La CNIL (Commission Nationale de l’Informatique et des Libertés) in seguito a diversi controlli presso le due società del gruppo francese, Carrefour France (settore retail) e Carrefour Banque (settore bancario), ha rilevato gravi carenze nel trattamento dei dati personali dei clienti e dei prospect, sanzionandole con due pesanti multe, rispettivamente di 2.250.000 euro e 800.000 euro, a causa delle accertate violazioni multiple delle disposizioni del GDPR.

In particolare, la prima violazione riscontrata dal garante francese riguarda gli obblighi di informazione da fornire agli interessati ai sensi dell’art. 13 del GDPR, in quanto gli utenti dei siti che desideravano aderire al programma fedeltà o alla fidelity card non riuscivano a reperire agevolmente le informative sul trattamento dei loro dati personali, ed in ogni caso, anche una volta reperite, le predette risultavano generali ed imprecise.

Inoltre, è stato rilevato che all’apertura dei siti web diversi cookie di profilazione utilizzati per la pubblicità mirata si inserivano automaticamente nella memoria del computer dell’utente in assenza di un suo preventivo consenso.

Altra violazione accertata dalla CNIL, concerne i periodi di conservazione dei dati dichiarati da Carrefour France ma mai rispettati, in quanto sono state conservate le informazioni di oltre 28 milioni di clienti nell’ambito del programma fedeltà rimasti inattivi da diversi anni (in certi casi anche dieci anni), e lo stesso per altri 750.000 utenti del sito che, pur essendo rimasti inattivi da cinque a dieci anni, non erano stati mai cancellati.

Anche nell’esercizio dei diritti ai sensi dell’art. 12 del GDPR, gli interessati non erano affatto agevolati, anzi la prassi era quella di richiedere loro in modo sistematico un documento d’identità per qualsiasi richiesta che volessero presentare a Carrefour France, anche quando non vi erano dubbi sull’identità della persona e quindi in assenza di giustificato motivo.

Sono state riscontrate altresì gravi violazioni in materia di correttezza del trattamento dati ai sensi dell’art. 5 del GDPR: infatti quando un soggetto si abbonava alla fidelity card (che funge anche da carta di credito per effettuare i pagamenti dello shopping), gli veniva richiesto di spuntare una casella indicando di accettare che la Banca Carrefour comunicasse il suo nome e il suo indirizzo email a “Carrefour Loyalty”, tuttavia la CNIL ha accertato che venivano effettivamente trasmessi anche ulteriori dati, tra cui l’indirizzo postale, il numero di telefono e finanche il numero dei figli del cliente.

Sono evidenti i rischi a cui vanno incontro le società europee ed extra UE che trattano i dati di cittadini europei. Sempre più necessari sono la valutazione dei rischi e l’adozione di adeguate misure di sicurezza organizzative e tecniche. Il rispetto dei principi di privacy by design, privacy by default e dell’accountability sono ormai da considerarsi imprescindibili in ogni realtà aziendale.

Tutte le società, per evitare le sanzioni previste dal GDPR, devono dotarsi di veri e propri modelli organizzativi per la protezione dei dati personali.