Diritti interna

Doveri interna

ricerca avanzata

Conservazione dei dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Tod's S.p.A. - 7 novembre 2013 [2920245]

[doc. web n. 2920245]

Conservazione dei dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Tod´s S.p.A. - 7 novembre 2013

Registro dei provvedimenti
n. 500 del 7 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata da Tod´s S.p.A. (di seguito "Tod´s") rispetto al trattamento dei dati personali della propria clientela per finalità di profilazione, presentata ai sensi dell´art. 17 del Codice;

VISTI gli elementi acquisiti anche a seguito della richiesta di informazioni e chiarimenti rivolta alla società;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Trattamento di dati personali diretto alla profilazione della clientela da parte di Tod´s S.p.A.

Tod´s ha presentato al Garante, in data 17 giugno 2013, una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, sulla base del provvedimento generale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("´Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione", in www.garanteprivacy.it, doc. web n. 1103045, di seguito "provvedimento generale"). Tale provvedimento ha stabilito che chiunque voglia conservare i dati della propria clientela per finalità di profilazione e marketing, per un periodo superiore a dodici mesi, deve presentare al Garante una richiesta di verifica preliminare, ai sensi dell´art. 17 del Codice.

L´istanza proposta da Tod´s riguarda la possibilità di conservare i dati della propria clientela per un periodo pari a dieci anni, per attività di profilazione e marketing conseguente.

Già in precedenza, conformemente a quanto previsto dagli artt. 37, comma 1, lett. d) e 38 del Codice, in data 9 marzo 2012, Tod´s aveva effettuato la prima notificazione al Garante (modificata successivamente il 24 luglio 2013) relativa alla profilazione e, specificamente, al "trattamento effettuato con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o a analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con l´esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi".

In tale notificazione Tod´s ha dichiarato che i cittadini cui si riferiscono i dati sono quelli di Paesi appartenenti all´Unione Europea e di Paesi non appartenenti all´Unione Europea. Inoltre ha dichiarato che le finalità per le quali intende effettuare il trattamento sono quelle relative: all´analisi delle abitudini o scelte di consumo, all´attività commerciale, all´attività di marketing diretto e all´attività informativa; nonché per la fornitura di beni e servizi, per la ricerca statistica e per ricerche di mercato o altre ricerche campionarie; ha altresì dichiarato che i server utilizzati per tali attività si trovano in Italia.

Nell´istanza citata Tod´s ha dichiarato che intende procedere a tale profilazione mediante la creazione di un sistema di Customer Relationship Management (di seguito "CRM") contenente i dati personali dei clienti, attualmente in corso di implementazione.

Tod´s, tra l´altro, è stata oggetto di accertamento ispettivo in data 10 aprile 2013, da parte del Nucleo Speciale Privacy. L´ispezione ha avuto ad oggetto i trattamenti di dati personali effettuati dalla società per finalità di profilazione, realizzati attraverso il predetto CRM che, infatti, all´epoca dell´ispezione, era in fase di realizzazione. Nel corso dell´accertamento è stata acquisita copiosa documentazione relativa a tale attività e Tod´s ha provveduto anche ad inviare una nota integrativa a scioglimento delle riserve formulate in sede ispettiva (nota datata 24 aprile 2013 e pervenuta al Nucleo Speciale Privacy il 3 maggio 2013).

Secondo il progetto presentato da Tod´s, in tale CRM dovrebbero confluire i dati personali dei clienti: anagrafica (nome, cognome, email, indirizzo fisico, cellulare, telefono e compleanno) e dettaglio degli acquisti (data e luogo dell´acquisto, prodotti acquistati e relativi prezzi). Tali dati, presenti nel CRM, sarebbero «accessibili» a tutti i punti vendita per offrire, in boutique, un servizio personalizzato, anche sulla base dei precedenti acquisti effettuati.

