g-docweb-display Portlet

Conservazione di dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Costa Crociere S.p.A. - 12 giugno 2014 [3315156]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3315156]

Conservazione di dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Costa Crociere S.p.A. - 12 giugno 2014

Registro dei provvedimenti
n. 297 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata da Costa Crociere S.p.A. (di seguito "Costa") rispetto al trattamento dei dati personali della propria clientela per finalità di profilazione, presentata ai sensi dell´art. 17 del Codice;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Trattamento di dati personali diretto alla profilazione della clientela da parte di Costa Crociere S.p.A.

Costa ha presentato al Garante, in data 10 febbraio 2014, una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, sulla base del provvedimento generale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("´Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione", in www.garanteprivacy.it, doc. web n. 1103045, di seguito "provvedimento generale"). Tale provvedimento ha stabilito che chiunque voglia conservare i dati della propria clientela per finalità di profilazione e marketing, per un periodo superiore a dodici mesi, deve presentare al Garante una richiesta di verifica preliminare, ai sensi dell´art. 17 del Codice.

L´istanza proposta da Costa riguarda la possibilità di conservare i dati della propria clientela (passeggeri) per un periodo pari a tredici anni, per attività di profilazione e marketing conseguente.

In proposito, da verifiche interne effettuate, è risultato che, in data 11 luglio 2012, conformemente a quanto previsto dagli artt. 37, comma 1, lett. d) e 38 del Codice, Costa ha effettuato una modifica della notificazione al Garante relativa alla profilazione e, specificamente, al "trattamento effettuato con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o a analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con l´esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi".

In tale notificazione Costa ha dichiarato che i cittadini cui si riferiscono i dati sono quelli appartenenti sia a Paesi U.E. sia di Paesi extra U.E. Inoltre ha dichiarato che tra le finalità per le quali intende effettuare il trattamento vi sono anche quelle relative: all´analisi delle abitudini o scelte di consumo, all´attività commerciale, all´attività culturali o ricreative, all´attività di marketing diretto e all´attività informativa; nonché per la creazione di profili professionali relativi a clienti o consumatori, per la fornitura di beni e servizi, per le ricerche di mercato o altre ricerche campionarie.

Nell´istanza citata Costa ha dichiarato che nella banca dati clienti detenuta dalla Società ed utilizzata ai fini delle attività di marketing e profilazione sono registrate diverse tipologie di dati: anagrafica (nome, cognome, data e luogo di nascita, indirizzo fisico, contatti), viaggio effettuato (es. periodo, itinerario, nave da crociere), acquisti effettuati in viaggio (es. data di acquisto, prodotto ed importo speso), commenti e valutazioni del passeggero sul viaggio e specifiche informazioni personali (es. professione, titolo di studio), status del passeggero (es. aderente o meno al Costa club ed eventuale livello di appartenenza, benefici e vantaggi resi).

Lo scopo della suelencata banca dati consisterebbe nella possibilità di poter effettuare una valida attività di profilazione, allo scopo di offrire ai propri clienti adeguate offerte e servizi "personalizzati" sulla base delle precedenti scelte. Costa ha altresì rappresentato che la suddetta attività di conservazione permetterebbe alla società non solo di realizzare una compiuta attività di profilazione e markerting, ma anche di soddisfare le espresse richieste dei passeggeri tese a conservare l´elenco delle crociere effettuate e a ricevere dalla società indicazioni e suggerimenti su un servizio che sia sempre più adeguato alle loro preferenze.

Il tempo di conservazione dei dati degli interessati per attività di profilazione è stato prospettato da Costa in tredici anni.

