati. Dette informative … indicavano espressamente – tra le altre cose – le specifiche finalità in forza delle quali i dati venivano raccolti e trattati. Tra queste si legge che la società “può utilizzare i dati da Lei forniti per finalità connesse al rilascio, all’utilizzo ed alla gestione della “Experience Card Limoni” […]” (si veda il punto 1 dell’informativa Limoni ex art. 13 del D.Lgs. 196/2003; analoga previsione è inclusa al punto 1 dell’informativa di La Gardenia). Nell’ambito della “gestione” vi rientra senza dubbio anche la disattivazione e sostituzione con una nuova card. Reputando, dunque, che i dati dei propri clienti siano sempre stati raccolti e trattati per finalità determinate, esplicite e legittime, Douglas ritiene che anche sotto questo profilo la propria condotta non possa essere considerata in violazione dell’art. 5, par. 1, lett. b) del GDPR. Con specifico riferimento alla conservazione dei dati comuni dei vecchi clienti inattivi Limoni e La Gardenia, le cui card risultano disattivate, la Società conserva tali dati sulla base del legittimo interesse al solo fine di favorire il rinnovo della card. Come chiarito anche in fase di ispezione, si tratta ad ogni modo di una fase transitoria che si concluderà con la definitiva cancellazione dei dati stessi con l’implementazione del progetto denominato “EPR Southern Europe”;

- con riferimento al punto E (informativa resa ai clienti), la Società si è limitata a rilevare che “i termini di conservazione dei dati indicati nell’attuale informativa privacy di Douglas non possono trovare applicazione per quei clienti che non hanno mai convertito le vecchie card Limoni e La Gardenia in card Douglas. Tali clienti, infatti, hanno fornito i propri dati in forza dell’informativa a suo tempo consegnata rispettivamente dalle società Limoni eLa Gardenia presso i negozi e contestualmente alla sottoscrizione del modulo cartaceo di adesione al programma di fidelizzazione (cfr. docc. 6 e 7); pertanto “non sussiste(rebbe) alcuna discrasia tra la prassi adottata dalla Società e l’informativa consegnata ai clienti.”;

- con riguardo al punto F (telemarketing effettuato dagli store), Douglas ha rappresentato che “l’interessato può liberamente e specificamente esprimere separati consensi per i diversi canali di invio di comunicazioni commerciali. Il soggetto interessato, accedendo al proprio account sul sito Douglas, può selezionare e modificare i propri consensi come da schermata di seguito riportata: Tale selezione viene riflessa nel tool CRM, così come nel sistema cassa dei negozi … Le liste create per l’invio di comunicazioni di marketing vengono sempre estratte dalla Società tenendo conto dei consensi espressi dal soggetto interessato. Non sussistono, pertanto, scostamenti tra il modello adottato da Douglas e la prassi operativa. A conferma di quanto sin qui argomentato, si rileva che la Società non ha mai ricevuto contestazioni da soggetti interessati che lamentano l’improprio utilizzo dei canali marketing in violazione dei consensi dagli stessi precedentemente prestati. Quanto sopra trova altresì puntuale conferma nella dichiarazione rilasciata dal responsabile dello store di Nola …, in occasione dell’ispezione avvenuta il 16 dicembre 2021. Come infatti riferi(to) vengono effettuate “telefonate promozionali solo alle utenze presenti nelle liste di clienti VIP presenti a sistema alle quali accede tramite apposite credenziali personali. Si tratta, dunque, di un’attività di telemarketing estremamente ristretta e dedicata ai soli clienti definiti VIP, in base alla quale non si possono “contattare numeri di utenze telefoniche non presenti nelle liste fornite dalla società e ciò, dunque, nel pieno rispetto dei consensi liberamente espressi dai soggetti interessati”;

