Diritti interna

Doveri interna

ricerca avanzata

Trattamento e conservazione di dati personali della clientela per finalità di profilazione. Verifica preliminare richiesta da Bulgari S.p.A. - 24 aprile 2013 [2499354]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2499354
Data:
24/04/13
Argomenti:
Marketing , Conservazione di dati , Profilazione
Tipologia:
Verifica preliminare

[doc. web n. 2499354]

Trattamento e conservazione di dati personali della clientela per finalità di profilazione. Verifica preliminare richiesta da Bulgari S.p.A. - 24 aprile 2013

Registro dei provvedimenti
n. 219 del 24 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata da Bulgari S.p.A. (di seguito "Bulgari") rispetto al trattamento dei dati personali della propria clientela per finalità di profilazione, presentata ai sensi dell´art. 17 del Codice;

VISTI gli elementi acquisiti anche a seguito delle richieste di informazioni e chiarimenti rivolte alla società;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Trattamento di dati personali diretto alla profilazione della clientela da parte di Bulgari S.p.A.

Bulgari ha presentato al Garante, in data 29 novembre 2010, una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, sulla base del provvedimento generale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("´Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione" [in www.garanteprivacy.it, doc. web n. 1103045], di seguito "provvedimento generale"). Tale provvedimento ha stabilito che chiunque voglia conservare i dati della propria clientela per finalità di profilazione e marketing, per un periodo superiore a dodici mesi, deve presentare al Garante una richiesta di verifica preliminare, ai sensi dell´art. 17 del Codice.

L´istanza proposta da Bulgari riguarda la possibilità di conservare i dati della propria clientela per un periodo pari a dieci anni, per attività di profilazione e marketing conseguente.

In proposito, in data 17 giugno 2010, conformemente a quanto previsto dagli artt. 37, comma 1, lett. d) e 38 del Codice, Bulgari ha effettuato la prima notificazione al Garante relativa alla profilazione e, specificamente, al "trattamento effettuato con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o a analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con l´esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi".

In tale notificazione Bulgari ha dichiarato che i cittadini cui si riferiscono i dati sono quelli di Paesi appartenenti all´Unione Europea e di Paesi non appartenenti all´Unione Europea. Inoltre ha dichiarato che le finalità per le quali intende effettuare il trattamento sono quelle relative: all´analisi delle abitudini o scelte di consumo, all´attività commerciale, all´attività di marketing diretto e all´attività informativa; ha altresì dichiarato che i server utilizzati per tali attività si trovano in Italia.

Nell´istanza citata e nelle due successive note integrative, inviate al Garante nel febbraio e dicembre 2012 a seguito di due richieste di informazioni, Bulgari ha descritto le modalità attraverso le quali intende procedere a tale profilazione e cioè mediante la creazione di un sistema di Custom Relation Management (di seguito "CRM") contenente i dati personali dei clienti.

Secondo il progetto presentato da Bulgari, in tale CRM dovrebbero confluire i dati relativi «all´anagrafica del cliente, al suo indirizzo postale e email, alla sua professione, alla data del matrimonio, alle preferenze rispetto alle informazioni commerciali che desidera ricevere (gioielli, orologi, accessori, profumi, hotel e resort), la registrazione dei suoi singoli acquisti». Tali dati, presenti nel CRM, sarebbero «accessibili» a tutte le società «consociate», nonché ai negozi distribuiti nelle zone del mondo in cui Bulgari ha i propri punti vendita e cioè in Europa, America, Asia e Medio Oriente.

Lo scopo del CRM consiste nella profilazione dei clienti in base agli acquisti effettuati e nella conseguente offerta di campagne di marketing mirate nei loro confronti, di servizi personalizzati e benefit aggiuntivi e gratuiti per tutti coloro che sono registrati nel CRM.

Il tempo di conservazione dei dati presenti nel CRM prospettato da Bulgari è di dieci anni.