Lo scopo del CRM consiste nella profilazione dei clienti in base agli acquisti effettuati e nella conseguente offerta di campagne di marketing mirate nei loro confronti, nonché per svolgere ricerche di mercato e studi rispetto al proprio settore di produzione.

Il tempo di conservazione dei dati presenti nel CRM prospettato da Tod´s è di dieci anni.

Secondo le dichiarazioni rese, l´indicazione di tale periodo di conservazione nascerebbe dalla considerazione che Tod´s offre beni di lusso, la cui frequenza media di acquisto da parte di un cliente è pari a due all´anno, in concomitanza dei periodi delle collezioni primavera-estate e autunno-inverno. Pertanto, qualora si considerasse un tempo inferiore di conservazione, la profilazione non sarebbe utile, anche in considerazione di uno studio di settore, allegato all´istanza, secondo cui nell´anno 2012 il mercato del lusso ha registrato un aumento dello scontrino medio per cliente, a fronte di un rallentamento della frequenza di acquisto.

2. Necessità di richiedere l´esame preliminare ai sensi dell´art. 17 del Codice.

Dall´esame della documentazione in atti, l´attività che Tod´s intende svolgere sui dati personali della propria clientela, e che viene sottoposta all´attenzione del Garante, integra un´ipotesi di trattamento di dati personali che presenta rischi specifici per gli interessati, ai sensi dell´art. 17 del Codice, relativamente al tempo di conservazione.

Per tutti gli altri aspetti collegati, concernenti la profilazione e il marketing, si rimanda a quanto si dirà nei paragrafi seguenti.

Nonostante il progetto presentato da Tod´s non preveda l´emissione di una "carta fedeltà", appare necessario un intervento del Garante in quanto il trattamento dei dati personali che Tod´s intende effettuare (la conservazione per il periodo suddetto dei dati personali dei suoi clienti nel CRM) presenta in ogni caso dei rischi specifici per i diritti e le libertà fondamentali degli interessati e, pertanto, può essere ammesso solo nel rispetto di misure e accorgimenti prescritti dal Garante nell´ambito della presente verifica preliminare.

Il trattamento di profilazione svolto da Tod´s, infatti, può presentare per gli interessati rischi specifici che dipendono dalla durata della conservazione, nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate per profilare la clientela.

3. Tipologia dei dati conservati, tempi e modalità di conservazione: misure ed accorgimenti prescrittivi.

I dati che Tod´s intende conservare nel CRM, in base alla documentazione inviata, sono: l´anagrafica del cliente e i dettagli relativi ai singoli acquisti.

Nell´«anagrafica» del cliente sono compresi: il nome e il cognome, l´email, l´indirizzo, il numero di cellulare, di telefono e la data del compleanno. Nei dati ulteriori, relativi ai singoli acquisti e finalizzati all´attività di profilazione e marketing, Tod´s intende includere: data e luogo dell´acquisto, prodotto acquistato (con l´indicazione di modello, stagione autunno/inverno o primavera/estate, materiale, colore e taglia) e prezzo dei prodotti acquistati (inclusi eventuali sconti sul listino, valuta di pagamento e relativo mezzo di pagamento). Il tempo di conservazione dei dati degli interessati per attività di profilazione è stato prospettato da Tod´s in dieci anni.

In precedenti casi il Garante ha individuato in dodici mesi il termine massimo di conservazione dei dati per finalità di profilazione (cfr. il provvedimento sulla tv interattiva del 3 febbraio 2005 -doc. web n. 1109503- e il citato provvedimento generale relativo ai programmi di fidelizzazione). Recentemente inoltre il Garante ha adottato due provvedimenti (a seguito di altrettante richieste di prior checking) relativi alla conservazione di dati per finalità di profilazione e marketing, consentendone la conservazione per un periodo più ampio rispetto ai dodici mesi indicati (doc. web nn. 2499354 e 2547834).

