GDO: France e Banque di Carrefour violano il GDPR
La CNIL (Commission Nationale de l’Informatique et des Libertes -Autorità di controllo per la protezione dei dati francese) è intervenuta per sanzionare la società Carrefour per diverse violazioni delle disposizioni del GDPR, specialmente in riferimento ai principi, alla trasparenza e ai diritti. L’importo complessivo della sanzione ammonta a oltre 3 milioni di euro.
Sono stati i diversi reclami proposti dagli interessati che hanno attivato i controlli dell’Autorità francese, che nel 2019 ha effettuato numerose verifiche presso le società del gruppo francese (Carrefour France e Carrefour Banque). Da queste verifiche sono emerse gravi carenze sotto il profilo del rispetto della disciplina sulla protezione dei dati, dei clienti e non.
Una delle principali violazioni ha avuto a riguardo alle Informative ai sensi degli art. 13 GDPR. Infatti, sul sito web aziendale non vi erano informazioni, agevolmente reperibili, sul trattamento dei dati personali degli utenti che desideravano aderire alle fidelity card. Una volta reperite poi, le stesse risultavano comunque non trasparenti, per mancanza di chiarezza e di termini precisi, specialmente in riferimento alle basi giuridiche e al periodo di conservazione. Per quest’ultimo aspetto, nello specifico, Carrefour France dichiarava dei termini di conservazione che poi non rispettava. I dati di oltre 28 milioni di clienti inattivi da anni erano comunque conservati nel programma fedeltà, così come i dati di migliaia di utenti navigatori ormai inattivi sul sito di riferimento. Altro aspetto, oggi molto importante, riguarda il trasferimento dei dati al di fuori dei paesi extra UE. Anche su questo punto l’Autorità ha reputato insufficienti le indicazioni da parte di Carrefour.
Altro aspetto evidenziato dall’Autorità riguarda i Cookies, poiché oggi la disciplina prevede la necessità di indicare agli utenti la presenza o meno di cookie di profilazione, indicando anche la possibilità di esprimere un apposito consenso. Nel caso del sito di Carrefour vi erano invece cookie di profilazione automatici utilizzati per pubblicità mirata.
In riferimento ai diritti degli interessati ai sensi degli artt. 12 e ss del GDPR le violazioni anche in questo caso, sono state diverse. Da una parta l’azienda aveva introdotto delle policy molto rigide per la gestione delle richieste, ma dall’altra poi Carrefour stessa non le rispettava, facendo passare ogni termine previsto per dare riscontro ai clienti, specialmente in caso di richiesta di cancellazione dei dati o di opposizione alla ricezione di pubblicità.
Ulteriore aspetto, non di poco conto, è che qualora un interessato si fosse abbonato al servizio della fidelity card quale carta di pagamento, veniva richiesto di spuntare un consenso affinché la Banca Carrefour comunicasse nome e indirizzo e-mail a Carrefour Loyalty. Oltretutto, nonostante nell’informativa veniva dichiarato che non vi era comunicazione di ulteriori dati, è stata accertato che venivano trasmessi anche l’indirizzo postale, il numero di telefono e il numero di figli del cliente. Tutti aspetti ricondotti nell’alveo della violazione del principio di correttezza sancito all’art. 5 GDPR.
Nonostante gli sforzi dimostrati dalla società per conformare tutte le violazioni individuate, l’Autorità ha proceduto a emettere due pesanti sanzioni per Carrefour France e Carrefour Banque, rispettivamente di € 2.250.000 e € 800.000.
A far seguito alle sanzioni, poi, sicuramente ci saranno notevoli danni di immagini, specialmente in riferimento al programma fedeltà aziendale.