Gli operatori del settore della grande distribuzione organizzata (GDO) raccolgono quotidianamente grandi quantità di dati, personali e non, da cui è ormai possibile dedurre informazioni di tutti i tipi. Trattare correttamente queste enormi moli di dati, a partire dai dati personali dei clienti da cui, ad esempio, possono ricavarsi abitudini, preferenze e motivazioni di acquisto, non è solo un modo per adeguarsi alla normativa in materia di protezione dei dati personali delle persone, ma rappresenta sempre più anche e soprattutto un valore strategico differenziante. Progettare la customer experience dei propri clienti considerando che la governance dei dati raccolti e trattati è oggi parte integrante e non trascurabile del brand, poiché getta le basi per una relazione realmente trasparente, e destinata a durare nel tempo, perché fondata su fiducia e responsabilità reciproche.

I cambiamenti che stanno investendo, o investiranno presto, i concetti tradizionali di loyalty e marketing, anche in settori molto tradizionali come quello della GDO, sono profondi. Un primo segnale in questa direzione arriva dalla Francia, protagonista l’autorità garante, la Commissione Nationale de L’Informatique et des Libertés (CNIL), che il 26 novembre scorso ha sanzionato1 Carrefour France (settore retail) e Carrefour Banque (settore bancario) per violazioni del GDPR.

I trattamenti posti in essere dalla GDO sono prevalentemente di natura obbligatoria o contrattuale, ma anche finalizzati ad attività di marketing e profilazione dei clienti.

La trasparenza nelle informative, la rapidità nel rispondere a richieste di accesso o modifica dei dati e il rispetto dei criteri di minimizzazione e anonimizzazione dei dati sono imprescindibili per gli operatori di questo mercato: oltre che per la possibilità che vengano comminate sanzioni, costituiscono anche un fattore di rischio per l’immagine e la reputazione del marchio, e i danni, nel caso in cui questi principi venissero violati, potrebbero superare abbondantemente i vantaggi “indebitamente” ottenuti.

Dopo diverse segnalazioni dei cittadini francesi l’autorità garante, tra maggio e luglio del 2019, ha condotto un’indagine, rilevando carenze e vulnerabilità nel trattamento e nella conservazione dei dati dei clienti. Il presidente della CNIL ha dunque deciso di avviare il procedimento sanzionatorio nei confronti delle due società.

Al termine del periodo istruttorio, la “formation restreinte”, e cioè l’organismo incaricato di comminare le sanzioni, ha multato Carrefour France e Carrefour Banque rispettivamente per 2.250.000 euro e 800.000 euro.

Vediamo ora per quali violazioni, nello specifico, sono state sanzionate le due società:

Informative difficilmente accessibili, incomprensibili e incomplete

Le informazioni fornite agli utenti o a chi volesse aderire alle offerte o ai programmi fedeltà erano difficilmente accessibili, incomprensibili e incomplete, non essendo precisata la durata del periodo di conservazione dei dati.

Violazioni sull’utilizzo e sull’informativa dei cookie

L’autorità ha notato che quando un utente si collegava al sito carrefour.fr o carrefour-banque.fr, diversi cookie risultavano già attivi di default. Trattandosi di cookie pubblicitari, il consenso dell’utente sarebbe dovuto essere esplicito, e raccolto prima della loro attivazione.

Violazione dell’obbligo di limitare il periodo di conservazione dei dati

La società Carrefour France non ha rispettato i periodi di conservazione dei dati che aveva fissato: i dati di quasi trenta milioni di utenti rimasti inattivi da cinque a dieci anni, erano stati conservati nell’ambito del programma fedeltà della società, quando il periodo massimo di conservazione dichiarato era di quattro anni.
L’autorità ha inoltre ritenuto eccessivo un tale periodo di conservazione, poiché non necessario in un settore come quello della grande distribuzione, dove i consumatori spesso effettuano acquisti regolari, e per poter offrire i servizi richiesti dai consumatori non è richiesto un così ampio periodo di conservazione.

Violazione dell’obbligo di agevolare l’esercizio dei diritti

Carrefour France richiedeva un documento d’identità per qualsiasi richiesta di esercizio di diritto da parte degli interessati. Tale procedura non era necessaria secondo l’autorità garante, poiché non vi era alcun dubbio sull’identità dell’interessato visti i processi di autenticazione necessari per esercitare i diritti.
Inoltre, nonostante la pratica sproporzionata, la società non era in grado di evadere le richieste di esercizio di un diritto degli interessati nei termini previsti dal regolamento.

Mancato rispetto dei diritti degli interessati

La società Carrefour France non ha risposto a gran parte delle richieste di cancellazione dei dati che venivano inviate dagli interessati, e anzi, spesso contattava comunque chi aveva chiesto che i suoi dati venissero rimossi.

Violazione dell’obbligo di trattare i dati in modo corretto

Quando un utente si abbonava alla carta Pass e desiderava in seguito aderire al programma fedeltà, doveva accettare che il proprio nome, cognome e indirizzo e-mail, venissero comunicati da Carrefour Banque a Carrefour Loyalty.
Nonostante la società avesse espressamente indicato che non sarebbe stato trasmesso nessun altro dato, l’autorità garante ha invece rilevato che venivano costantemente trasmessi anche il numero di telefono, l’indirizzo postale e il numero dei figli degli interessati.

Entrambe le società, a partire dall’inizio delle indagini, hanno immediatamente posto rimedio alle violazioni per cui sono state sanzionate, adeguando le proprie informative e rispettando tutte le previsioni normative in materia di trattamento dei dati personali, cancellando i dati degli utenti che lo avevano richiesto in passato, ed istituendo un meccanismo che rendesse visibile agli interessati quali dati fossero trasferiti a Carrefour France dal programma fedeltà.

Dopo più di due anni dall’entrata in vigore del GDPR, appare evidente come, per far si che tutte le società rendano conformi le loro pratiche di trattamento dei dati dei clienti al regolamento, e imparino ad ottenerne i vantaggi che una maggior trasparenza saprebbe offrire, siano ancora necessarie delle sanzioni.

1. CNIL fines Carrefour France 2,25 million € and Carrefour Banque 800,000 €

Photo by Tingey Injury Law Firm on Unsplash