Nel caso in esame, il Garante ritiene che i dati personali che Tod´s intende conservare riguardano acquisti relativi a beni particolari di cd. "fascia alta" e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato, anche in considerazione del fatto che, come dichiarato nell´istanza presentata, la frequenza media annuale di acquisto, per ciascun cliente, è pari a due.

Tuttavia, in base al principio di necessità previsto dall´art. 3 del Codice, occorre rilevare che alcuni dati relativi al dettaglio dell´acquisto siano eccessivi rispetto alla finalità di profilazione che la società intende perseguire, con particolare riferimento al prezzo dei prodotti. Il Garante, pertanto, ritenendoli eccedenti rispetto alla predetta finalità, ritiene di doverli limitare al solo prezzo dei singoli prodotti acquistati, comprensivo di eventuali sconti sul listino, escludendo l´indicazione della valuta di pagamento e del relativo mezzo di pagamento.

Alla luce di quanto sopra, pertanto, oltre quelli relativi all´anagrafica, i "dati di profilazione" che potranno essere inseriti nel CRM saranno quelli relativi alla data e al luogo dell´acquisto, al numero dei prodotti acquistati, con la relativa indicazione con l´indicazione di modello, stagione autunno/inverno o primavera/estate, materiale, colore e taglia del prodotto acquistato e quelli relativi al prezzo, con la sola indicazione degli eventuali sconti sul listino.

Alla luce di quanto sopra, il Garante ritiene che i dati personali precedentemente individuati, con le esclusioni indicate, siano conservati per un termine pari ad un massimo di sette anni, in quanto tale arco temporale appare congruo e proporzionato sia alle finalità che si intendono realizzare sia alla tipologia di dati personali oggetto di trattamento. Il medesimo termine di conservazione risulta altresì adeguato in relazione ai rischi degli interessati dei cui dati si tratta, in quanto nonostante i beni acquistati riguardino un genere particolare, di "fascia alta", i singoli prezzi variano a seconda della tipologia di prodotto, partendo da importi, per una vasta categoria di articoli, non particolarmente elevati.

Alla scadenza del suddetto periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Tod´s, dovranno essere cancellati automaticamente, ovvero resi anonimi in modo permanente e non reversibile. Anche in caso dell´acquisizione di un nuovo, libero e specifico consenso, i dati dovranno essere trattati, in ogni caso, per un periodo non superiore a sette anni.

I dati sono conservati, in base a quanto dichiarato, su server presenti in Italia e il titolare del trattamento è Tod´s.

La circostanza che ciascun addetto alla vendita in qualunque negozio di Tod´s nel mondo possa accedere al CRM per creare un´"anagrafica", visualizzarla o modificarla, rende il trattamento dei dati personali particolarmente rischioso, anche in considerazione del fatto che la tipologia di dati conservati riguarda una particolare tipologia di clientela.

In ragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM per inserire, visualizzare o modificare i dati personali dei clienti siano designati incaricati del trattamento da Tod´s, ai sensi dell´art. 30 del Codice, comprendendo quindi sia i direttori di negozio sia tutti gli altri dipendenti che hanno accesso al CRM.

Da un punto di vista tecnico, il Garante ritiene necessario richiamare l´attenzione sulla necessità di mettere in atto le misure di sicurezza, anche minime, previste agli artt. 31-36 e dal Disciplinare tecnico di cui all´allegato B) del Codice a tutela dei dati personali degli interessati presenti nel CRM: è necessario pertanto che tutti gli incaricati che hanno la possibilità di accedervi utilizzino un sistema di autenticazione informatica nei termini previsti dalle norme citate.

Un sistema di autenticazione con credenziali o dispositivi individualmente assegnati agli incaricati per l´accesso al CRM, sia in modalità di "consultazione", sia in modalità di "inserimento/modifica" dell´anagrafica, consentirebbe infatti una immediata identificazione del soggetto che ha avuto accesso al sistema, unitamente alla postazione e all´ora dell´accesso, garantendo così una maggiore sicurezza dei dati personali degli interessati.