Secondo le dichiarazioni rese, il tempo di conservazione richiesto è stato a lungo ponderato considerando le caratteristiche dello specifico tipo di trattamento e, soprattutto, la frequenza di acquisto di una crociera. Infatti, per poter garantire una minima attività di profilazione occorrerebbe prendere in considerazione un numero di crociere sostenute dallo stesso passeggero almeno pari a tre, ma con un numero di cinque crociere si potrebbe raggiungere una  soglia adeguata. Tuttavia Costa ha comunque rappresentato che la scelta di una soglia minima pari a cinque crociere, seppur maggiormente adeguata ai fini dell´attività di profilazione, comporterebbe un ulteriore estensione dei tempi di conservazione dei dati che la Costa stessa ha ritenuto di non voler sostenere. Quindi, considerando congrua la frequenza di acquisto di almeno tre crociere per passeggero, Costa riterrebbe opportuno prendere in considerazione un tempo di conservazione dei dati pari a tredici anni. Tale arco temporale consentirebbe di "tracciare" come clienti ripetitivi un numero di passeggeri che abbiano fatto almeno tre crociere. Al riguardo, Costa ha precisato che, da proprie indagini statistiche, il richiesto termine di tredici anni collegato alla frequenza di acquisto di tre crociere sarebbe pari solo al 7% del totale.

2. Necessità di richiedere l´esame preliminare ai sensi dell´art. 17 del Codice.

Dall´esame della documentazione in atti, l´attività che Costa intende svolgere sui dati personali della propria clientela, e che viene sottoposta all´attenzione del Garante, integra un´ipotesi di trattamento di dati personali che presenta rischi specifici per gli interessati, ai sensi dell´art. 17 del Codice, relativamente al tempo di conservazione.

Per tutti gli altri aspetti collegati, concernenti la profilazione e il marketing, si rimanda a quanto si dirà nei paragrafi seguenti.

Nonostante il progetto presentato da Costa non preveda l´emissione di una "carta fedeltà", appare necessario un intervento del Garante in quanto il trattamento dei dati personali che Costa intende effettuare (la conservazione per il periodo suddetto dei dati personali dei suoi clienti nella banca dati) presenta in ogni caso dei rischi specifici per i diritti e le libertà fondamentali degli interessati e, pertanto, può essere ammesso solo nel rispetto di misure e accorgimenti prescritti dal Garante nell´ambito della presente verifica preliminare.

Il trattamento di profilazione svolto da Costa, infatti, può presentare per gli interessati rischi specifici che dipendono dalla durata della conservazione, nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate per profilare la clientela.

3. Tipologia dei dati conservati, tempi e modalità di conservazione: misure ed accorgimenti prescrittivi.

I dati che Costa intende conservare nel proprio data base, in base alla documentazione inviata, sono: l´anagrafica del cliente e i dettagli relativi ai viaggi effettuati, nonché gli acquisti effettuati in viaggio, i commenti e le valutazioni del passeggero sul viaggio e le specifiche informazioni personali quali lo status del passeggero a seconda che abbia o meno aderito al Costa Club. 

Nell´«anagrafica» del cliente sono compresi: il nome, il cognome, la data e il luogo di nascita, l´indirizzo fisico e i contatti. Tali informazioni sono generalmente acquisite in fase contrattuale e riportate nel modulo di imbarco. Nei dati ulteriori, relativi ai singoli acquisti effettuati in viaggio e finalizzati all´attività di marketing Costa intende includere: la data di acquisto, il prodotto e l´importo speso.  In relazione al viaggio effettuato, Costa intende includere: il periodo, l´itinerario e la nave da crociera, nonché i commenti e le valutazioni del passeggero sul viaggio e le specifiche informazioni personali quali la professione e il titolo di studio con l´eventuale indicazione circa l´avvenuta adesione del passeggero al Costa Club.   

Con riguardo al Costa Club, nell´istanza viene specificato che i passeggeri hanno la possibilità di aderire gratuitamente al programma "Costa Club". Con tale adesione vengono conferite una serie di vantaggi e riconoscimenti come sconti, servizi integrativi e agevolazioni sugli acquisti a bordo delle navi e durante le crociere. Il programma prevede una raccolta punti che si possono ottenere sia in ragione dei giorni trascorsi a bordo delle navi sia dell´ammontare delle spese di bordo. Costa ha comunque dichiarato che l´appartenenza al suddetto Club non consente, salvo le informazioni relative alla qualifica di socio, di raccogliere e trattare per attività di profilazione dati ulteriori rispetto a quelli raccolti dalla società nell´ambito della sua ordinaria attività.