Secondo le dichiarazioni rese, l´indicazione di un periodo di conservazione così lungo nascerebbe dalla considerazione che Bulgari offre beni di lusso, la cui frequenza media di acquisto da parte di un cliente è pari a due all´anno e, pertanto, qualora si considerasse un tempo inferiore di conservazione, la profilazione non sarebbe utile.

In un primo momento Bulgari aveva prospettato l´ipotesi di un programma di fidelizzazione da realizzarsi mediante specifiche carte fedeltà (denominate "Loyalty card Bulgari") e, su tale base, aveva effettuato la citata istanza di verifica preliminare, prevista dal provvedimento generale sulle fidelity card del 2005. Tuttavia, nelle ultime note inviate al Garante, la società ha comunicato che tale progetto, dopo una fase di sperimentazione e distribuzione gratuita che si è conclusa nel 2011, non sarà più realizzato.

Allo stato, quindi, Bulgari prevede di offrire i benefit a ciascun cliente presente nel CRM, senza più alcuna carta fedeltà.

2. Necessità di richiedere l´esame preliminare ai sensi dell´art. 17 del Codice.

Dall´esame della documentazione in atti, l´attività che Bulgari intende svolgere sui dati personali della propria clientela, e che viene sottoposta all´attenzione del Garante, integra un´ipotesi di trattamento di dati personali che presenta rischi specifici per gli interessati, ai sensi dell´art. 17 del Codice, relativamente al tempo di conservazione, che Bulgari individua in dieci anni.

Per tutti gli altri aspetti collegati, concernenti la profilazione e il marketing, si rimanda a quanto si dirà nei paragrafi seguenti.

Dalla documentazione acquisita nel corso dell´istruttoria emerge che Bulgari, allo stato, non intende più realizzare un programma di fidelizzazione mediante fidelity card, trattamento per il quale vigono le prescrizioni contenute nel provvedimento generale citato.

Nonostante ciò, appare necessario un intervento del Garante in quanto il trattamento dei dati personali che Bulgari intende effettuare (la conservazione per il periodo suddetto dei dati personali suoi clienti nel CRM) presenta in ogni caso dei rischi specifici per i diritti e le libertà fondamentali degli interessati e, pertanto, può essere ammesso solo nel rispetto di misure e accorgimenti prescritti dal Garante nell´ambito della presente verifica preliminare.

Il trattamento di profilazione svolto da Bulgari, infatti, può presentare per gli interessati rischi specifici che dipendono dalla durata della conservazione, nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate per profilare la clientela.

3. Tipologia dei dati conservati, tempi e modalità di conservazione: misure ed accorgimenti prescrittivi.

I dati che Bulgari intende conservare nel CRM, in base alla documentazione inviata, sono: l´anagrafica del cliente, il suo indirizzo postale e email, la sua professione, la data del matrimonio, le preferenze rispetto alle informazioni commerciali che desidera ricevere, la registrazione dei singoli acquisti.

Nell´"anagrafica" del cliente, pur non essendo stato esplicitato nell´istanza citata, devono essere presumibilmente ricompresi (in base alle finalità ulteriori che Bulgari intende perseguire), inoltre, i recapiti telefonici e del fax e nella "registrazione dei singoli acquisti" anche tipologia di prodotto acquistato, data dell´acquisto e importo speso. Inoltre, visto che in occasione del programma di fidelizzazione oramai terminato venivano richiesti anche la data di nascita e il volume della spesa globale, si ritiene che anche tali dati siano ricompresi nel CRM.

Il tempo di conservazione dei dati degli interessati per attività di profilazione è stato prospettato da Bulgari in dieci anni.

In precedenti casi il Garante ha individuato in dodici mesi il termine massimo di conservazione dei dati per finalità di profilazione (cfr. il provvedimento sulla tv interattiva del 3 febbraio 2005, doc. web n. 1109503] e il citato provvedimento generale relativo ai programmi di fidelizzazione).