- con riguardo al punto G (trattamenti di dati mediante il blog), la Società, richiamando quanto precisato in sede di ispezione, ha ribadito che “si tratta di dati mai utilizzati da Douglas, la quale aveva esclusivamente la possibilità di visualizzare le recensioni degli utenti e filtrare eventuale spam. Ad ogni buon conto, a seguito della richiesta formulata a Douglas GmbH, è emerso che il numero totale degli utenti del blog è pari a 1698. Se si escludono i 1621 utenti che appaiono essere chiaramente spam (si allegano a tal proposito, sub doc. 13, i documenti forniti da Douglas a scioglimento della riserva assunta il 16 dicembre 2021), il totale dei possibili utenti ‘reali’ del blog è pari 77, corrispondente allo 0,00008% del numero totale della base dati clienti Douglas pari a circa 10 milioni. Trattasi di un numero compatibile (e anzi inferiore) al margine di errore statistico e inevitabile tipico della gestione di qualsiasi sito internet. Si consideri, peraltro, che la percentuale dello 0,00008% è altresì inferire se si tiene conto che tra i 77 utenti del blog vi sono anche utenti creati dalla stessa Società per l’effettuazione di test interni. La Società conferma nuovamente in questa sede che i dati presenti sul blog non sono mai stati utilizzati da Douglas e che non viene effettuata alcuna attività di profilazione o marketing con riferimento a detti dati. A seguito degli accertamenti dell’Autorità è stata peraltro prontamente inibita la possibilità per gli utenti di lasciare commenti e/o recensioni e, conseguentemente, di fornire i propri dati personali. La sezione Beauty Story, come già affermato in sede di accertamento, è in fase di dismissione totale e verrà definitivamente rimossa con l’implementazione del nuovo progetto “EPR Southern Europe”, effettivo dal 1° giugno 2022”.

Inoltre la Società ha fornito vari elementi con specifico riferimento agli elementi ex art. 83, par. 2, del Regolamento. In particolare, rispetto al carattere doloso o colposo della violazione, Douglas ha evidenziato di aver “sempre mostrato particolare attenzione alla tutela dei propri clienti, adottando ogni misura necessaria per far fronte, nel minor tempo possibile, alle richieste degli interessati. Eventuali scostamenti (ritenuti dalla scrivente Società del tutto modesti) tra la prassi e la documentazione messa a disposizione degli interessati, sono principalmente dovuti a ragioni tecniche a cui la Società ha prontamente rimediato già in fase di ispezione”. Con riguardo alle misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati, ad avviso della Società, “le condotte poste in essere dalla stessa (e contestate dal Garante) non hanno cagionato alcun danno agli interessati”; evidenziando altresì di aver mantenuto “anche in occasione delle attività ispettive, un comportamento collaborativo con l’Autorità, intervenendo prontamente ed effettuando ogni necessaria modifica richiesta da quest’ultima (si veda a titolo esemplificativo le modifiche apportate alla sezione blog del sito Douglas”. Con riguardo al grado di responsabilità in qualità di titolare, la Società ha rappresentato che i propri sistemi, “ivi inclusi il sito, l’app e il CRM sono gestiti – anche da un punto di vista tecnico – dalla capogruppo tedesca; … di aver sempre prontamente contattato e sollecitato Douglas GmbH, affinché la stessa adottasse ogni misura tecnica od organizzativa ritenuta opportuna e necessaria dal titolare del trattamento.” Douglas ha poi aggiunto di non aver commesso “precedenti violazioni” e di non esser “mai stata destinataria di alcun provvedimento ex art. 58 del GDPR”;  che “i dati oggetto di potenziale violazione consistono in dati comuni di clienti inattivi (i.e. nome, cognome, indirizzo, ed eventualmente indirizzo email e/o numero di telefono) che la Società conserva al solo fine di facilitare il rinnovo delle vecchie card sulla base del legittimo interesse e, in ogni caso, con progetto di cancellarli definitivamente con l’implementazione del nuovo sito, e (ii) dati comuni (principalmente indirizzi email) di un ridottissimo (e del tutto irrisorio) numero di clienti che hanno interagito con il blog di Douglas”, senza peraltro aver “compiuto alcuna attività di profilazione e/o marketing”.

Alla luce di quanto sopra, la Società ha chiesto l’archiviazione del procedimento amministrativo avviato e “a conferma dell’assoluto spirito di collaborazione”, ha dichiarato di essere “disponibile ad attuare qualsivoglia ulteriore e diverso accorgimento che l’Autorità dovesse ritenere necessario”.

