Update | Operazioni di M&A: impatto anche sul trattamento dei dati
Ammonta a un milione e quattrocentomila euro la sanzione che il Garante Privacy ha comminato alla catena di profumerie Douglas (CLICCA QUI per il testo del provvedimento) per aver condotto una serie di attività non conformi alla normativa privacy, in particolare, per quanto riguarda la conservazione a fini marketing dei dati personali dei clienti delle società fuse per incorporazione nella società costituitasi da tale operazione societaria.
Le ispezioni del Garante sono state avviate a seguito del reclamo di un cliente della società, il quale aveva presentato un’istanza di esercizio dei diritti privacy senza però aver ricevuto alcun riscontro dal titolare. Il Garante Privacy aveva dunque deciso di verificare le modalità di gestione, da parte di tale società, delle istanze degli interessati e, più in generale, dei trattamenti effettuati per finalità di marketing e di profilazione.
I trattamenti oggetto di verifica
Dalle ispezioni del Garante Privacy è emerso che nel 2019 l’attuale catena di profumerie Douglas si era costituta dalla fusione per incorporazione di tre società e che tale operazione societaria aveva importato la creazione di un unico database con i dati di titolarità delle società preesistenti.
Nell’ambito delle operazioni di marketing effettuate dalla società così costituitasi, tuttavia, è emerso che i dati dei clienti delle tre preesistenti società che non avevano richiesto la nuova fidelity card di Douglas venivano comunque conservati nel CRM della nuova società. Secondo la difesa di Douglas, la conservazione di tali dati era comunque giustificata sulla base del legittimo interesse della nuova società a permettere l’eventuale sostituzione della precedente fidelity card con quella nuova di Douglas facilitando le operazioni di travaso delle anagrafiche.
Sotto un altro profilo, il Garante ha analizzato le modalità di acquisizione del consenso tramite l’app Douglas, nella cui pagina iniziale venivano mostrati i link: “personalizza i tuoi cookie”, “condizioni generali di vendita”, “informativa dati personali” e “cookie policy”, e l’utente era invitato ad accettare tutte le suddette condizioni con l’unica formula “ok, ho capito, acconsento”.
La decisione del Garante Privacy
Con riferimento alla conservazione dei dati dei clienti delle tre preesistenti società che non avevano attivato la card Douglas, il Garante ha ritenuto tale ulteriore conservazione palesemente ed immotivatamente eccessiva, anche tenuto conto dei termini stringenti (12 mesi per i dati utilizzati per finalità di profilazione; 24 mesi per le finalità di marketing) imposti dal provvedimento generale “Fidelity card’ e garanzie per i consumatori, che, a detta di tale autorità, dovrebbero essere ancora più stringenti dal momento che si trattava di clienti delle società incorporate che non avevano neppure rinnovato la fidelity card.
Analoga valutazione di non conformità è stata fatta più in generale riguardo ai tempi di conservazione previsti da Douglas nell’informativa resa ai propri clienti: secondo il Garante Privacy, Douglas avrebbe dovuto provvedere ad una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti, a prescindere dalla revoca del consenso o da richieste eventualmente provenienti dall’interessato.
Per quanto riguarda la raccolta dei dati tramite l’app, il Garante, invece, ha ritenuto che la configurazione dell’app risultasse complessivamente poco chiara ed ambigua riguardo al reale oggetto del consenso richiesto all’utente, tale per cui il consenso raccolto non potesse considerarsi né libero né specifico; ha dunque ingiunto alla società, inter alia, di modificare l’impostazione di tale app, garantendo una chiara distinzione dell’informativa privacy e dell’informativa dedicata ai cookies – e dei rispettivi consensi – rispetto ai termini contrattuali.
Conclusioni
Il provvedimento del Garante fa chiaramente emergere la necessità per le imprese di prestare grande attenzione alle tematiche in materia di protezione dei dati personali nelle operazioni di M&A: gli aspetti relativi alla privacy, infatti, dovrebbero essere seriamente presi in considerazione sia durante le operazioni di fusione e acquisizione, sia nella eventuale successiva creazione di un unico database, analizzando a priori la correttezza delle fonti di raccolta dei dati per poi adottare le opportune strategie ai fini della conservazione dei dati raccolti dalle società incorporate, operando una selezione delle informazioni preesistenti in base alle successive finalità d’utilizzo e fornendo al contempo agli interessati una informativa trasparente sulle scelte operate nonchè effettuando un successivo trattamento a fini marketing nei limiti dei consensi ricevuti e delle informazioni successivamente rese a tali soggetti, per garantire il rispetto della normativa in maniera continuativa, sulla base del nuovo assetto societario.