In precedenti casi il Garante ha individuato in dodici mesi il termine massimo di conservazione dei dati per finalità di profilazione (cfr. il provvedimento sulla tv interattiva del 3 febbraio 2005 -doc. web n. 1109503- e il citato provvedimento generale relativo ai programmi di fidelizzazione). Tuttavia, recentemente il Garante ha adottato tre provvedimenti (a seguito di altrettante richieste di prior checking) relativi alla conservazione di dati per finalità di profilazione e marketing, consentendone la conservazione per un periodo più ampio rispetto ai dodici mesi indicati (doc. web nn. 2499354547834 e 2920245).

Nel caso in esame, il Garante ritiene che i dati personali che Costa intende conservare riguardano prodotti e servizi particolari e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato, anche in considerazione del fatto che, come dichiarato nell´istanza presentata, anche con i termini di conservazione dalla stessa richiesti per un numero rilevante di passeggeri i viaggi registrati sarebbero o potrebbero verosimilmente essere comunque non superiori ad uno o a due.

Alla luce di quanto sopra, il Garante ritiene che i dati personali precedentemente individuati siano conservati per un termine pari ad un massimo di dieci anni, in quanto tale arco temporale appare congruo e proporzionato sia alle finalità che si intendono realizzare sia alla tipologia di dati personali oggetto di trattamento.

Alla scadenza del suddetto periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Costa, dovranno essere cancellati automaticamente, ovvero resi anonimi in modo permanente e non reversibile. Anche in caso dell´acquisizione di un nuovo, libero e specifico consenso, i dati dovranno essere trattati, in ogni caso, per un periodo non superiore a dieci anni.
I dati sono conservati, in base a quanto dichiarato, su server presenti in Italia e il titolare del trattamento è Costa Crociere S.p.A..

Come dichiarato anche da Costa, qualora la società decidesse di avvalersi di soggetti terzi per la gestione tecnica della banca dati o per la gestione e realizzazione delle attività di profilazione e di marketing, tali soggetti saranno designati responsabili del trattamento e seguiranno le istruzioni impartite dalla società sia contrattualmente, che nella lettera di nomina a responsabile, redatta ai sensi dell´art. 29 del Codice. Giova ricordare che in caso contrario, qualora tali soggetti fossero autonomi titolari del trattamento, Costa dovrebbe richiedere a ciascun interessato anche uno specifico consenso per la comunicazione di dati a terzi.

Costa ha tuttavia evidenziato che i dati dei passeggeri, utilizzati per finalità di marketing e profilazione sono raccolti e trattati sia da Costa che dalle filiali (branch non aventi personalità giuridica) situate in Spagna e Germania. Si rappresenta che dall´informativa allegata all´istanza le suddette filiali agirebbero quali contitolari del trattamento.

4. Misure di sicurezza

Innanzitutto da un punto di vista tecnico, il Garante ritiene necessario richiamare l´attenzione sulla necessità di mettere in atto le misure di sicurezza, anche minime, previste agli artt. 31-36 e dal Disciplinare tecnico di cui all´allegato B) del Codice a tutela dei dati personali degli interessati presenti nella banca dati: è necessario pertanto che tutti gli incaricati che hanno la possibilità di accedervi utilizzino un sistema di autenticazione informatica nei termini previsti dalle norme citate. Nell´istanza, infatti, viene dichiarato che l´accesso alla banca dati potrà essere effettuato esclusivamente da soggetti che, a fronte di un atto di nomina ad incaricato del trattamento ex art. 30 del Codice saranno formalmente autorizzati ad operare sui detti sistemi.