Facendo rinvio ed integrando quanto già in atti, la Società, nel corso dell’audizione tenutasi il 20 maggio 2022, ha poi precisato che: “in ragione delle criticità emerse in fase ispettiva … ha iniziato, da subito, a rivedere e migliorare la propria compliance. In un’ottica più generale, la Società ha introdotto, anche in accordo con la corporate, un progetto di ammodernamento complessivo del sito web (iniziato già a fine novembre scorso), nonché dell’app Douglas, compresa anche la sezione del Blog, apportando migliorie da un punto di vista sia tecnologico sia funzionale e in termini, chiaramente, di compliance alla normativa privacy. Infatti, con specifico riguardo alla sezione Blog, la società ha inibito l’inserimento di nuove recensioni, rendendo così solo ancora visualizzabili quelle già presenti. Dal 31 maggio prossimo la sezione del blog sarà progressivamente rimossa, lasciando comunque la possibilità al cliente di esprimere le proprie recensioni in un apposito tool distribuito dalla corporate.”.

Riguardo al telemarketing, “già il 12 gennaio 2022, la Società ha organizzato ed effettuato una sessione formativa con focus su siffatto trattamento con riferimento alle possibili azioni correttive rispetto ai relativi trattamenti, diretta a tutta la forza vendita, interessando anzitutto l’area manager e a cascata gli store manager. La detta sessione è stata rinnovata con cadenza mensile. Questi contenuti vengono inoltre veicolati mediante un’app (dove sono disponibili vari contenuti video …) dedicata con impostazione agevolmente fruibile con previsione di verifica dell’effettiva comprensione della formazione impartita  … Inoltre, è stato impostato, a cura della funzione CRM, un automatico refresh (ossia inserimento dell’eventuale diniego al marketing da parte dell’interessato che sia stato contattato, a prescindere dalla campagna in corso), nell’ambito delle 24 ore, delle liste di dati passate agli store, che possono peraltro contattare il DPO direttamente, senza filtri intermedi e procedure farraginose. Sicchè la procedura relativa al telemarketing è stata migliorata, fermo restando che si tratta di un’attività residuale e selettivamente dedicata ai clienti altospendenti. … il responsabile dello store contattato nel corso dell’accertamento ispettivo non ha ben rispettato una procedura, di tipo basico, che però già sussisteva e che ad oggi, ad avviso della Società, risulta maggiormente strutturata e completa.”

Con riguardo alla conservazione delle anagrafiche dei clienti delle 3 società incorporate che non hanno sottoscritto la nuova carta, la Società ha ribadito di non aver “mai fatto attività di marketing e profilazione, né intend (e) farla, e che tali dati a breve verranno conservati solo in forma pseudonimizzata, per renderli concretamente indisponibili e ripristinabili solo all’occorrenza se necessario (ad esempio per eventuali richieste contrattuali degli stessi).” Ha inoltre precisato che: “negli ultimi anni (anche in ragione della pandemia) (ha) registrato una perdita di circa 10 milioni di euro rispetto al volume d’affari (fatturato), che ha comportato una riduzione del personale e degli store presenti sul territorio (155)”, con prevedibili gravi riverberi anche sui futuri bilanci. 

In base a quanto sopra detto, la Società ha chiesto, quindi, di “procedere all’archiviazione del procedimento amministrativo in corso o, in subordine, di stabilire una riduzione dell’eventuale sanzione pecuniaria applicabile”.

4. VALUTAZIONI DI ORDINE GIURIDICO.

Alla luce delle difese presentate da Douglas, con riguardo al punto B) della contestazione, si ritiene di dover confermare la contestata violazione (artt. 6-7 del Regolamento) riguardante la raccolta di dati mediante l’app societaria, perché – pur accogliendo la tesi societaria in base alla quale il pulsante “ ‘ho capito. Acconsento’ concerne esclusivamente l’autorizzazione all’utilizzo dei cookie e non riguarda in alcun modo le diverse finalità non contrattuali” e “l’inclusione dei link che rispettivamente rinviano alle ‘condizioni generali di vendita’ e all’’informativa dati personali’ è prevista per mera completezza”, permane la necessità di evidenziare come la configurazione dell’app risulti comunque complessivamente -anche alla luce del contenuto promiscuo della detta informativa (in cui peraltro vengono indicate finalità, come quella di geolocalizzazione o del marketing di prossimità che Douglas ha asserito di non svolgere)- poco chiara ed ambigua riguardo al reale oggetto del consenso richiesto all’utente.