Inoltre, la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamento dei log di accesso ai sistemi di profilazione in modo da poter realizzare un controllo analitico ex post di tutte le attività svolte.

4. Informativa.

Appare opportuno ricordare che il principio fondante su cui si basa la tutela dei dati personali è quello dell´informativa: gli interessati, cioè, devono essere sempre resi edotti delle finalità per le quali conferiscono i propri dati. In tal modo, infatti, sono messi in grado di scegliere se conferire o meno il consenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciato i dati.

Nel caso specifico, quindi, il conferimento dei propri dati per l´inserimento degli stessi nel CRM è eventuale e ulteriore rispetto a quello relativo all´acquisto di un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinato a un consenso libero e specifico dell´interessato.

Pertanto, l´informativa da rendere rispetto al trattamento dei dati personali che Tod´s intende effettuare deve risultare completa degli elementi previsti dall´art. 13 del Codice.

In particolare, Tod´s dovrà integrare l´attuale modulistica con riguardo all´informativa rivolta agli interessati, specificando, nella parte relativa alle finalità del trattamento, che il trattamento di profilazione della clientela, effettuato attraverso dati personali, viene realizzato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante.

Anche con riguardo al periodo di conservazione dei "dati di profilazione," la società dovrà specificare che gli stessi saranno conservati per il periodo massimo di sette anni precedentemente indicato, così come previsto dal presente provvedimento e che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente.

Inoltre, l´informativa dovrà comprendere una chiara indicazione che l´inserimento nel CRM è facoltativo e avverrà solamente previo consenso dell´interessato. Dovrà altresì specificare che l´inserimento dei dati dell´interessato nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Tod´s presso ciascun punto vendita nel mondo, designati incaricati del trattamento. Tali indicazioni dovranno avere una autonoma visibilità nel corpo del testo dell´informativa e dovranno essere separate da tutte le altre, ad esempio, inserite in un apposito paragrafo.

L´informativa predisposta da Tod´s dovrà, infine, richiamare i diritti che l´interessato può esercitare in base all´art. 7 del Codice. Tali diritti devono essere evidenziati specificando che gli stessi riguardano anche l´attività di profilazione svolta dalla società, nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramente la possibilità, per l´interessato, di esercitare il diritto di opposizione al trattamento dei suoi dati personali.

5. Consenso dell´interessato per l´attività di profilazione e di marketing.

Appare opportuno ricordare che il principio generale previsto dall´art. 23 Codice prevede la necessità, per il titolare, di acquisire uno specifico consenso da parte dell´interessato per qualunque forma di trattamento, salvi i casi stabiliti dall´art. 24 del Codice, e che tale consenso non può essere sottoposto a termine, fatto salvo sempre il diritto dell´interessato di opporsi al trattamento ai sensi dell´art. 7 del Codice.

Pertanto Tod´s, oltre all´adozione delle misure e degli accorgimenti sopra descritti per svolgere l´attività di profilazione e al rilascio di un´idonea informativa dovrà necessariamente richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico e distinto a ciascun interessato per il trattamento relativo alla profilazione.

Se poi, come dichiarato, i dati personali di ciascun interessato, potranno essere utilizzati per attività ulteriori, quali quelle di marketing, Tod´s dovrà richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico a ciascun interessato per tale ulteriore trattamento.

Occorre precisare, tuttavia, che relativamente all´attività promozionale realizzata tramite posta elettronica, il consenso non è necessario quando si tratti di prodotti e servizi analoghi e l´interessato non abbia rifiutato tale uso, inizialmente o in occasione dell´invio di successive comunicazioni, ai sensi dell´art. 130, comma 4, del Codice, così come risulta anche dall´informativa già predisposta da Tod´s.
Si rileva, infine, che l´attività promozionale potrà essere realizzata sia attraverso marketing "generico", sia "profilato", conseguente, cioè, all´attività di profilazione e consistente nella realizzazione di campagne mirate per una certa clientela che presenta determinate caratteristiche.

