Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007 [1466985]

[doc. web n. 1466985]
[v. Newsletter 5 febbaio 2008]

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24 febbraio 2005 in materia di trattamento di dati personali nell'ambito dei programmi di fidelizzazione della clientela (in www.garanteprivacy.it, doc. web n. 1103045);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali della clientela nell'ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformità alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, l'Autorità ha svolto accertamenti presso alcuni operatori economici con riguardo al trattamento di dati personali nell'ambito di programmi di fidelizzazione della clientela; in particolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza, l'Autorità ha effettuato verifiche in data 19 ottobre 2005 presso "Unes centro società cooperativa a r.l." (di seguito, la società) in relazione al rilascio della carta fedeltà "UnesCard Privilege". Il presente provvedimento attiene ai profili di violazione riscontrati al riguardo.

1.2. Dagli accertamenti svolti è emerso che la società tratta dati personali della clientela nell'ambito del programma di fidelizzazione; essi consistono, in particolare, in:

  • dati anagrafici: nome, cognome (anche quello da nubile) e data di nascita;
  • recapiti, tra i quali indirizzo, e-mail e numero del telefono;
  • dati relativi a sesso, titolo di studio, professione e composizione del nucleo familiare (per i quali non è peraltro chiarito se il conferimento sia obbligatorio o facoltativo).

Tali informazioni sono raccolte a seguito dell'utilizzo di un modulo cartaceo presso i supermercati della società e, in base alle dichiarazioni rese nel procedimento, sono trattate "solo ed esclusivamente" per "fidelizzazioni del cliente e quindi [per] l'effettuazione di attività promozionali […]. Nessun tipo di trattamento effettuato è volto a definire il profilo o la personalità dell'interessato, né tanto meno ad analizzare abitudini, scelte di consumo […]" (cfr. verbale cit., p. 4). Queste dichiarazioni trovano conferma nel modulo di adesione al programma di fidelizzazione e nell'informativa fornita, dove è indicato che: "i dati personali da Lei forniti saranno trattati ed utilizzati ai fini di consentirle di usufruire dei servizi e delle agevolazioni previste per i titolari di UnesCard Privilege, di ricevere da Unes informazioni commerciali, promozionali, pubblicitarie e di marketing, e per ricerche di mercato".

2. Liceità del trattamento

2.1. Principio di pertinenza e non eccedenza. Con riferimento alla tipologia dei dati personali registrati dalla società (diversi da quelli anagrafici e dai recapiti), riguardanti il titolo di studio, la professione e la composizione del nucleo familiare, va riscontrata una violazione del principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 2).

Per la finalità che la società dichiara sotto la propria responsabilità di perseguire in via esclusiva (fidelizzazione della clientela, e non anche profilazione), possono essere trattati solo i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta, cioè "i dati direttamente correlati all'identificazione dell'intestatario della carta, quali le informazioni anagrafiche; i dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli e in particolare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di fidelizzazione" (Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie, risulta quindi effettuato in violazione di legge il trattamento di alcuni dati, relativi al titolo di studio, alla professione e alla composizione del nucleo familiare, non necessari ai fini di fidelizzazione il cui trattamento è stato effettuato in violazione di legge (art. 11 del Codice) e che dovranno pertanto essere cancellati o resi anonimi.

2.2. Informativa e consenso. Dall'informativa resa in sede di rilascio della carta di fidelizzazione emerge che la società tratta dati personali della clientela per due finalità distinte (cfr. in tal senso il menzionato provvedimento del Garante del 24 febbraio 2005, punti 3 e 5):

a. per il conseguimento di premi (c.d. fidelizzazione in senso stretto);

b. per ricevere informazioni commerciali, promozionali, pubblicitarie, per finalità di marketing, e per l'esecuzione di ricerche di mercato.

In ordine alla medesima informativa devono rilevarsi alcune carenze (cfr. Provv. 24 febbraio 2005, cit., punto 6), con particolare riferimento alla mancata considerazione della necessità di:

  • specificare i dati personali per i quali il conferimento è obbligatorio o facoltativo;
  • indicare l'esistenza di responsabili del trattamento che possono venire a conoscenza dei dati;
  • chiarire univocamente che il consenso è libero in relazione al perseguimento della distinta finalità di marketing (mentre la locuzione utilizzata nel modello di informativa, secondo cui esso "la sua mancanza comporta l'impossibilità di usufruire dei servizi della UnesCard Privilege", potrebbe indurre in errore l'interessato).

La società dovrà pertanto riformulare l'informativa in modo idoneo in relazione a tali carenze. Questa Autorità si riserva di valutare nell'ambito di un autonomo procedimento i presupposti per contestare la violazione amministrativa per inidonea informativa.

2.3. Designazione di responsabile del trattamento. In ordine a quanto rappresentato dalla società in merito alla titolarità del trattamento e ai soggetti designati quali "responsabili del trattamento" (cfr. verbale 19 ottobre 2005, p. 3), si rileva che questi ultimi possono essere designati esclusivamente dal titolare del trattamento, anziché da un altro responsabile, come invece avvenuto nel caso di specie ad opera del sig. Andrea Berselli nei confronti della società "Euro Direct and Promotion Service s.r.l.–Edps" (cfr. art. 29 del Codice).

La società dovrà pertanto provvedere a designare ritualmente Edps quale proprio responsabile del trattamento (ove intenda continuare ad avvalersi in tale qualità dei suoi servizi).

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 154, comma 1, lett. c), del Codice, prescrive a "Unes centro società cooperativa a r.l." di:

a) cancellare o trasformare in forma anonima i dati personali riferiti ai partecipanti al programma di fidelizzazione consistenti in titolo di studio, professione e composizione del nucleo familiare (punto 2.1.);

b) riformulare l'informativa già fornita (punto 2.2.), integrandola con i seguenti elementi:

i) indicazione dei dati personali per i quali il conferimento è obbligatorio o facoltativo;

ii) indicazione dell'esistenza di eventuali responsabili del trattamento che possono venire a conoscenza dei dati;

iii) chiarimento circa la libertà e facoltatività del consenso dell'interessato per il perseguimento della finalità di marketing;

c) attenersi alle disposizioni del Codice (art. 29) per avvalersi lecitamente di "Euro Direct and Promotion Service s.r.l.–Edps" nella qualità di responsabile del trattamento;

2) ai sensi dell'art. 157 del Codice prescrive a "Unes centro società cooperativa a r.l." di dare conferma a questa Autorità, entro il 15 febbraio 2008, dell'attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO
Buttarelli