Il contenzioso riguarda i programmi fedeltà della nota azienda italiana di abbigliamento, a cui i clienti possono iscriversi acquistando direttamente dal sito web e/o sottoscrivendo una fidelity card in uno dei punti vendita del gruppo.
Dalle verifiche del Garante è emerso che i dati raccolti in tal modo da Benetton venivano utilizzati per fini di marketing e profilazione, ed erano conservati senza adeguate misure di sicurezza e senza limiti temporali. Tre sono quindi i principi del Regolamento europeo in fatto di privacy (GDPR) a essere stati violati:
Nell’archivio dati di Benetton sono state trovate informazioni su acquisti fatti dal 2015 in poi, anche da ex clienti, completi di dettagli sugli scontrini emessi e i punti accumulati da ciascuno. Ad aggravare la situazione, il Garante con il Nucleo Speciale privacy della Guardia di Finanza ha accertato anche che l’accesso a questa banca dati poteva avvenire liberamente in tutti i punti vendita europei del marchio, ad opera di tutti i commessi con un unico account e un’unica password.
In considerazione della gravità della violazione, dell’alto numero di utenti interessati e della reiterazione dell’illecito, il Garante ha multato Benetton per 240mila euro e imposto al gruppo di predisporre adeguate misure per la cancellazione (e/o anonimizzazione) dei dati degli ex clienti, e la protezione dei clienti attuali secondo i principi sanciti dal GDPR.