Inoltre, si deve evidenziare che le disposizioni del Regolamento (art. 4, punto 11 e Considerando n. 32), in linea con il precedente assetto normativo, configurano il consenso come una fattispecie complessa nella quale l'elemento dell’espressione della volontà dell'interessato deve necessariamente essere correlato ad un idoneo quadro informativo sul trattamento fornito dal titolare, in difetto del quale la volontà dell'interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento. Si deve altresì tener conto della necessità di facile accessibilità e fruibilità delle informazioni prevista dall’art. 12, par.1, del Regolamento, nel più ampio contesto del basilare principio di ‘trasparenza’: in tal senso anche il Gruppo di lavoro ex Articolo 29, nella versione emendata delle Linee guida sulla trasparenza adottata l’11 aprile 2018 (in www.garanteprivacy.it).  Al contempo, occorre considerare anche come la Società abbia ammesso di non aver ancora adeguato la gestione dei cookies alle indicazioni fornite dal Garante nelle ‘Linee guida cookie e altri strumenti di tracciamento’ del 10 giugno 2021, che ha previsto un termine massimo di sei mesi per il proprio recepimento da parte dei titolari del trattamento. Tale inadempimento risulta aggravare il quadro di illegittimità rilevato; pertanto, alla luce di quanto sopra esposto, si deve confermare la suindicata contestazione e si deve ritener violato - ancorché non contestato originariamente, ma a seguito dell’esame degli atti della difesa - anche l’art. 12, par.1, del Regolamento, considerato che la Società non ha provveduto ad adottare tutte le misure per fornire agli interessati idonee informazioni riguardo ai trattamenti posti in essere, che pertanto risultano non adeguatamente trasparenti.

Al riguardo, risulta necessario anche ingiungere alla Società di modificare l’impostazione dell’app Douglas, garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies –e dei rispettivi consensi- rispetto ai termini contrattuali e, con particolare riferimento alle due citate informative, indicando solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.

Con riguardo al punto C) della contestazione (riguardante la mancata produzione della documentazione relativa alle tre società incorporate), si ritiene invece di poter procedere con l’archiviazione, avendo la Società prodotto, pur solo in sede di memoria, i richiesti testi dell’informativa e del consenso utilizzati dalle tre società incorporate per l’acquisizione dei clienti introitati da Douglas, in osservanza al principio di accountability.

Con riguardo al punto D) della contestazione (conservazione dei dati personali delle tre società incorporate), anche se asseritamente non utilizzati dalla Società, va ricordato che la conservazione è un’operazione di trattamento, soggetta di per sé dunque alla vigente normativa. Nella fattispecie, la suddetta conservazione è da ritenersi palesemente ed immotivatamente eccessiva sia sotto l’aspetto qualitativo (non essendo state selezionate le tipologie da conservare), sia sotto l’aspetto temporale, anche tenuto conto dei termini stringenti stabiliti (12 mesi per i dati utilizzati per finalità di marketing; 24 mesi per le finalità di profilazione) stabiliti dal provvedimento generale “Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” - 24 febbraio 2005, doc. web n. 1103045, alla luce peraltro dei principi di accountability e di “responsabilità generale” (v. Cons. n. 74, del Regolamento). Tanto più, i termini devono ritenersi stretti per i dati relativi a fidelity card che i clienti delle società incorporate non hanno ritenuto di rinnovare (e, quindi, rimasti in stato inattivo), per i quali è venuta meno una valida ragione per protrarre la conservazione.

Dunque, pur prendendo atto delle misure correttive che Douglas ha affermato di aver autonomamente posto in essere, si deve confermare la violazione dell’art. 5, par.1, lett. b) ed e), del Regolamento e si rende necessario ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, disporre un’ingiunzione nei confronti della medesima Società, articolata come di seguito nel rispetto della libertà organizzativa ed operativa dell’impresa, con la quale il diritto alla protezione dei dati personali, ove possibile, va opportunamente bilanciato, mediante le misure di seguito evidenziate nel par. 5 del presente provvedimento e finalizzate ad assicurare la conformità alla vigente normativa.