Tuttavia, nel caso specifico, il Garante ritiene che i dati personali che si intende conservare riguardano acquisti relativi a beni particolari quali sono quelli di lusso e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato, anche in considerazione del fatto che, come dichiarato da Bulgari, la frequenza media annuale di acquisto, per ciascun cliente, è pari a due.

Alla luce di quanto sopra, il Garante ritiene ragionevole che i dati personali precedentemente indicati siano conservati per il termine massimo di dieci anni indicato dal richiedente in quanto tale arco temporale appare proporzionato alle finalità che si intende realizzare come evidenziato dallo stesso richiedente. Il medesimo  termine di conservazione non risulta altresì eccessivo in relazione ai rischi degli interessati dei cui dati si tratta.

Alla scadenza del suddetto periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Bulgari dovranno essere cancellati automaticamente, ovvero resi anonimi in modo permanente.

I dati sono conservati, in base a quanto dichiarato, su server presenti in Italia e il titolare del trattamento è Bulgari. Qualora Bulgari decida di avvalersi di soggetti terzi per la gestione tecnica del CRM, tali soggetti saranno designati responsabili del trattamento e seguiranno le istruzioni impartite da Bulgari, ai sensi dell´art. 29 del Codice. Giova ricordare che in caso contrario, qualora tali soggetti fossero autonomi titolari del trattamento, Bulgari dovrebbe richiedere a ciascun interessato anche un consenso specifico per la comunicazione di dati a terzi.

La circostanza che ciascun addetto alla vendita in qualunque negozio di Bulgari nel mondo possa accedere al CRM per creare un´"anagrafica", visualizzarla o modificarla, rende il trattamento dei dati personali particolarmente rischioso, anche in considerazione del fatto che la tipologia di dati conservati riguarda una particolare tipologia di clientela.

In ragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM per inserire, visualizzare o modificare i dati personali dei clienti siano designati incaricati del trattamento da Bulgari, ai sensi dell´art. 30 del Codice.

Come rappresentato nell´istanza di verifica preliminare, Bulgari nominerà ciascuna società «consociata», avente sede in ciascun Paese con propri punti vendita, quale responsabile del trattamento e sarà quest´ultima (o direttamente Bulgari) a designare i propri dipendenti quali incaricati del trattamento per quanto attiene l´utilizzo del CRM.

Da un punto di vista tecnico, il Garante ritiene necessario richiamare l´attenzione sulla necessità di mettere in atto le misure di sicurezza, anche minime, previste agli artt. 31-36 e dal Disciplinare tecnico di cui all´allegato B) del Codice a tutela dei dati personali degli interessati presenti nel CRM: è necessario pertanto che tutti gli incaricati che hanno la possibilità di accedervi utilizzino un sistema di autenticazione informatica nei termini previsti dalle norme citate.

Un sistema di autenticazione con credenziali o dispositivi individualmente assegnati agli incaricati per l´accesso al CRM, sia in modalità di "consultazione", sia in modalità di "inserimento/modifica" dell´anagrafica. consentirebbe infatti una immediata identificazione del soggetto che ha avuto accesso al sistema, unitamente alla postazione e all´ora dell´accesso, garantendo così una maggiore sicurezza dei dati personali degli interessati.

Inoltre, la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamento dei log di accesso ai sistemi di profilazione in modo da poter realizzare un controllo analitico ex post di tutte le attività svolte.

4. Informativa.

Appare opportuno ricordare che il principio fondante su cui si basa la tutela dei dati personali è quello dell´informativa: gli interessati, cioè, devono essere sempre resi edotti delle finalità per le quali conferiscono i propri dati. In tal modo, infatti, sono messi in grado di scegliere se conferire o meno il consenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciato i dati.

Nel caso specifico, quindi, il conferimento dei propri dati per l´inserimento degli stessi nel CRM è eventuale e ulteriore rispetto a quello relativo all´acquisto di un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinato a un consenso libero e specifico dell´interessato.