6. Qualificazione soggettiva dei soggetti che trattano i dati: titolari, responsabili e incaricati del trattamento.

In base alle dichiarazioni rese da Tod´s, i dati personali che confluiscono nel CRM provengono da tutti i Paesi in cui Tod´s ha i propri punti vendita, dunque non solo all´interno dell´Unione europea.

Sotto tale profilo, Tod´s ha chiarito (nella nota del 24 aprile 2013) di essere l´unico titolare del trattamento e, conseguentemente, ritiene, a ragione, che la normativa applicabile sia quella nazionale. Alla luce di ciò ha provveduto correttamente a designare ciascun negozio quale responsabile esterno del trattamento, ai sensi dell´art. 29 del Codice e ciascun direttore di negozio quale incaricato del trattamento ai sensi dell´art. 30 del Codice.

7. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis, Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

alla luce di quanto dichiarato e allo stato degli elementi forniti, ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Tod´s S.p.A., con sede in Sant´Elpidio a Mare (FM), Via Filippo Della Valle n. 1 relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e marketing conseguente, prescrivendo che:

1. siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, in particolare, con riguardo:

a) alla tipologia di "dati di profilazione", conservando nel CRM solo i seguenti dati relativi al dettaglio dell´acquisto: data e luogo dell´acquisto, numero dei prodotti acquistati (con la relativa indicazione di modello, stagione autunno/inverno o primavera/estate, materiale, colore e taglia) prezzo dei singoli prodotti (con la sola indicazione degli eventuali sconti sul listino);

b) alle procedure di autenticazione ed autorizzazione:

i. gli accessi al CRM devono avvenire mediante l´uso di un sistema di autenticazione adottato secondo i criteri stabiliti dal disciplinare tecnico in materia di misure minime di sicurezza di cui all´allegato B) del Codice;

ii. deve essere possibile effettuare il tracciamento dei log di accesso al CRM, in modo da realizzare un controllo analitico ex post delle attività svolte dai singoli incaricati;

c) al periodo di conservazione dei dati:

i. i dati utilizzati per l´attività di profilazione devono essere conservati per il periodo individuato in motivazione;

ii. alla scadenza di detto periodo, Tod´s deve provvedere alla cancellazione automatica di tali dati, ovvero alla trasformazione degli stessi in forma anonima in modo permanente prevedendo che, in ogni caso, i dati non siano trattati per un periodo superiore;

2. venga integrato il testo dell´informativa da rendere agli interessati specificando che:

a) le attività di profilazione e di marketing sono solo eventuali e saranno realizzate solamente con i consensi specifici dell´interessato, qualora decida in inserire i propri dati nel CRM;

b) l´inserimento dei dati personali nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Tod´s presso ciascun punto vendita nel mondo;

c) nella parte relativa alle finalità, il trattamento di profilazione della clientela viene effettuato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante nel presente provvedimento;

d) il periodo di conservazione dei "dati di profilazione" non sarà superiore a quello individuato in motivazione e che, alla relativa scadenza, tali dati saranno cancellati automaticamente, ovvero resi anonimi in modo permanente;

e) i diritti che l´interessato può esercitare in base all´art. 7 del Codice riguardano anche l´attività di profilazione, con particolare riferimento al diritto di opposizione al trattamento.

3. venga data una autonoma visibilità nel corpo del testo dell´informativa, anche graficamente, alle prescrizioni di cui ai punti 2.a) e 2.b);

4. considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, venga trasmessa al Garante entro il termine di 60 giorni dalla data dell´eventuale attivazione del sistema, copia della documentazione comprovante l´adozione delle misure individuate ai precedenti punti 1, 2 e 3.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 7 novembre 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia