Il CNIL e il caso Carrefour France

Una non corretta conservazione dei dati personali può essere il sintomo di…gravi criticità strutturali...
La recente sanzione amministrativa di 2.250.000 €, irrogata il 18 novembre 2020 dal CNIL – Commission Nationale del l’Informatique et des libertès – alla Carrefour France, nel sottolineare la grande attenzione dell’Autorità di controllo francese sul tema dei termini di conservazione dei dati personali, ricorda a tutti gli addetti ai lavori quanto questa tipologia di trattamento sia spesso sottovalutata o non considerata con la dovuta attenzione. La problematica può assumere vieppiù rilevanza quando si riferisce a titolari del trattamento che gestiscono centinaia di migliaia, se non milioni, di dati personali.
Un intervento sanzionatorio di analogo tenore si era avuto, sempre a cura del CNIL, il 28 maggio 2019, con la contestazione di una sanzione amministrativa, pari a 400.000 €, nei confronti della Sergic (società specializzata nello sviluppo, acquisto, vendita, affitto e gestione di proprietà immobiliari).
È da precisare che in entrambi i casi la violazione degli obblighi di conservazione si è inserita in un più ampio novero di condotte irregolari con riguardo ad interessati (clienti).
Focalizziamo però l’attenzione sulla conservazione illecita contestata alla Carrefour.
Dopo una puntuale attività istruttoria la Commissione ha rilevato che Carrefour France ha conservato dati personali per un periodo superiore a quello necessario agli scopi per i quali erano trattati. I dati in questione sarebbero riferiti ai clienti membri del programma fedeltà e agli utenti del proprio sito.
I clienti della grande distribuzione, a maggior ragione quelli di un programma di fidelizzazione, di solito ritornano regolarmente negli stessi punti vendita. Pertanto, se un cliente non intrattiene rapporti commerciali con l’azienda da diversi anni non deve più essere considerato un cliente attivo.
È stato riscontrato che la Carrefour France aveva realizzato un programma di fidelizzazione finalizzato alla “prospezione delle vendite”, come risultante dalle informazioni sul modulo di adesione. Per tale funzione di prospecting (intesa come la capacità di identificare e qualificare i potenziali/probabili compratori) la Commissione ha ritenuto che potesse ritenersi adeguato un termine di conservazione non superiore a 3 anni.
La società, tuttavia, avrebbe inizialmente riferito che i dati dei clienti fidelizzati erano stati conservati in un database attivo per quattro anni dalla loro ultima attività (inteso, a seconda della situazione, come l’ultima transazione che ha comportato il passaggio della carta fedeltà alla cassa di un negozio, l’ultima transazione online, l’ultima modifica dello spazio personale sul sito web dell’azienda o l’ultimo contatto con il servizio cliente).
A seguito di più approfonditi controlli veniva rilevato che i dati riguardanti i clienti inattivi erano conservati ben oltre i quattro anni inizialmente indicati. In particolare:
  • più di 28 milioni di clienti membri del programma fedeltà erano conservati sebbene inattivi da cinque a dieci anni,
  • oltre 750.000 utenti del sito carrefour.fr, erano invece conservati, sebbene inattivi, dai cinque a dieci anni,
  • per quasi 20.000 utenti l’ultimo acquisto era risalente addirittura risalente a oltre dieci anni prima.

La Commissione ha anche contestato la conservazione, per un periodo variabile tra uno e sei anni, dei documenti di identità richiesti agli interessati nell’esercizio di un diritto. In proposito è stato osservato che una volta accolta la richiesta, la società non avesse più bisogno di conservare copia del documento di identità del richiedente. L’unico scopo di fornire questo documento era quello di giustificare l’identità della persona che effettuava la richiesta per cui non era necessario conservarlo una volta che l’identità fosse stata confermata. Al fine di dimostrare di aver effettivamente accolto la richiesta, la società avrebbe potuto realizzare, a fini contenziosi, un’archiviazione intermedia (data base separato), conservando solo la lettera di risposta favorevole. Detta precauzione è stata indicata dal CNIL anche nel caso della Sergic che aveva addirittura tenuto in “base attiva”, senza limitazione di durata, tutti i documenti trasmessi dai candidati che non avevano aderito all’affitto oltre la durata necessaria per l’assegnazione dell’alloggio.

In sede di quantificazione delle sanzioni la Commissione ha tenuto presente i criteri indicati nell’art. 83 del GDPR con particolare riferimento alla natura, gravità e durata della violazione. In questo caso la fattispecie si è caratterizzata per l’elevato numero dei dati personali e per i lunghi periodi di conservazione degli stessi. Per quanto riguarda il numero di persone interessate, questo criterio consente di considerare come un’aggravante il fatto che l’illecita conservazione abbia riguardato diversi milioni di persone. Di contro il limitato danno provocato agli interessanti, la collaborazione della società durante tutto il procedimento sanzionatorio e gli sforzi significativi compiuti al fine di raggiungere la successiva piena conformità, sono stati giudicati come fattori attenuati della gravità delle condotte. 

L’analisi dei richiamati provvedimenti permette, in definitiva, di evidenziare come la non corretta conservazione dei dati non di rado rappresenti il sintomo di gravi carenze “strutturali” con riferimento ad un sistema di gestione di data protection gravemente deficitario sulle data retention policies. Questo tipo di violazioni evidenziano come le menzionate criticità si riflettano “a cascata” su ulteriori ed importanti ambiti. Infatti:
  1. la mancata valutazione privacy by design non permette di “costruire” processi di lavoro in grado di tenere sotto costante controllo i differenti termini di conservazione dei trattamenti né di implementare procedure per la distruzione/cancellazione selettiva;
  2. una data retention policy carente può determinare grossi problemi nelle organizzazioni complesse e ramificate sul territorio in quanto lo storage, cartaceo o digitale, di milioni di dati potrebbe non essere assistito da una puntuale conoscenza degli applicativi o degli archivi presso cui fisicamente si trovano i dati (storici o correnti);
  3. la conservazione, per anni, di milioni di dati, se non assistita da un aggiornato inventario degli archivi, può rendere oltremodo difficile dare attuazione ai diritti degli interessati. I tempi di elaborazione delle richieste e delle risposte potrebbero allungarsi in modo eccedente ai 30 gg canonici. Analogamente le risposte agli interessati potrebbero non essere corrette, proprio perché non si sa con esattezza dove i dati si trovino e chi ne abbia la disponibilità;
  4. le informative privacy, ex art. 13/14 del GDPR, e i contenuti del registro dei trattamenti potrebbero riportare dati non corretti. Capita spesso, infatti, che i termini di conservazione formalmente comunicati agli interessati o riportati nell’apposito registro ex art. 30 del GDPR, non risultino allineati con la reale operatività dell’azienda.

Per chi fosse interessato può leggere i richiamati provvedimenti del CNIL ai seguenti indirizzi:

  1.  Carrefour France 
  2.  Sergic.


Dott. Gaetano Mastropierro 
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma
Dott. Alfredo Sanfelice 
Consulente privacy e antiriciclaggio, DPO – Referente Assodata per la provincia di Roma