Pertanto, l´informativa da rendere rispetto al trattamento dei dati personali che Bulgari intende effettuare deve risultare completa degli elementi previsti dall´art. 13 del Codice.

In particolare, Bulgari dovrà modificare l´attuale modulistica con riguardo all´informativa rivolta agli interessati, specificando, nella parte relativa alle finalità del trattamento, che il trattamento di profilazione della clientela, effettuato attraverso dati personali, viene realizzato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante.

Anche con riguardo al periodo di conservazione dei "dati di profilazione," la società dovrà specificare che gli stessi saranno conservati per il periodo massimo precedentemente indicato, così come previsto dal presente provvedimento e che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente.

L´informativa inoltre dovrà contenere anche l´indicazione delle finalità ulteriori ed eventuali per le quali i dati potranno essere trattati solo qualora l´interessato rilasci uno specifico consenso e cioè l´attività di marketing (diretto o realizzato attraverso strumenti automatizzati) e quella di customer care.

Inoltre, l´informativa dovrà contenere una chiara indicazione che l´inserimento nel CRM è facoltativo e avverrà solamente previo consenso dell´interessato. Dovrà altresì specificare che l´inserimento dei dati dell´interessato nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Bulgari presso ciascun punto vendita nel mondo, designati incaricati del trattamento. Tali indicazioni dovranno avere una autonoma visibilità nel corpo del testo dell´informativa e dovranno essere separate da tutte le altre, ad esempio, inserite in un apposito paragrafo.

L´informativa predisposta da Bulgari dovrà infine richiamare i diritti che l´interessato può esercitare in base all´art. 7 del Codice. Tali diritti devono essere evidenziati specificando che gli stessi riguardano anche l´attività di profilazione svolta dalla società, nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramente la possibilità, per l´interessato, di esercitare il diritto di opposizione al trattamento dei suoi dati personali.

5. Consenso dell´interessato per l´attività di profilazione, di marketing e di customer care.

Appare opportuno ricordare che il principio generale previsto dall´art. 23 Codice prevede la necessità, per il titolare, di acquisire uno specifico consenso da parte dell´interessato per qualunque forma di trattamento, salvi i casi stabiliti dall´art. 24 del Codice.

Pertanto Bulgari, oltre all´adozione delle misure e degli accorgimenti sopra descritti per svolgere l´attività di profilazione e al rilascio di un´idonea informativa dovrà necessariamente richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico e distinto a ciascun interessato per il trattamento relativo alla profilazione.

Se poi, come dichiarato nelle note inviate al Garante, i dati personali di ciascun interessato, potranno essere utilizzati per attività ulteriori, quali quelle di marketing, Bulgari dovrà richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico a ciascun interessato per tale ulteriore trattamento.

Un´ulteriore finalità che Bulgari intende perseguire è quella relativa al trattamento dei dati personali dei propri clienti per l´attività di customer care, consistente, come dichiarato dalla stessa società, nell´offerta di servizi personalizzati in sede di vendita, quali ad esempio personal shopper, assistenza gratuita (attraverso l´offerta di servizi di pulitura periodica, rodiatura e lucidatura) e servizi di cortesia (quali autista privato o servizi a domicilio). Tale finalità, seppur parzialmente differente rispetto a quella di marketing, può ritenersi in quest´ultima ricompresa cosicché un cliente, rilasciando il consenso per l´attività promozionale ai sensi dell´art. 23 del Codice, potrà ricevere anche le attività relative al customer care, sempreché abbia ricevuto un´idonea informativa in tal senso.

Occorre precisare, tuttavia, che relativamente all´attività promozionale realizzata tramite posta elettronica, il consenso non è necessario quando si tratti di prodotti e servizi analoghi e l´interessato non abbia rifiutato tale uso, inizialmente o in occasione dell´invio di successive comunicazioni, ai sensi dell´art. 130, comma 4, del Codice.