Un sistema di autenticazione con credenziali o dispositivi individualmente assegnati agli incaricati per l´accesso alla banca dati sia in modalità di "consultazione", sia in modalità di "inserimento/modifica" dell´anagrafica, consentirebbe infatti una immediata identificazione del soggetto che ha avuto accesso al sistema, unitamente alla postazione e all´ora dell´accesso, garantendo così una maggiore sicurezza dei dati personali degli interessati.

Inoltre, la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamento dei log di accesso ai sistemi di profilazione in modo da poter realizzare un controllo analitico ex post di tutte le attività svolte.

5. Informativa.

Appare opportuno ricordare che il principio fondante su cui si basa la tutela dei dati personali è quello dell´informativa: gli interessati, cioè, devono essere sempre resi edotti delle finalità per le quali conferiscono i propri dati. In tal modo, infatti, sono messi in grado di scegliere se conferire o meno il consenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciato i dati.

Nel caso specifico, quindi, il conferimento dei propri dati per l´inserimento degli stessi nella banca dati è eventuale e ulteriore rispetto a quello relativo all´acquisto di una crociera (ad esempio, per esigenze di fatturazione) e subordinato a un consenso libero e specifico dell´interessato.

Pertanto, l´informativa da rendere rispetto al trattamento dei dati personali che Costa intende effettuare deve risultare completa degli elementi previsti dall´art. 13 del Codice.

In particolare, Costa dovrà integrare l´attuale modulistica con riguardo all´informativa rivolta agli interessati, specificando, nella parte relativa alle finalità del trattamento, che il trattamento di profilazione della clientela, effettuato attraverso dati personali, viene realizzato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante.

Anche con riguardo al periodo di conservazione dei "dati di profilazione," la società dovrà specificare che gli stessi saranno conservati per il periodo massimo di dieci anni precedentemente indicato, così come previsto dal presente provvedimento e che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente.

Inoltre, l´informativa dovrà comprendere una chiara indicazione che l´inserimento nella banca dati è facoltativo e avverrà solamente previo consenso dell´interessato. Dovrà altresì specificare che l´inserimento dei dati dell´interessato nella banca dati comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Costa, designati incaricati del trattamento. Tali indicazioni dovranno avere una autonoma visibilità nel corpo del testo dell´informativa e dovranno essere separate da tutte le altre, ad esempio, inserite in un apposito paragrafo.

L´informativa predisposta da Costa dovrà, infine, richiamare i diritti che l´interessato può esercitare in base all´art. 7 del Codice. Tali diritti devono essere evidenziati specificando che gli stessi riguardano anche l´attività di profilazione svolta dalla società, nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramente la possibilità, per l´interessato, di esercitare il diritto di opposizione al trattamento dei suoi dati personali.

6. Consenso dell´interessato per l´attività di profilazione e di marketing.

Appare opportuno ricordare che il principio generale previsto dall´art. 23 Codice prevede la necessità, per il titolare, di acquisire uno specifico consenso da parte dell´interessato per qualunque forma di trattamento, salvi i casi stabiliti dall´art. 24 del Codice, e che tale consenso non può essere sottoposto a termine, fatto salvo sempre il diritto dell´interessato di opporsi al trattamento ai sensi dell´art. 7 del Codice.

Pertanto Costa, oltre all´adozione delle misure e degli accorgimenti sopra descritti per svolgere l´attività di profilazione e al rilascio di un´idonea informativa dovrà necessariamente richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico e distinto a ciascun interessato per il trattamento relativo alla profilazione.

Se poi, come dichiarato, i dati personali di ciascun interessato, potranno essere utilizzati per attività ulteriori, quali quelle di marketing, Costa dovrà richiedere, ai sensi dell´art. 23 del Codice, un consenso specifico a ciascun interessato per tale ulteriore trattamento.

