L’autorità per la protezione dei dati francese ha sanzionato CARREFOUR FRANCE per 2.250.000 euro e CARREFOUR BANQUE per 800.000 euro.
Dopo aver ricevuto diversi reclami nei confronti del gruppo CARREFOUR, la CNIL ha effettuato controlli tra maggio e luglio 2019 presso le società CARREFOUR FRANCE (settore retail) e CARREFOUR BANQUE (settore bancario).
Durante questi controlli la CNIL ha rilevato carenze nel trattamento dei dati dei clienti e dei potenziali utenti.
Il presidente della CNIL ha quindi deciso di avviare un procedimento sanzionatorio nei confronti di queste società.
Al termine di tale procedura, il comitato ristretto – l’organo competente per la pronuncia delle sanzioni della CNIL – ha effettivamente ritenuto che le società avessero violato alcuni obblighi previsti dal GDPR.
La Commission nationale de l’informatique et des libertés o CNIL è un’autorità amministrativa indipendente francese incaricata di assicurare l’applicazione della legge sulla tutela dei dati personali nei casi in cui si effettuino raccolte, archiviazioni ed elaborazioni di dati personali.
Le sanzioni
La CNIL ha quindi sanzionato la società CARREFOUR FRANCE con una multa di 2.250.000 euro e la società CARREFOUR BANQUE con un’ammenda di 800.000 euro.
D’altro canto, non ha emesso un’ingiunzione quando ha rilevato che sforzi significativi avevano consentito di conformare tutte le violazioni individuate.
Vediamo le anomalie segnalate, che possono essere MOLTO UTILI per le valutazioni di ognuno di NOI
Il Regolamento Generale sulla Protezione dei Dati in sigla RGPD (o GDPR in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679
Violazione dell’obbligo di informazione (art. 13 GDPR)
Le informazioni fornite agli utenti dei siti carrefour.fr e carrefour-banque.fr nonché alle persone che desideravano aderire al programma fedeltà o alla carta Pass non erano facilmente accessibili (accesso alle informazioni troppo complicato), né facilmente comprensibili (informazioni scritte in termini generali e imprecisi, talvolta utilizzando formulazioni inutilmente complicate).
Inoltre, era incompleto per quanto riguarda la durata della conservazione dei dati.
Per quanto riguarda il sito carrefour.fr, le informazioni erano insufficienti anche per quanto riguarda i trasferimenti di dati al di fuori dell’Unione europea e la base giuridica per l’elaborazione (file).
Su questo punto, le società hanno modificato le proprie informative e siti web durante la procedura per renderle conformi.
Violazioni relative ai cookie (articolo 82 della legge sulla protezione dei dati)
La CNIL ha notato che, quando un utente si collega al sito carrefour.fr o al sito carrefour-banque.fr, diversi cookie sono stati automaticamente inseriti sul suo terminale, prima di qualsiasi azione da parte sua.
Poiché molti di questi cookie vengono utilizzati per la pubblicità, il consenso dell’utente dovrebbe essere stato raccolto prima dell’archiviazione.
Le società hanno modificato il modo in cui funzionano i loro siti web durante la procedura.
Nessun cookie pubblicitario viene ora depositato prima che l’utente abbia fornito il proprio consenso.
Mancato rispetto dell’obbligo di limitazione del periodo di conservazione dei dati (art. 5.1.e del GDPR)
La società CARREFOUR FRANCE non ha rispettato i periodi di conservazione dei dati che aveva stabilito.
I dati di oltre ventotto milioni di clienti rimasti inattivi da cinque a dieci anni sono stati quindi conservati nell’ambito del programma fedeltà.
Lo stesso valeva per 750.000 utenti del sito carrefour.fr che erano rimasti inattivi da cinque a dieci anni.
Inoltre, nel caso di specie, il comitato ristretto ritiene eccessivo un periodo di conservazione di 4 anni per i dati dei clienti dopo il loro ultimo acquisto.
Tale durata, infatti, inizialmente adottata dall’azienda, supera quanto appare necessario nel campo della grande distribuzione, tenendo conto delle abitudini di consumo dei clienti che effettuano prevalentemente acquisti regolari.
Durante il procedimento, la società CARREFOUR FRANCE ha impegnato risorse significative per apportare le modifiche necessarie per renderlo conforme al GDPR.
In particolare, tutti i dati troppo vecchi sono stati cancellati.
Una violazione dell’obbligo di agevolare l’esercizio dei diritti (art. 12 GDPR)
La società CARREFOUR FRANCE ha richiesto, salvo opposizione alla prospezione commerciale, un documento d’identità per qualsiasi richiesta di esercizio dei diritti.
Questa richiesta sistematica non era giustificata poiché non c’erano dubbi sull’identità delle persone che esercitavano i loro diritti.
La società, inoltre, non ha potuto dar corso a più richieste per l’esercizio dei diritti entro i termini previsti dal GDPR.
Su questi due punti l’azienda ha modificato le proprie pratiche durante il procedimento.
In particolare, ha messo a disposizione significative risorse umane e organizzative per rispondere a tutte le richieste pervenute entro un periodo inferiore a un mese.
Mancato rispetto dei diritti (articoli 15, 17 e 21 del RGPD e L34-5 del Codice postale e delle comunicazioni elettroniche)
Prima di tutto, la società CARREFOUR FRANCE non ha risposto a diverse richieste di persone che desideravano accedere ai propri dati personali.
L’azienda ha contattato tutte le persone interessate durante la procedura.
Successivamente, in diversi casi, l’azienda non ha proceduto alla cancellazione dei dati richiesti da più persone quando avrebbe dovuto farlo.
Anche su questo punto l’azienda ha accolto tutte le richieste durante il procedimento.
Infine, la società non ha tenuto conto di diverse richieste di persone che si sono opposte alla ricezione di pubblicità tramite SMS o e-mail, in particolare a causa di errori tecnici occasionali.
L’azienda è diventata conforme durante la procedura anche su questo punto.
Una violazione dell’obbligo di trattare i dati in modo corretto (articolo 5 del GDPR)
Quando una persona che si abbona alla carta Pass (carta di credito che può essere allegata all’account fedeltà) desiderava aderire al programma fedeltà, doveva spuntare una casella indicando che accettava che CARREFOUR BANQUE avrebbe comunicato il proprio nome a “Carrefour loyalty”, il loro nome e indirizzo e-mail.
CARREFOUR BANQUE ha esplicitamente indicato che non erano stati trasmessi altri dati.
La CNIL ha tuttavia osservato che sono stati trasmessi altri dati, come l’indirizzo postale, il numero di telefono e il numero dei suoi figli, sebbene la società si sia impegnata a non trasmettere altri dati.
Su questo punto, l’azienda ha cambiato le sue pratiche durante la procedura.
Ha completamente rinnovato la sua procedura di abbonamento online per la carta Pass e le persone sono ora informate di tutti i dati trasmessi a CARREFOUR FRANCE.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL
Mi auguro che questo post possa essere di aiuto e stimolo ad una verifica se i dati che i Clienti ci forniscono sono correttamente conservati e resi disponibili.
Ricordandoci che “i dati non si possono conservare in eterno” …