Si rileva, infine, che l´attività promozionale potrà essere realizzata sia attraverso marketing "generico", sia "profilato", conseguente, cioè, all´attività di profilazione e consistente nella realizzazione di campagne mirate per una certa clientela che presenta determinate caratteristiche (ad esempio, come dichiarato da Bulgari medesime "esperienze di acquisto" e localizzazione territoriale).

Si ricorda infine, che è solo il titolare del trattamento, e cioè Bulgari, a poter svolgere attività di marketing. Qualora Bulgari volesse effettuare attività promozionale tramite altri soggetti, dovrebbe richiedere agli interessati un ulteriore consenso, relativo alla comunicazione dei dati a terzi. E, a loro volta, i soggetti terzi dovrebbero acquisire un autonomo consenso per l´attività promozionale. In alternativa, Bulgari potrebbe nominare tali soggetti responsabili o incaricati del trattamento ai sensi degli artt. 29 e 30 del Codice, impartendo, in questo caso, precise istruzioni su ogni aspetto del trattamento. Inoltre, si ricorda che qualora i soggetti terzi siano stabiliti al di fuori dall´Unione Europea, sarebbe necessario comunque anche rispettare le disposizioni relative al trasferimento dei dati all´estero (artt. 42 e ss. del Codice).

6. Qualificazione soggettiva dei soggetti che trattano i dati: titolari, responsabili e incaricati del trattamento.

In base alle dichiarazioni rese da Bulgari, i dati personali che confluiscono nel CRM provengono da tutti i Paesi in cui Bulgari ha i propri punti vendita, dunque non solo all´interno dell´Unione Europea.

Occorre pertanto chiarire i profili relativi alla qualificazione soggettiva di coloro che intervengono nella raccolta dei dati e alla conseguente comunicazione a Bulgari, mediante inserimenti dei dati medesimi nel CRM.

Sul punto, il Parere 8/2010 sul diritto applicabile (adottato il 16 dicembre 2010 dal Gruppo di lavoro articolo 29 per la protezione dei dati), chiarisce il campo di applicazione dell´art. 4 della direttiva 95/46/CE relativamente principio dello stabilimento, ovvero il diritto nazionale applicabile. Il citato parere chiarisce infatti che il riferimento allo "stabilimento" significa che l´applicabilità della legge di uno Stato membro sarà determinata dall´ubicazione di un suo stabilimento, quale, ad esempio, un punto vendita.

Ciò rileva, nel caso di specie, per quanto attiene alla raccolta dei dati personali effettuata nell´Unione Europea: infatti, ciascun negozio dovrà applicare la propria normativa nazionale per quanto riguarda la raccolta dei dati, unitamente al rilascio di una adeguata informativa e alla richiesta di eventuali consensi per comunicazioni promozionali a livello locale. Per tale aspetto il negozio è, evidentemente, titolare del trattamento con tutti gli obblighi che ne conseguono in base alla normativa di ciascun Paese, tra cui anche l´adozione di misure di sicurezza e la designazione di responsabili e incaricati del trattamento.

Alla luce di quanto detto, pertanto i singoli punti vendita e Bulgari sono contitolari del trattamento, ciascuno per gli aspetti di propria competenza (Sul punto cfr. anche il citato parere 8/2010, par. III.1. in cui viene descritto all´esempio n. 3 un caso del tutto analogo relativo ad una catena di negozi prêt-à-porter).

Laddove i dati, invece, siano raccolti per conto di Bulgari, nell´ipotesi di volontaria iscrizione dell´interessato nel CRM, Bulgari medesimo, per tale ulteriore aspetto, deve considerarsi titolare del trattamento, rilasciare una idonea informativa e richiedere uno specifico consenso, come indicato nei paragrafi precedenti, mentre il punto vendita, sarà responsabile del trattamento.