Analoga valutazione di non conformità (ai medesimi suindicati parametri normativi), si deve fare, più in generale, riguardo ai tempi di conservazione previsti da Douglas nell’informativa resa ai propri clienti, come acquisita in atti (“I dati eventualmente raccolti e trattati con il Suo consenso per le finalità indicate alle lettere e), f) e g) saranno conservati fino a che l’Interessato non revochi il consenso alla ricezione di comunicazioni commerciali da parte di Douglas o revochi il consenso all’attività di profilazione delle preferenze, o revochi il consenso alla ricezione di comunicazioni commerciali da parte dei partner di Douglas oppure richieda la cancellazione dei propri dati, salvo l’eccezionale necessità di conservare i dati per difendere i diritti di Douglas in relazione a contestazioni in essere al momento della richiesta, o su indicazione delle autorità pubbliche”). Infatti -a fronte di un consenso al marketing e/o alla profilazione, che può ritenersi valido fino alla sua revoca o all’opposizione al trattamento per finalità promozionali (v. anche art. 7 del Regolamento)- la Società dovrebbe, tuttavia, provvedere ad una conservazione  selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti, ancor più considerato che, in tal caso, la Società svolge con essi attività promozionale o di profilazione, e quindi non li detiene in modo inattivo. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall’interessato, nell’esercizio della propria accountability. Anche in tal caso si deve confermare la violazione dell’art. 5, par.1, lett. b) ed e), del Regolamento; inoltre, si rende necessario ingiungere alla Società di adottare misure organizzative e tecniche idonee a garantire una conservazione correttamente improntata ai citati principi di finalità e di limitazione.

In relazione al punto E) della contestazione all’apparente discrasia fra la prassi di persistente conservazione suindicata e l’informativa attualmente rilasciata agli interessati (“I dati eventualmente raccolti e trattati con il Suo consenso per le finalità indicate alle lettere e), f) e g) saranno conservati fino a che l’Interessato non revochi il consenso alla ricezione di comunicazioni commerciali da parte di Douglas o revochi il consenso all’attività di profilazione delle preferenze, o revochi il consenso alla ricezione di comunicazioni commerciali da parte dei partner di Douglas oppure richieda la cancellazione dei propri dati, salvo l’eccezionale necessità di conservare i dati per difendere i diritti di Douglas in relazione a contestazioni in essere al momento della richiesta, o su indicazione delle autorità pubbliche”, si deve osservare che - se si seguisse la tesi della Società secondo cui occorrerebbe avere come unico parametro di riferimento le informative rilasciate al tempo dalle società incorporate- si dovrebbe trarre la necessaria conseguenza secondo cui Douglas, quale nuovo titolare del trattamento, non ha adempiuto -verso i clienti delle società incorporate-  all’obbligo informativo di cui all’art. 14, par.1, del Regolamento, trattandosi di dati non acquisiti direttamente dagli interessati- con la conseguente necessità di dover integrare la contestazione del 13 aprile 2022. Quindi, si ritiene di dover confermare la valutazione d’inidoneità di tale informativa rispetto alla prassi in uso presso la Società riguardo alla conservazione dei dati (art. 13, par. 2, lett. a), del Regolamento).

Con riferimento al punto F) della contestazione (telemarketing svolto dagli store), quanto asserito dalla Società (v. memoria 12/5/22) ossia che gli store non possono “contattare numeri di utenze telefoniche non presenti nelle liste fornite dalla società” (c.d. soggetti ‘fuori lista’; v. provv. 15 gennaio 2020 n. 7, doc. web n. 9256486) e che peraltro vengono contattati solo utenze di clienti alto-spendenti non consente di superare quanto dichiarato dalla medesima in corso di ispezione, ai sensi dell’art. 166 del Codice, ed accertato nei sistemi societari ossia che: “anche in base all’analisi del campo del CRM, le anagrafiche con il consenso all’invio di sms o alla ricezione di telefonate promozionali vengono trattate, in realtà, con entrambe le modalità indicate (sms e telefonata con operatore), in ragione del “modello stabilito ed indicato dalla capogruppo tedesca in formato standard per i vari Paesi europei dove siamo presenti con gli store.” Vale a dire, in sintesi, che alcuni clienti alto-spendenti -pur avendo dato il consenso solo riguardo ad una fra le due modalità- sono stati contattati mediante entrambe le dette modalità. Inoltre la Società nei suoi scritti difensivi ha manifestato la propria consapevolezza delle criticità emerse in sede ispettiva, dichiarando di aver provveduto ad intervenire prontamente per migliorare la relativa procedura e dunque la conformità della stessa alla vigente normativa. Quindi, pur tenuto conto del carattere sporadico dell’attività in questione e delle misure introdotte dalla Società, si deve ritenere confermata la violazione degli artt. 5, par.2 e 24, del Regolamento, nonché, in via strettamente connessa, dell’art. 25, par.1, del Regolamento. Al riguardo -tenuto conto anzitutto del carattere residuale dell’attività di trattamento in questione nonché delle misure che la Società ha assicurato di aver già introdotto- non risulta necessario adottare alcuna prescrizione correttiva.

