Milano, 19 luglio 2023 – Mattina del 24 luglio 2021, giusto due anni fa. L’addetta dello store litiga con una cliente, probabilmente per una questione legata a un prodotto da acquistare. Finisce lì. O almeno così sembra. Sì, perché lo stesso giorno la donna riceve una mail in cui le viene comunicato che le è stata attivata una nuova fidelity card. Peccato che lei non ne abbia mai fatto richiesta. C’è di più: qualcuno le ha pure cambiato le generalità, ribattezzandola poco gentilmente con il nomignolo di "Donzella Svampita". L’indispettita consumatrice, che ricollega immediatamente quella presa in giro all’alterco di qualche ora prima, contatta il servizio clienti: l’operatore le risponde che la sua tessera fedeltà, "anni addietro attivata", è stata effettivamente annullata e sostituita quel giorno stesso con una carta nuova di zecca, e con nome e cognome modificati. La donna scrive al Garante della privacy per valutare eventuali profili di irregolarità nel trattamento dei suoi dati personali, che appaiono lampanti già a un primo esame superficiale.
Nasce da quella segnalazione l’istruttoria dell’Authority presieduta da Pasquale Stanzione, che non si è limitata ad approfondire il singolo caso e che nei giorni scorsi si è chiusa con una vera e propria stangata per La Rinascente spa, marchio centenario di dannunziana ispirazione con punto vendita simbolo in corso Vittorio Emanuele (e altri a Roma, Torino, Firenze, Palermo, Catania, Cagliari e Monza) fondato nel 1917 dall’imprenditore Senatore Borletti (che a sua volta rilevò la catena di negozi creata nel 1865 dai fratelli Bocconi) e dal 2012 di proprietà del colosso thailandese Central Group of Companies.
La società con quartier generale in via Washington dovrà pagare 300mila euro, a meno che non decida di risolvere la controversia entro 30 giorni pagando la metà dell’importo o al contrario di impugnare il provvedimento. In realtà, il capitolo legato a "Donzella Svampita" è stato archiviato a seguito delle controdeduzioni di Rinascente: l’episodio è stato derubricato a "leggerezza di una dipendente ( punita con una sanzione disciplinare, ndr ), che ha violato le istruzioni ricevute nonché, più in generale, un predefinito protocollo". Ha lasciato, invece, strascichi un’altra violazione di sicurezza (in gergo “data breach”) di cui la società si è "autoaccusata": in un’occasione, un disallineamento informatico ha fatto finire per errore gli ordini di 70 utenti nelle mail di altri 5 clienti e-commerce; in quel caso, per il Garante, la spa non è riuscita a garantire "su base permanente la riservatezza dei dati".
Non è finita. Sì, perché, tra il 30 novembre e il 2 dicembre 2021, due ispezioni del Nucleo speciale privacy e frodi tecnologiche hanno passato al setaccio tutte le procedure legate al rapporto coi consumatori, a cominciare dalle 2,8 milioni di fidelity card. Al di là del ruolo di Meta e dell’assenza di dettagli nelle informative sull’utilizzo degli indirizzi di posta elettronica per ricerche via Facebook di nuovi potenziali utenti (pratiche poi corrette in corso d’opera con nuove formulazioni e più informazioni sulle campagne di marketing), nel mirino dell’Authority è finita l’assenza di una "valutazione d’impatto". Cosa vuol dire? Che Rinascente avrebbe dovuto effettuare un accurato controllo preventivo sui potenziali rischi legati all’attività invasiva di profilazione (elaborazione delle caratteristiche dei clienti per suddividerli in gruppi omogenei catalogati per gusti, interessi e comportamenti) e all’elevato numero di persone coinvolte. Criticità sono state evidenziate pure sui tempi di conservazione dei dati, fissati indistintamente a un massimo di 7 anni per più di 800 brand reclamizzati. Conclusione: sì alla multa. Per calcolarne l’ammontare, il Garante ha tenuto conto di aggravanti (durata delle violazioni e ampio ambito territoriale) e attenuanti (assenza di precedenti, tempestiva adozione di correttivi e crisi economica post Covid), arrivando alla cifra di 300mila euro, pari all’1,65% della sanzione massima (18 milioni) e allo 0,066 del fatturato 2021 della spa (453 milioni).