Carrefour frana sulla privacy: sanzioni per oltre 3 milioni di euro
L’autorità di controllo per la protezione dei dati francese ha sonoramente sanzionato Carrefour (la società del retail e la banca del gruppo) per un importo complessivo di oltre 3 milioni di euro a causa violazioni multiple delle disposizioni del Gdpr, particolarmente riguardanti le informazioni fornite alle persone e il rispetto dei loro diritti.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Ed è stato proprio dai numerosi reclami ricevuti dagli interessati, che la Cnil (Commission Nationale de l'Informatique et des Libertés) aveva effettuato vari controlli tra maggio e luglio del 20129 presso le due società del gruppo francese, Carrefour France (settore retail) e Carrefour Banque (settore bancario), rilevando gravi carenze nel trattamento dei dati personali dei clienti e anche di quelli potenziali.
Informative Privacy - La prima violazione riscontrata dal garante francese era in bella evidenza sul web, e riguardava gli obblighi di informazione da fornire agli interessati ai sensi dell’ar.13 del Gdpr, in quanto gli utenti dei siti www.carrefour.fr e www.carrefour-banque.fr che desideravano aderire al programma fedeltà o alla fidelity card non riuscivano a reperire agevolmente le informative sul trattamento dei loro dati personali, e anche quando finalmente riuscivano ad accedervi i documenti risultavano poco chiari e difficili da comprendere, anche perché scritti in termini generali ed imprecisi. Nel caso del sito www.carrefour.fr, insufficienti sono state reputate anche le spiegazioni fornite riguardo al trasferimento dei dati al di fuori dell’Unione Europea, e la stessa base giuridica del trattamento.
Cookies – Sempre controllando i siti web di Carrefour, i funzionari dell’autorità notavano inoltre che quando un utente visitava sia quello del retail che quello della banca, diversi cookie di profilazione utilizzati per la pubblicità mirata si inserivano automaticamente nella memoria del computer dell’utente senza neanche chiedere un preventivo consenso e senza necessità del più banale dei click.
Conservazione dei dati – Altra violazione accertata dalla Cnil, riguarda i periodi di conservazione dei dati dichiarati da Carrefour France ma non rispettati, in quanto le informazioni di oltre 28 milioni di clienti rimasti inattivi da diversi anni (in certi casi anche dieci anni) erano stati comunque conservati nell'ambito del programma fedeltà, e lo stesso per altri 750.000 utenti del sito www.carrefour.fr che, pur essendo rimasti inattivi da cinque a dieci anni, non erano stati mai cancellati.
Diritti degli interessati - Anche nell’esercizio dei diritti ai sensi dell’art.12 del Gdpr, gli interessati non erano affatto agevolati, anzi la prassi era quella di richiedere loro in modo sistematico un documento d’identità per qualsiasi richiesta che volessero presentare a Carrefour France, anche quando non vi erano dubbi sull’identità della persona e senza alcun giustificato motivo. E se Carrefour era alquanto fiscale con le rigide procedure che aveva arbitrariamente introdotto, agli ispettori non è passato però inosservato che non era invece altrettanto attenta a rispettare i termini per dare riscontro ai clienti, che dovevano penare oltremodo per essere accontentati, peggio ancora se le richieste riguardavano la cancellazione dei loro dati personali. Infatti in diversi casi in cui le persone si erano opposte alla ricezione di pubblicità tramite sms o email, in particolare a causa di errori tecnici occasionali, l’azienda non aveva proceduto alla cancellazione dei dati come richiesto dagli utenti già irritati per i fastidiosi messaggi, e che comprensibilmente si rivolgevano poi all’autorità per la privacy.
Correttezza del trattamento - Quando una persona si abbonava poi alla fidelity card che funge anche da carta di credito per effettuare i pagamenti dello shopping, le era richiesto di spuntare una casella indicando di accettare che la Banca Carrefour avrebbe comunicato il suo nome e il suo indirizzo email a "Carrefour Loyalty", ed anche se Carrefour Banque aveva esplicitamente dichiarato che non sarebbero stati trasmessi altri dati, la Cnil ha tuttavia accertato che, nonostante la promessa di non condividere altre informazioni, effettivamente altri dati sono stati trasmessi, tra cui l'indirizzo postale, il numero di telefono, e pure il numero dei figli del cliente. E anche in questo aspetto l’autorità ha quindi riscontrato un violazione dell'obbligo di trattare i dati in modo corretto come previsto dall’art. 5 del Gdpr.
Se come affermò lo scrittore Curzio Malaparte “la necessità muove anche gli ignavi ad operare”, è pur vero che sotto la morsa dell’autorità di controllo le due società del gruppo Carrefour si sono rimboccate le maniche per cercare di salvare il salvabile dalla frana che loro stesse avevano provocato, e nei documenti messi a verbale dalla Cnil viene rimarcato più volte di aver “rilevato da parte di esse sforzi significativi che hanno consentito di conformare tutte le violazioni individuate”, anche se ovviamente tutto questo non ha potuto esentare Carrefour France e Carrefour Banque dal procedimento sanzionatorio con due pesanti multe, rispettivamente di 2.250.000 euro e 800.000 euro, per non parlare dei danni reputazionali che adesso dovrà inesorabilmente scontare un gruppo leader della grande distribuzione che dovrebbe puntare tutto sulla fiducia del cliente.