Occorre precisare, tuttavia, che relativamente all´attività promozionale realizzata tramite posta elettronica, il consenso non è necessario quando si tratti di prodotti e servizi analoghi e l´interessato non abbia rifiutato tale uso, inizialmente o in occasione dell´invio di successive comunicazioni, ai sensi dell´art. 130, comma 4, del Codice.

Si rileva, infine, che l´attività promozionale potrà essere realizzata sia attraverso marketing "generico", sia "profilato", conseguente, cioè, all´attività di profilazione e consistente nella realizzazione di campagne mirate per una certa clientela che presenta determinate caratteristiche.

Si ricorda infine, che è solo il titolare del trattamento, e cioè Costa, a poter svolgere attività di marketing. Qualora Costa volesse effettuare, attività promozionale tramite terzi, dovrebbe nominare tali soggetti responsabili del trattamento ai sensi dell´art. 29 del Codice, impartendo, in questo caso, precise istruzioni su ogni aspetto del trattamento. Inoltre, si ricorda che qualora i soggetti terzi siano stabiliti al di fuori dall´Unione Europea, sarebbe necessario comunque anche rispettare le disposizioni relative al trasferimento dei dati all´estero (artt. 42 e ss. del Codice).

7. Qualificazione soggettiva dei soggetti che trattano i dati: titolari, responsabili e incaricati del trattamento.

In base alle dichiarazioni rese da Costa, i dati personali che confluiscono nella banca dati provengono da tutti i Paesi in cui Costa effettua la propria attività, dunque non solo all´interno dell´Unione europea.

Occorre pertanto chiarire i profili relativi alla qualificazione soggettiva di coloro che intervengono nella raccolta dei dati e ne curano l´inserimento nella banca dati.

Sul punto, il Parere 8/2010 sul diritto applicabile (adottato il 16 dicembre 2010 dal Gruppo di lavoro articolo 29 per la protezione dei dati), chiarisce il campo di applicazione dell´art. 4 della direttiva 95/46/CE relativamente principio dello stabilimento, ovvero il diritto nazionale applicabile. Il citato parere chiarisce infatti che il riferimento allo "stabilimento" significa che l´applicabilità della legge di uno Stato membro sarà determinata dall´ubicazione di un suo stabilimento.

Ciò rileva, nel caso di specie, per quanto attiene alla raccolta dei dati personali effettuata nell´Unione Europea: infatti, ciascun punto di raccolta estero dei dati dei passeggeri (come ad esempio potrebbe essere un´agenzia di viaggi)  dovrà applicare la propria normativa nazionale per quanto riguarda la raccolta dei dati, unitamente al rilascio di una adeguata informativa e alla richiesta di eventuali consensi per comunicazioni promozionali a livello locale. Per tale aspetto il punto di raccolta è, evidentemente, titolare del trattamento con tutti gli obblighi che ne conseguono in base alla normativa di ciascun Paese, tra cui anche l´adozione di misure di sicurezza e la designazione di responsabili e incaricati del trattamento.
Alla luce di quanto detto, pertanto i singoli punti di raccolta e Costa sono contitolari del trattamento, ciascuna per gli aspetti di propria competenza (cfr. anche il citato parere 8/2010, par. III.1. in cui viene descritto all´esempio n. 3 un caso del tutto analogo relativo ad una catena di negozi prêt-à-porter).

Laddove i dati, invece, siano raccolti per conto di Costa, nell´ipotesi di volontaria iscrizione dell´interessato nella banca dati, come ad esempio per l´iscrizione on-line, Costa stessa, per tale ulteriore aspetto, deve considerarsi titolare del trattamento, rilasciare una idonea informativa e richiedere uno specifico consenso, come indicato nei paragrafi precedenti, mentre la succursale, sarà responsabile del trattamento.

Infatti, l´attività di profilazione sui dati presenti nella banca dati, descritta nei paragrafi precedenti, viene effettuata da Costa. Per tali profili, si applicherà quindi la legge italiana e Costa dovrà rilasciare un´idonea informativa e richiedere uno specifico consenso, come descritto nei paragrafi precedenti.

