La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati.
Lo ha stabilito il Garante per la protezione dei dati personali a conclusione di un procedimento avviato a seguito di un reclamo.
La società, nata nel 2019 avendo incorporato tre aziende del settore, dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
La società dovrà innanzitutto modificare l’impostazione dell’appDouglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.
Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).
Al momento degli accertamenti ispettivi – svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – Douglas conservava i dati di quasi 3 milioni e 300 mila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.
La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.