Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 300 000 euro mot La Rinascente för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade hade ett lojalitetskort hos La Rinascente. I juli 2021 besökte den registrerade en butik och hade en dispyt med en anställd. Senare samma dag fick den registrerade ett e-postmeddelande om att hon aktiverat ett nytt lojalitetskort. På det nya kortet, som den registrerade aldrig begärt, hade hennes namn ändrats till “Donzella Svampita”. den registrerade kontaktade kundtjänsten, som informerade henne om att lojalitetskortet, som aktiverats för flera år sedan, spärrats och ersatts av det nya. Den registrerade kände sig kränkt och lämnade in ett klagomål till Garante.
Garante begärde först viss information från La Rinascente om det eventuella dataintrånget, därefter beslutade myndigheten att ytterligare utreda fakta och genomföra en tillsyn på plats. Vid denna tillsyn identifierade Garante ytterligare problem som avsaknaden av information om överföringen av personuppgifter från webbplatsbesökare till Facebook för reklam- och profileringssyften, avsaknaden av en konsekvensbedömning avseende dataskydd som utförts före de aktuella profileringsaktiviteterna och avsaknaden av information om lagringsperioden för personuppgifter från kunder som är registrerade i lojalitetsprogrammet.
Garante konstaterade att den personuppgiftsincident som kunde hänföras till den anställdes agerande var ett resultat av den anställdes självständiga beslut att bryta mot La Rinascentes instruktioner. La Rinascente ansågs därför inte ansvarig för händelsen. Garante konstaterade dock att La Rinascente inte genomfört tillräckliga organisatoriska och tekniska åtgärder för att säkerställa en adekvat konfidentialitetsnivå vid behandlingen av personuppgifter varför de gjort sig skyldiga till överträdelser av artiklarna 5.1 (f) och 32.1 (b) och (d) GDPR.
När det gäller marknadsföringsåtgärderna ansåg Garante att den uppdaterade versionen av integritetspolicyn som tillhandahölls av La Rinascente klargjort företagets roll i kampanjerna varför någon överträdelse inte var aktuell. Garante ansåg dock att La Rinascente utförde profileringsaktiviteter eftersom aktiviteterna bestod av att “bedöma konsumtionsvanor och utföra marknadsanalys och forskning i syfte att förbättra sina kommersiella erbjudanden och skicka kunder kampanjer och inbjudningar som passar deras preferenser”. Garante påminde om att om två eller flera av de kriterier som fastställs i EDPB:s riktlinjer för konsekvensbedömningar avseende dataskydd föreligger, måste La Rinascente genomföra en sådan bedömning. I det aktuella fallet noterade Garante att två av dessa kriterier var uppfyllda, varför Garante ansåg att La Rinascente borde ha utfört en konsekvensbedömningar avseende dataskydd, vilket inte gjorts. Av denna anledning konstaterade Garante en överträdelse av artikel 35.1 GDPR.
När det gäller lagring av uppgifter betonade Garante att, i enlighet med principen om lagringsminimering, måste den period som personuppgifter kan lagras begränsas till det minimum som är nödvändigt. I det aktuella fallet ansåg Garante att den otydliga lagringstiden på 7 år var överdriven och inkonsekvent. Garante framhöll att lagringsperioden bör vara tydligt fastställd, särskilt när det gäller integritetskränkande behandling av personuppgifter, såsom profilering. Garante medgav att La Rinascente vidtagit åtgärder för att förbättra denna information, genom att uttryckligen ange lagringsperioden på 7 år, men ansåg att det fortfarande var nödvändigt att fastställa och tillämpa differentierade lagringsperioder för produktkategorier, skilja marknadsföringsaktiviteter från dem för profilering, samt klargöra om uppgifterna raderas eller anonymiseras efter periodens slut. Garante konstaterade därför en överträdelse av artikel 5.1 (a), (b), (c) och (e) samt artikel 12.1 GDPR.