Per quanto riguarda la raccolta dei dati fuori dall´Unione Europea, il Garante ritiene che il principio da applicare è il medesimo, per cui la fase della raccolta sarà gestita autonomamente da ciascun punto di raccolta in base alla normativa nazionale, ma l´inserimento nella banca dati, di cui Costa è titolare, potrà avvenire solamente previo rilascio della suddetta informativa e previo rilascio di uno specifico consenso da parte dell´interessato, secondo la normativa italiana (sul punto cfr. il citato parere 8/2010, par. II.2.b).

A titolo informativo si rammenta, infine, che qualunque comunicazione dei dati a soggetti terzi, facenti parte del gruppo societario (quindi società controllate o collegate) o completamente estranei al gruppo (società che effettuano ricerche o analisi di mercato) rappresenta una comunicazione di dati a terzi, per la quale è necessario che Costa acquisisca un consenso specifico, a meno che tali soggetti non rivestano il ruolo di responsabili del trattamento, seguendo quindi tutte le istruzioni e le indicazioni che Costa impartirà loro per le attività che svolgono.

8. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis, Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

alla luce di quanto dichiarato e allo stato degli elementi forniti, ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Costa Crociere S.p.A., con sede in Genova, Piazza Piaccapietra, 48 relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e marketing conseguente, prescrivendo che:

1. siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, in particolare, con riguardo:

a)  alle procedure di autenticazione ed autorizzazione:

i. gli accessi alla banca dati devono avvenire mediante l´uso di un sistema di autenticazione adottato secondo i criteri stabiliti dal disciplinare tecnico in materia di misure minime di sicurezza di cui all´allegato B) del Codice;

ii. deve essere possibile effettuare il tracciamento dei log di accesso alla banca dati, in modo da realizzare un controllo analitico ex post delle attività svolte dai singoli incaricati;

b) al periodo di conservazione dei dati:

i. i dati utilizzati per l´attività di profilazione devono essere conservati per il periodo individuato in motivazione;

ii. alla scadenza di detto periodo, Costa Crociere S.p.A. deve provvedere alla cancellazione automatica di tali dati, ovvero alla trasformazione degli stessi in forma anonima in modo permanente prevedendo che, in ogni caso, i dati non siano trattati per un periodo superiore;

2. venga integrato il testo dell´informativa da rendere agli interessati specificando che:

Costa Crociere S.p.A. è l´unico titolare del trattamento dei dati e che le succursali estere AIDA Cruises, con sede  Rostock, Germania, e Ibero Cruceros, con sede a Madrid, Spagna, agiscono per conto di Costa Crociere S.p.A. in qualità di responsabili del trattamento; 

a) le attività di profilazione e di marketing sono solo eventuali e saranno realizzate solamente con i consensi specifici dell´interessato, qualora decida in inserire i propri dati nella banca dati;

b) l´inserimento dei dati personali nella banca dati comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso anche presso ciascun punto di raccolta estero;

c) nella parte relativa alle finalità, il trattamento di profilazione della clientela viene effettuato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante nel presente provvedimento;

d) il periodo di conservazione dei "dati di profilazione" non sarà superiore a quello individuato in motivazione e che, alla relativa scadenza, tali dati saranno cancellati automaticamente, ovvero resi anonimi in modo permanente;

e) i diritti che l´interessato può esercitare in base all´art. 7 del Codice riguardano anche l´attività di profilazione, con particolare riferimento al diritto di opposizione al trattamento.

3. venga data una autonoma visibilità nel corpo del testo dell´informativa, anche graficamente, alle prescrizioni di cui ai punti 2.a) e 2.b);

4. considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, venga trasmessa al Garante entro il termine di 90 giorni dalla data dell´eventuale attivazione del sistema, copia della documentazione comprovante l´adozione delle misure individuate ai precedenti punti 1, 2 e 3.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma,  12 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
3315156
Data
12/06/14

Argomenti


Tipologie

Verifica preliminare