Anche con riferimento al punto G) della contestazione (trattamenti relativi al blog), dato che gli argomenti addotti da Douglas -riguardo al numero non rilevante di utenti ‘reali’ che risultano aver rilasciato commenti e alla prossima dismissione dello stesso- non risultano idonei ad escluderne la responsabilità, si deve confermare la violazione del combinato disposto degli artt. 5, par. 2 e 24, nonché dell’art.13 del Regolamento, ma -considerato il carattere sporadico e non più attuale dell’attività di trattamento in questione- non si ritiene necessario adottare alcuna prescrizione correttiva.

5. RISULTANZE COMPLESSIVE E CONSEGUENTI MISURE DA ADOTTARE.

Complessivamente, si devono ritener violate le seguenti disposizioni del Regolamento:

- art. 5, par. 1. lett. b) ed e), e par. 2;

- art. 6;

- art. 7;

- art. 12, par.1;

- art. 13, par.2, lett. a);

- art. 24;

- art. 25, par.1.

In base all’accertamento di tali violazioni, si rende necessario, nei confronti di Douglas:

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiarare illecito, nei termini di cui in motivazione, il trattamento effettuato e, per l’effetto:

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di modificare l’impostazione dell’app Douglas, garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies –e dei rispettivi consensi- rispetto ai termini contrattuali e, con particolare riferimento alle due citate informative, indicando solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite;

c) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiungere la cancellazione dei dati personali dei clienti delle tre società incorporate, limitatamente a quelli risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 15 giorni dalla data di ricezione del presente provvedimento;

d) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiungere la cancellazione, o la pseudonimizzazione, dei dati personali dei clienti delle tre società incorporate risalenti ad un periodo massimo di 10 anni, entro 30 giorni dalla data di ricezione del presente provvedimento;

e) qualora la Società opti per la pseudonimizzazione dei dati indicati alla suindicata lettera d), ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiungerle di avvisare -entro 60 giorni dalla data di ricezione del presente provvedimento- mediante adeguata pubblicità sul sito www.douglas.it e l’invio di una comunicazione ai sensi dell’art. 130, comma, 4 del Codice, limitatamente ai clienti di cui disponga nei propri sistemi delle coordinate di posta elettronica e che non risultino essersi opposti al trattamento dei loro dati, riguardo alla possibilità di rinnovare la loro card entro 6 mesi dalla detta pubblicazione o dalla ricezione della suindicata comunicazione; informando altresì che, in caso di mancato rinnovo entro il detto termine, i loro dati verranno cancellati; 

f) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiungere di cancellare i dati di tutti i clienti, di cui alla suindicata lettera d), che non avranno rinnovato la loro card, entro 15 giorni dalla scadenza del suindicato periodo semestrale;

g) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei propri clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità e di minimizzazione, entro 30 giorni dalla data di ricezione del presente provvedimento;

h) ai sensi dell'art. 157 del Codice, chiedere di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 30 giorni dalla data di ricevimento del presente provvedimento; ricordando che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministrativo di cui all'art. 166, comma 2, del Codice e può dunque comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

i)  adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 4 e 5, del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA.

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Douglas Italia S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni -avendo ad oggetto, tra gli altri, i presupposti di liceità del trattamento di cui all’art. 6 del Regolamento- sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave prevista per l’inosservanza dei predetti presupposti di liceità, con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, lett. a), del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento. 

Nella fattispecie, quali circostanze aggravanti -ai sensi dell’art. 83, par. 2, del Regolamento- devono essere considerate:

1) la gravità e la varietà delle violazioni riscontrate (lett. a);

2) l’elevato numero degli interessati e la notevole durata delle violazioni, con particolare riguardo alla conservazione dei dati dei clienti delle società incorporate (lett. a);

3) la rilevanza economica della Società (v. fatturato -“volume d’affari” di euro 349.596.628,00: lett. k).

