La cadena griega de supermercados Alfa Vita (AB) gestiona un programa de tarjetas de fidelización que permite recopilar datos personales de los compradores. Aun así, la empresa ni siquiera puede cumplir los derechos básicos del GDPR. Cuando la denunciante solicitó acceso a sus datos, AB omitió la mayoría de los datos personales que procesaba. noyb ha presentado ahora una denuncia ante la APD griega.
Se ignora en gran medida el derecho de acceso. Para fidelizar al mayor número posible de clientes, la cadena griega de supermercados Alfa Vita (AB) ha introducido un programa de tarjetas de fidelidad denominado "AB plus". Aunque AB se afana en recopilar toda la información personal posible sobre sus 2,2 millones de clientes, su cumplimiento de la legislación de la UE es deficiente. Esto quedó claro cuando una consumidora intentó ejercer su derecho de acceso. Está inscrita en la base de datos AB Plus Personal del programa de fidelidad de AB. Esto significa que AB procesa "sus hábitos de compra, la frecuencia de sus visitas a una tienda AB, el uso de las ofertas que se le comunican, su domicilio, el coste total de sus compras" para la elaboración de perfiles. Aun así, AB sólo le facilitó una lista de sus transacciones y sus datos de contacto, pero ninguna otra información que haya obtenido de ella. A pesar de una clara sentencia del Tribunal de Justicia, AB también se ha negado explícitamente a facilitar una lista de los destinatarios de esos datos. (véase el asunto C-154/21).
Kleanthi Sardeli, abogada especializada en protección de datos de noyb: "El RGPD establece claramente que la respuesta de una empresa a una solicitud de acceso debe incluir toda la información que posea sobre un cliente. El Tribunal de Justicia aclaró que esto incluye también a todos los destinatarios que obtuvieron sus datos personales. El hecho de que AB oculte deliberadamente grandes cantidades de dichos datos es claramente ilegal."
¿Más derechos GDPR sólo para los clientes de "AB Plus Unique"? AB Plus Personal los clientes, incluido el denunciante, ni siquiera pueden acceder a la cantidad de dinero que han ahorrado utilizando su tarjeta de fidelidad. En su página web, AB anuncia el acceso a estos datos como una función exclusiva para "AB Plus Único". Sin embargo, una "actualización" a AB Plus Unique requeriría el consentimiento para compartir datos con otros terceros. Esto no sólo es absurdo, sino claramente ilegal. Las empresas deben "facilitar" el acceso a los datos personales, no mantenerlos como rehenes. En general, este caso demuestra que incluso las operaciones que dependen en gran medida de los datos personales, como un programa de fidelización, siguen incumpliendo los aspectos básicos del RGPD, ocho años después de su adopción en 2016.
Kleanthi Sardeli, abogada especializada en protección de datos de noyb: "AB básicamente está exigiendo que aceptes 'actualizarte' y permitir el intercambio de datos para poder ejercer tus derechos fundamentales en virtud de la legislación de la UE. Esto es completamente absurdo, pero demuestra lo poco que les importa a las empresas el GDPR."
"Danos tus datos, si quieres ahorrar dinero". La alimentación es uno de los mayores gastos de cualquier hogar. Cada vez más descuentos están estrictamente vinculados a la posesión de una tarjeta de fidelización que permite a las empresas rastrear, perfilar y manipular a los consumidores, haciendo que la participación sea obligatoria de facto. En tiempos de rápido aumento de los precios de los alimentos, de recesión económica y especialmente para los clientes de los Estados miembros con bajos ingresos, puede que no quede más remedio que "aceptar" compartir los datos personales para tener acceso a alimentos más asequibles. Por supuesto, estos "descuentos" están integrados en los modelos de precios de los supermercados. Esto significa que, en realidad, los clientes sólo obtienen descuentos sobre precios previamente inflados.
Kleanthi Sardeli, abogada de protección de datos de noyb: "En tiempos de subida de precios, cada vez más gente tiene que recurrir a las tarjetas de fidelización para ahorrar algo de dinero al hacer la compra. Esto coloca a supermercados como AB en una posición de fuerza para ignorar descaradamente el derecho fundamental de las personas a la privacidad".
Denuncia del GDPR presentada en Grecia. noyb ha presentado ahora una denuncia ante la autoridad griega (DPA), solicitando una investigación de las operaciones de tratamiento de AB y una orden de cumplimiento de la solicitud de acceso del denunciante. Además noyb sugiere a la DPA que imponga una multa de hasta el 4% del volumen de negocios anual de AB para evitar infracciones similares en el futuro.