Infatti, l´attività di profilazione sui dati presenti nel CRM, descritta nei paragrafi precedenti, viene effettuata da Bulgari e non dai singoli negozi. Per tali profili, si applicherà quindi la legge italiana e Bulgari dovrà rilasciare un´idonea informativa e richiedere uno specifico consenso, come descritto nei paragrafi precedenti.

Per quanto riguarda la raccolta dei dati fuori dall´Unione Europea, il Garante ritiene che il principio da applicare è il medesimo, per cui la fase della raccolta sarà gestita autonomamente da ciascuna società in base alla normativa nazionale, ma l´inserimento nel CRM, di cui Bulgari è titolare, potrà avvenire solamente previo rilascio della suddetta informativa e previo rilascio di uno specifico consenso da parte dell´interessato, secondo la normativa italiana (sul punto cfr. il citato parere 8/2010, par. II.2.b).

A titolo informativo si rammenta, infine, che qualunque comunicazione dei dati a soggetti terzi, facenti parte del gruppo societario (quindi società controllate o collegate) o completamente estranei al gruppo (società che effettuano ricerche o analisi di mercato) rappresenta una comunicazione di dati a terzi, per la quale è necessario che Bulgari acquisisca un consenso specifico, a meno che tali soggetti non rivestano il ruolo di responsabili del trattamento, seguendo quindi tutte le istruzioni e le indicazioni che Bulgari impartirà loro per le attività che svolgono.

7. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2-bis, Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

alla luce di quanto dichiarato e allo stato degli elementi forniti, ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Bulgari S.p.A., con sede in Roma, Via dei Condotti, 11, relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e marketing conseguente, prescrivendo che:

1. siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, in particolare, con riguardo

a)  alle procedure di autenticazione ed autorizzazione:

i. gli accessi al CRM devono avvenire mediante l´uso di un sistema di autenticazione adottato secondo i criteri stabiliti dal disciplinare tecnico in materia di misure minime di sicurezza di cui all´allegato B) del Codice;

ii. deve essere possibile effettuare il tracciamento dei log di accesso al CRM, in modo da realizzare un controllo analitico ex post delle attività svolte dai singoli incaricati;

b)  al periodo di conservazione dei dati:

i. i dati utilizzati per l´attività di profilazione devono essere conservati per il periodo individuato nelle premesse;

ii. alla scadenza di detto periodo, Bulgari deve provvedere alla cancellazione automatica di tali dati, ovvero alla trasformazione degli stessi in forma anonima in modo permanente.

2. venga modificato il testo dell´informativa da rendere agli interessati specificando che:

a) le attività di profilazione e di marketing sono solo eventuali e saranno realizzate solamente con il consenso specifico dell´interessato, qualora decida in inserire i propri dati nel CRM;

b) l´inserimento dei dati personali nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Bulgari presso ciascun punto vendita nel mondo;

c) nella parte relativa alle finalità, il trattamento di profilazione della clientela viene effettuato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante nel presente provvedimento;

d) il periodo di conservazione dei "dati di profilazione" non sarà superiore a quello sopra individuato e che, alla relativa scadenza, tali dati saranno cancellati automaticamente, ovvero resi anonimi in modo permanente;

e) i diritti che l´interessato può esercitare in base all´art. 7 del Codice riguardano anche l´attività di profilazione, con particolare riferimento al diritto di opposizione al trattamento;

3. venga data una autonoma visibilità nel corpo del testo dell´informativa, anche graficamente, alle prescrizioni di cui ai punti 2.a) e 2.b);

4. siano adottate al più presto e comunque, considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, entro il termine di 90 giorni dalla data di ricezione del presente provvedimento, le misure individuate ai precedenti punti 1, 2 e 3, trasmettendo al Garante, entro la medesima data, copia della documentazione comprovante l´adozione delle suddette misure.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 24 aprile 2013

IL PRESIDENTE
Soro 

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia