Privacy nella GDO: come essere compliant in 5 semplici mosse
2 Novembre 2020 in DPO as a Service
Nel settore della GDO (o “grande distribuzione organizzata”) essere compliant alla normativa privacy significa prestare particolare attenzione ad alcuni aspetti legati alla peculiare natura e delicatezza dei dati tipicamente trattati. Tale delicatezza, inoltre, riguarda, l’enorme mole di dati che, quotidianamente, è acquisita dai titolari e nelle numerose informazioni che è possibile desumere dalla elaborazione di tali dati (si pensi a quanti elementi riferibili al consumatore è possibile acquisire dal solo scontrino).
Occorre preliminarmente evidenziare come i trattamenti posti in essere nella GDO siano prevalentemente di natura obbligatoria (in quanto connessi ad adempimenti fiscali o obblighi di legge) e contrattuale (quale, ad esempio, il trattamento derivante dalla sottoscrizione della carta di fedeltà, consistente in un contratto di fidelizzazione), oltre che finalizzati all’esecuzione di attività di marketing e profilazione del cliente.
Affinché tali finalità siano perseguite nel rispetto dei principi di cui al Reg. UE 679/2016 (o “GDPR”) ed al D.lgs. 196/03 (o “Codice Privacy”), si consiglia di porre in essere le seguenti 5 semplici azioni:
1) Fornire al consumatore un’informativa che sia pienamente trasparente, oltre che redatta secondo logiche coerenti con l’attività concretamente posta in essere dal titolare, contenente tutti gli elementi indicati dagli artt. 12-13-14 GDPR: dotarsi di un’informativa corretta è, infatti, un aspetto fondamentale e strategico, che consente anche un esercizio semplificato, da parte dell’interessato, dei propri diritti;
2) Ove si perseguano finalità di profilazione, progettare il trattamento tenendo necessariamente conto dei principi contenuti dai provvedimenti emanati sul tema da parte dell’Autorità Garante nazionale: tra tutti, si cita il provvedimento emanato dal Garante italiano il 24 febbraio 2005 , nel quale sono state gettate le basi dei principi del trattamento di profilazione nella grande distribuzione organizzata e che risultano, tuttora, aventi piena validità. Ciò che si richiede al titolare è, in particolare, di raccogliere e gestire correttamente il consenso fornito dagli interessati, tenere traccia della storia del consenso stesso e della manifestazione di volontà del consumatore, oltre che di conservare i dati raccolti nel pieno rispetto del principio di proporzionalità;
3) Impostare in modo efficace il sistema di CRM (O “Customer Relationship Management”) ed implementarlo periodicamente affinché consenta al titolare di creare profili di autorizzazione individuali per l’accesso al sistema che siano coerenti con le finalità perseguite dal singolo addetto al trattamento, sulla base delle mansioni individualmente svolte;
4) Adottare procedure di gestione delle richieste degli interessati, ai sensi degli artt. 15 – 22 GDPR, che consentano di fornire una risposta in tempi celeri e dal corretto contenuto, specie nei casi in cui sia esercitato il diritto di accesso ai dati o di portabilità degli stessi (ossia il diritto a ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti a un titolare del trattamento, nonché il diritto di trasmettere tali dati a un altro titolare senza impedimenti). Gestire correttamente le richieste degli interessati risulta particolarmente complesso in quanto non sempre è agevole comprendere quali siano i dati oggetto dell’obbligo di consegna e quali, invece, siano coperti dal segreto aziendale, in quanto relativi ad aspetti prettamente “tecnici” (ad esempio, il codice del prodotto o il peso dello stesso non rappresentano dati personali). L’estrazione dei dati, dunque, deve avvenire in modo opportuno e corretto: non sarà necessario estrarre dati non personali o facenti parte del patrimonio aziendale;
5) Individuare i potenziali trattamenti ad alto rischio e, ove presenti, effettuare, prima di procedere al trattamento, una Valutazione di Impatto (o “DPIA”) ai sensi dell’art. 35 GDPR, laddove questi ultimi prevedano il monitoraggio sistematico dell’interessato o si faccia uso di nuove tecnologie (ad es. videosorveglianza all’interno e all’esterno dei locali aziendali).
P4I – Partners4Innovation