La Commission Nationale de l’Informatique et des Libertés (CNIL), con le delibere 008 e 009 dello scorso 18 novembre, ha sanzionato le società Carrefour France e Carrefour Banque, facenti parte della catena di supermercati più estesa d’Europa.
I sopracitati provvedimenti della CNIL offrono un interessante spunto per l’analisi del vasto novero di violazioni della disciplina del Regolamento (UE) 679/2016 (GDPR).
L’ammontare totale delle sanzioni si aggira attorno a 3 milioni di euro. Più che il quantum, riveste centrale interesse il criterio utilizzato dall’Autorità nel calcolo del fatturato totale in relazione al quale è stata quantificata la sanzione. La CNIL ha adottato la nozione di “impresa” vigente all’interno della normativa antitrust, segnalando come la partecipazione alla raccolta dei dati e soprattutto i benefici da questa prodotti accomunino l’intero Gruppo Carrefour. A seguito di questa interpretazione, l’Autorità francese ha preso in considerazione il fatturato totale dell’intero gruppo societario non limitandosi a considerare il solo fatturato delle società che formalmente hanno realizzato le violazioni.
Violazioni del principio di informazione.
Con riguardo alla violazione del principio di informazione, la CNIL ha constatato la mancanza del requisito fondamentale dell’accessibilità delle informative che, ai sensi dell’art. 13 GDPR, il titolare del trattamento deve rendere all’interessato; in particolare, le privacy policy del sito web e del programma di fidelizzazione dei clienti di Carrefour France sono state collocate in fondo al documento riguardante termini e condizioni, risultando non immediatamente visionabile da parte dell’interessato.
Ulteriore elemento patologico è rappresentato dal mancato rispetto del principio di chiarezza. La violazione, in questo caso, è stata causata dall’utilizzo di formule eccessivamente generiche, quale, a titolo esemplificativo: «le categorie di dati trattati potranno essere ad esempio…». Inoltre, le informative risultano incomplete, non includendo al loro interno l’indicazione del titolare del trattamento, della base giuridica del trattamento e di possibili trasferimenti di dati personali al di fuori dell’UE.
Violazione per mancata determinazione del corretto periodo di conservazione dei dati.
Il secondo ordine di violazioni attiene alla mancata determinazione di un adeguato periodo di conservazione dei dati personali. Carrefour France conservava i dati personali dei clienti membri del programma di fidelizzazione dei clienti per un periodo di 4 anni dall’ultima attività in uno dei punti vendita Carrefour. Tale periodo risulta per la CNIL eccessivo, data la regolarità con la quale i membri di un programma di fedeltà si recano nello stesso store. Inoltre, l’istruttoria della CNIL ha evidenziato l’incapacità di Carrefour France di rispettare il periodo di conservazione prestabilito, rilevando la presenza di dati personali dei membri del programma fedeltà anche dopo dieci anni dall’ultima attività del cliente.
Mancato riscontro alle istanze dei soggetti interessati.
Anche nel dare riscontro alle istanze degli interessati, la CNIL ha sottolineato gravi mancanze da parte di Carrefour France. In primo luogo, la società poneva in essere sistematiche violazioni richiedendo continuamente agli interessati di fornire documenti di identità per permettere l’esercizio dei diritti previsti dal GDPR. L’Autorità francese ha sottolineato che la richiesta di produzione di documenti di identità sarebbe lecita solo in caso di effettivi dubbi riguardo l’identità dell’interessato e che, nel caso in questione, eccedesse il principio di minimizzazione. In secondo luogo, Carrefour France ha fornito risposta alle istanze degli interessati con notevole ritardo, prolungatosi anche fino a 9 mesi, e, durante tale periodo, all’interessato non veniva fornita alcun tipo di informazione riguardo lo stato della sua istanza.
Violazione della disciplina in materia di cookie.
Con riguardo all’utilizzo dei cookies, la CNIL ha constatato che sia Carrefour Banque sia Carrefour France si sono avvalsi sistematicamente di alcune categorie di Cookies analitici cui utilizzo è consentito solo previo ottenimento del consenso da parte dell’interessato. Tuttavia, non sono state previste misure in grado di prevedere l’utilizzo di questi strumenti solo a seguito della prestazione del consenso dell’interessato.
Mancata adozione di efficaci misure di sicurezza.
I dati personali dei clienti, secondo l’Autorità francese, non sono stati opportunamente tutelati: le fatture dei clienti erano accessibili tramite URL non protetto da meccanismi di autenticazione preventiva, permettendo dunque a chiunque di accedere ai dati contenuti.
Ulteriore violazione è stata determinata dalla circostanza che la CNIL non sia stata debitamente avvisata dell’avvenimento di un attacco informatico costituito da 800.000 tentativi di connessione da 10.000 indirizzi IP che avrebbe causato 4.000 autenticazioni e 275 accessi effettivi agli account dei clienti.
Carrefour France ha negato di essere obbligata a notificare il data breach ritenendo improbabile che tale violazione potesse comportare un reale rischio per diritti e libertà delle persone fisiche. Osservazioni contestate dall’Autorità francese che ha sottolineato il pericolo costituito dal fatto che la maggior parte degli account utilizzati dagli utenti riportano come credenziali per l’autenticazione la stessa combinazione di indirizzo e-mail e password.
Violazione del principio di correttezza del trattamento.
Carrefour Banque, all’interno delle informative privacy fornite ai clienti, ha dichiarato di non trasmettere a soggetti terzi informazioni differenti da cognome, nome e indirizzo e-mail. La CNIL ha invece constatato la trasmissione di informazioni quali l’indirizzo postale, il numero telefonico e il numero dei componenti del nucleo familiare dei clienti.
L’efficacia della sanzione.
L’ammontare delle sanzioni comminate a seguito della constatazione delle violazioni sopra elencate è di 2.250.000 € per Carrefour France e di 800.000 € per Carrefour Banque. Per la prima volta dalla sua istituzione, la CNIL ha fornito dettagli circa gli elementi presi in considerazione per il calcolo della sanzione:
La nozione di “impresa” adottata dall’Autorità francese attinge dal diritto antitrust europeo; secondo la teoria dell’“unità economica”, entità economiche collegate tra loro, seppur giuridicamente distinte, sono considerate come un’unica entità ai fini dell’applicazione delle regole della concorrenza. Da ciò discende che nel caso di specie, il fatturato globale preso in considerazione ai fini della comminazione della sanzione comprende anche il fatturato di Carrefour Hypermachés (che ammonta a circa 14,3 miliardi di euro) e Carrefour Proximité (636 milioni di euro). Entrambe le società, parte dello stesso gruppo economico, avrebbero infatti partecipato e beneficiato della raccolta dei dati effettuata formalmente da Carrefour France e Carrefour Banque.
