L’utilizzo illecito dei dati personali da parte di Autostrade per l’Italia e La Rinascente ha portato il Garante della privacy a comminare due maxi multe alle società. In particolare, Aspi è stata colpita da una sanzione da un milione di euro, mentre il gruppo Retail dovrà pagare 300 mila euro.
Il trattamento illecito dei dati degli utenti dell’app Free to x
Secondo il Garante, Autostrade per l’Italia ha infatti trattato in modo illecito i dati di circa 100mila utenti registrati alla app per il rimborso del pedaggio, denominata Free to x. Le criticità del servizio – che consente la restituzione, totale o parziale, del costo del biglietto autostradale per i ritardi dovuti ai cantieri di lavoro – erano state segnalate al Garante da una associazione di consumatori.
L’Autorità, si legge in una nota, ha accertato che Autostrade riveste il ruolo di titolare del trattamento e non di responsabile, come invece indicato nella documentazione che regola i rapporti tra Aspi e la società Free to X che ha realizzato e gestisce la app, nonché nell’informativa resa al riguardo agli utenti. È stata Aspi infatti, in qualità di concessionario della rete autostradale, ad aver individuato il meccanismo di rimborso, la natura delle misure compensative, le modalità di adempimento, la tipologia del ritardo correlato alla presenza dei cantieri, attribuendo a Free to x solamente compiti di attuazione del servizio.
La errata qualificazione dei ruoli privacy rivestiti dalle due società, sottolinea il Garante, ha immediate ripercussioni sull’informativa resa agli utenti che pertanto non è stata correttamente formulata. L’informativa avrebbe dovuto infatti riportare l’effettiva identità del titolare, ossia Aspi, nonché tutte le ulteriori informazioni per assicurare un trattamento corretto e trasparente, come previsto dal Regolamento. Aspi è incorsa, inoltre, in una ulteriore violazione per non aver designato Free to X quale responsabile del trattamento.
Il Garante non ha indicato ad Aspi misure correttive poiché la società nel corso del procedimento si è conformata alla normativa privacy
Le omissioni di Rinascente nell’informativa della fidelity card
La Rinascente avrebbe invece trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle carte di fedeltà. Nello specifico, l’Autorità è intervenuta a seguito della segnalazione di una cliente che, dopo un alterco con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante. “La signora”, evidenzia il Garante, “lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.
Oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali”.
Nel corso dell’istruttoria è risultato, per esempio, che nell’informativa relativa alla fidelity card denominata “Friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana.
Riguardo infine all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal Gdpr.
L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione e cancellando, o anonimizzando, i dati che dovessero risultare conservati al di là dei termini stabiliti.
Nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni (più di due milioni di persone sono risultate iscritte presso i negozi oppure online), la loro durata e la capacità economica della Società. Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.
