g-docweb-display Portlet

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007 [1466930]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1466930]
[v. Newsletter 5 febbaio 2008]

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24 febbraio 2005 in materia di trattamento di dati personali nell´ambito dei programmi di fidelizzazione della clientela (in www.garanteprivacy.it, doc. web n. 1103045);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Trattamento di dati personali della clientela nell´ambito dei programmi di fidelizzazione della clientela.

1.1. Per verificare la conformità alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, l´Autorità ha svolto accertamenti presso alcuni operatori economici con riguardo al trattamento di dati personali nell´ambito di programmi di fidelizzazione della clientela; in particolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza, l´Autorità ha effettuato verifiche in data 5 ottobre 2005 presso "Buscaini Angelo s.r.l." (di seguito, la società) sulle operazioni di trattamento effettuate in relazione al rilascio della carta fedeltà "Carta dei desideri - Supermercati Pim". Il presente provvedimento attiene ai profili di violazione riscontrati al riguardo.

1.2. Dagli accertamenti svolti è emerso che la società raccoglie presso l´interessato, mediante il modulo di adesione cartaceo, alcuni dati personali della clientela consistenti, in particolare, in:

  • dati anagrafici: nome, cognome, data e luogo di nascita;
  • recapiti, tra i quali indirizzo, e-mail e numero del telefono;
  • titolo di studio, professione e numero dei componenti del nucleo familiare.

Tali informazioni risultano trattate "per l´esclusiva finalità di fidelizzazione" e "i punti così acquisiti […] possono essere utilizzati solo per ritirare i premi" (cfr. verbale 5 ottobre 2005, p. 2). Dall´informativa fornita si desume altresì che i dati acquisiti "non potranno essere usati per l´invio di comunicazioni commerciali diverse da quelle inerenti alla promozione".

2. Liceità del trattamento.

2.1. Principio di pertinenza e non eccedenza. Con riferimento alla tipologia dei dati personali registrati dalla società relativi a titolo di studio, professione e numero dei componenti del nucleo familiare deve rilevarsi la violazione del principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice; v. pure punto 2 del provvedimento citato).

Per la finalità che la società dichiara sotto la propria responsabilità di perseguire in via esclusiva (fidelizzazione della clientela, e non anche profilazione), possono essere trattati solo i dati necessari per attribuire i vantaggi connessi all´utilizzo della carta, cioè "i dati direttamente correlati all´identificazione dell´intestatario della carta, quali le informazioni anagrafiche; i dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli e in particolare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L´eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di fidelizzazione" (cfr. Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie risulta quindi effettuato in violazione di legge il trattamento di alcuni dati, relativi al titolo di studio, alla professione e al numero dei componenti del nucleo familiare, i quali dovranno pertanto essere cancellati o resi anonimi (art. 11 del Codice).

2.2. Informativa. Dall´informativa emerge che la società tratta dati personali della clientela in sede di rilascio delle carte di fidelizzazione per due distinte finalità (cfr. in tal senso Provv. 24 febbraio 2005, cit., punti 3 e 5):

a. per il conseguimento di premi (c.d. fidelizzazione in senso stretto);

b. per finalità di marketing nei confronti della clientela connesse all´attività promozionale effettuata mediante la carta.

La medesima informativa presenta alcune carenze (cfr. punto 6 del provvedimento), con particolare riferimento alla necessità di specificare quali siano:

  • i dati personali per i quali il conferimento è obbligatorio o facoltativo e le conseguenze del rifiuto di rispondere;
  • i diritti previsti dall´art. 7 del Codice, non chiaramente individuabili dalla clientela in ragione del mero richiamo a una norma di legge (peraltro riferita a una norma abrogata).

La società dovrà pertanto riformulare l´informativa in modo idoneo in rapporto a tali carenze. Questa Autorità si riserva di valutare nell´ambito di un autonomo procedimento i presupposti per contestare la violazione amministrativa per inidonea informativa.

2.3. Designazione degli incaricati e misure minime di sicurezza. La società ha altresì provveduto, con autorizzazione verbale, a dare incarico a una propria dipendente per le operazioni di trattamento dei dati personali in esame. La disciplina prevede invece che gli incaricati siano designati per iscritto con specificazione delle istruzioni per provvedere al trattamento dei dati personali (art. 30 del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 9, lett. c)).

La società dovrà pertanto provvedere a designare per iscritto i propri incaricati, ai sensi dell´art. 30 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 154, comma 1, lett. c), del Codice, prescrive a "Buscaini Angelo s.r.l." di:

a) cancellare o rendere anonimi i dati personali riferiti ai partecipanti al programma di fidelizzazione consistenti in titolo di studio, professione e numero dei componenti il nucleo familiare (punto 2.1.);

b) riformulare l´informativa (punto 2.2.) integrandola con i seguenti elementi:

i) indicazione dei dati personali per i quali il conferimento è obbligatorio o facoltativo;

ii) indicazione dei diritti previsti dall´art. 7 del Codice, aggiornando i riferimenti normativi alla disciplina vigente;

c) designare per iscritto i propri incaricati ai sensi dell´art. 30 del Codice;

2) ai sensi dell´art. 154, comma 1, lett. d), del Codice, ferma restando l´inutilizzabilità dei dati già trattati in modo illecito e non corretto (art. 11, comma 2), vieta a "Buscaini Angelo s.r.l." ulteriori trattamenti in violazione della disciplina di protezione dei dati personali (punto 2);

3) ai sensi dell´art. 157 del Codice prescrive a "Buscaini Angelo s.r.l." di dare conferma a questa Autorità, entro e non oltre il 15 febbraio 2008, dell´attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO
Buttarelli