Al contempo, sono ravvisabili numerosi elementi attenuanti, ai sensi della medesima norma, ed, in particolare, si ritiene di dover tener in conto:

1) il carattere sporadico dell’attività di telemarketing venuta in rilievo (lett. a);

2) le misure prospettate per migliorare la conformità alla normativa in materia di protezione dei dati (lett. c);

3) l’assenza di precedenti procedimenti avviati a carico della Società (lett. e);

4) la costante e trasparente collaborazione manifestata dalla Società all’Autorità in occasione degli accertamenti ispettivi e, più in generale, nell’ambito dell’istruttoria condotta (lett. f);

5) il limitato potere decisionale nella complessiva strategia dei trattamenti, in ragione dell’ingerenza della società capogruppo tedesca (lett. k);

6) la situazione di emergenza pandemica in cui si è collocato l’accertamento in esame e, in particolare, le perdite finanziarie rappresentate dalla Società, che hanno “comportato una riduzione del personale e degli store presenti sul territorio (155 circa)” (v. verb. audizione 20/5/22) (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Douglas Italia S.p.A. la sanzione amministrativa del pagamento di una somma di euro 1.400.000,00 (un milionequattrocentomila/00), pari a circa lo 0,4 del suindicato fatturato.

Nel caso in argomento si ritiene che debba altresì applicarsi la sanzione accessoria della pubblicazione nel sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria rispetto alla quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Douglas Italia S.p.A., C.F.  01980940835, con sede in Milano, via Fratelli Castiglioni, n. 8 e, per l’effetto, nei confronti della medesima Società:

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di modificare l’impostazione dell’app Douglas, garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies –e dei rispettivi consensi- rispetto ai termini contrattuali e, con particolare riferimento alle due citate informative, indicando solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite;

c) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiunge la cancellazione dei dati personali dei clienti delle tre società incorporate, limitatamente a quelli risalenti ad un periodo maggiore di 10 anni, fatti salvi i casi in cui sia ancora in corso una controversia giudiziaria od extra-giudiziaria, entro 15 giorni dalla data di ricezione del presente provvedimento;

d) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiunge la cancellazione, o la pseudonimizzazione, dei dati personali dei clienti delle tre società incorporate risalenti ad un periodo massimo di 10 anni, entro 30 giorni dalla data di ricezione del presente provvedimento;

e)  qualora la Società opti per la pseudonimizzazione dei dati indicati alla suindicata lettera d), ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiunge alla medesima Società di avvisare -entro 60 giorni dalla data di ricezione del presente provvedimento- mediante adeguata pubblicità sul sito www.douglas.it e l’invio di una comunicazione ai sensi dell’art. 130, comma, 4 del Codice, limitatamente ai clienti di cui disponga nei propri sistemi delle coordinate di posta elettronica e che non risultino essersi opposti al trattamento, riguardo alla possibilità di rinnovare la loro card entro 6 mesi dalla detta pubblicazione o dalla ricezione della suindicata comunicazione; informando altresì che, in caso di mancato rinnovo entro il detto termine, i loro dati verranno cancellati; 

f) ai sensi dell’art. 58, par. 2, lett. g), del Regolamento, ingiunge alla medesima Società di cancellare i dati di tutti i clienti, di cui alla suindicata lettera d), che non avranno rinnovato la loro card, entro 15 giorni dalla scadenza del suindicato periodo semestrale;

g) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, adotta idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei propri clienti avvenga nel rispetto dei principi di cui all’art. 5 del Regolamento, e in particolare di finalità e di minimizzazione, entro 30 giorni dalla data di ricezione del presente provvedimento;

h) ai sensi dell'art. 157 del Codice, chiede alla medesima Società di fornire riscontro adeguatamente documentato riguardo alle suindicate misure, entro 30 giorni dalla data di ricevimento del presente provvedimento. Si ricorda che il mancato riscontro alle richieste di cui sopra integra gli estremi dell'illecito amministrativo di cui all'art. 166, comma 2, del Codice;

ORDINA

a Douglas Italia S.p.A. di pagare la somma di euro 1.400.000,00 (un milionequattrocentomila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.400.000,00 (un milionequattrocentomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi