g-docweb-display Portlet

Verifica preliminare. Trattamento di dati personali diretto alla profilazione della clientela - 2 dicembre 2015 [4642844]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4642844]

Verifica preliminare. Trattamento di dati personali diretto alla profilazione della clientela - 2 dicembre 2015

Registro dei provvedimenti
n. 632 del 2 dicembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

ESAMINATA la richiesta di verifica preliminare presentata ai sensi dell´art. 17 del Codice da Fendi s.r.l. (di seguito "Fendi") rispetto al trattamento dei dati personali della propria clientela per finalità di profilazione e marketing;

VISTI gli elementi acquisiti anche a seguito della richiesta di informazioni e chiarimenti rivolta alla società;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Trattamento di dati personali diretto alla profilazione della clientela da parte di Fendi s.r.l.

Fendi ha presentato al Garante, il 29 settembre 2015, una richiesta di verifica preliminare ai sensi dell´art. 17 del Codice, regolarizzata con il pagamento dei diritti di segreteria in data 26 ottobre 2015, sulla base del provvedimento generale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("´Fidelity card´ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione", in www.garanteprivacy.it, doc. web n. 1103045, di seguito "provvedimento generale"). Tale provvedimento ha stabilito che eventuali intenzioni di trattare i dati per finalità di profilazione e marketing, per un periodo superiore, rispettivamente, a dodici e ventiquattro mesi, potranno essere attuate solo previa valutazione dell´Autorità ai sensi dell´art. 17 del Codice.

L´istanza presentata da Fendi riguarda la possibilità di conservare i dati della propria clientela per un periodo pari a dieci anni, per attività di profilazione e marketing conseguente.

I dati che si intende conservare nel CRM, in base alla documentazione inviata, sono i dati anagrafici, i dati di contatto, i dati inerenti gli acquisti effettuati, quelli necessari per le finalità contrattuali e dati ulteriori, "non strettamente necessari per le finalità contrattuali ma utili per attività di marketing".

Nello specifico, secondo il progetto presentato, nel CRM dovrebbero confluire i dati personali dei clienti distinti per tipologia: il "cliente retail", che compila una cartolina cartacea in negozio e il "cliente online", che compila il form di registrazione sul sito www.fendi.com. Per quanto riguarda il "cliente retail", i dati che Fendi intenderebbe conservare sono: dati anagrafici (nome, cognome, data di nascita, sesso, nazionalità), dati di contatto (residenza, domicilio, Paese, numero di telefono, numero di cellulare, email), dati inerenti gli acquisti effettuati (addetto che ha effettuato la vendita, boutique presso la quale è avvenuta la vendita, tipo, quantità e prezzo dei prodotti acquistati), dati necessari alle finalità contrattuali (codice fiscale, partita IVA solo se necessari per il tax free), dati personali "non strettamente necessari per le finalità contrattuali ma utili per attività di marketing" (età, categorie di prodotti preferiti, colore, stile, altri marchi acquistati, hobby, Paesi più visitati, come il cliente conosce Fendi, taglia, misura scarpe, stato civile, numero di figli, anniversario, note legate a preferenze di acquisto o esigenze speciali espresse dal cliente es. materiali preferiti).

Per quanto riguarda il "cliente online" i dati che Fendi intenderebbe conservare sono: dati anagrafici (identici al cliente retail), dati di contatto (Paese di residenza e email), dati inerenti gli acquisti effettuati (tipo, quantità e prezzo dei prodotti acquistati), dati necessari per la consegna dei beni (nome, cognome, indirizzo, numero di telefonia mobile e fissa, pacco regalo).

Nell´istanza citata Fendi ha dichiarato che intende procedere alla profilazione mediante la creazione di un sistema di Customer Relationship Management worldwide (di seguito "CRM") contenente i dati personali dei clienti, da utilizzarsi da parte di tutte le aziende consociate.

Lo scopo del CRM consiste nella profilazione dei clienti in base agli acquisti effettuati e ad altri dati eventuali facoltativamente forniti dall´interessato e nella conseguente offerta di campagne mirate di marketing, nonché per svolgere ricerche di mercato.

Nello specifico Fendi ha precisato che utilizzerà il CRM, per le attività collegate alle diverse finalità, ed in particolare: amministrazione e contabilità, fidelizzazione in senso stretto, marketing e profilazione. Fendi ha indicato per la sola ipotesi di marketing e profilazione, la necessità di acquisire uno specifico e distinto consenso, non ritenendo questa condizione necessaria per la "fidelizzazione in senso stretto", che consisterebbe nell´offerta di alcuni servizi gratuiti quali, ad esempio, sartoria o consegna a domicilio, da proporre ai soli clienti che raggiungono una particolare soglia di spesa.

Per quanto attiene alle finalità di profilazione, Fendi ha precisato che per esse intende le seguenti attività: creazione di profili di gruppo e individuali e analisi degli interessi, delle preferenze e delle scelte di consumo tramite l´utilizzo dei dati forniti dai clienti, nonché dei dati relativi al dettaglio degli acquisti effettuati presso i negozi fisici e virtuali di Fendi in Italia e nel mondo.

Per quanto attiene alle finalità di marketing, Fendi ha precisato che per esse intende le seguenti attività: ricerche, analisi di mercato, invio periodico di materiale promozionale e di newsletter su prodotti, servizi e promozioni e su eventi dalla stessa organizzati da Fendi o cui Fendi partecipa ed eventuali inviti agli stessi, anche personalizzati, con modalità di contatto automatizzate - posta elettronica, fax, sms, mms - e tradizionali - posta cartacea, chiamate tramite operatore - nonché trattamento personalizzato presso ogni negozio Fendi in Italia e all´estero.

Il tempo di conservazione dei dati presenti nel CRM prospettato da Fendi, come detto, è di dieci anni e sarebbe necessario in considerazione della tipologia di beni offerti che sono beni di lusso. Tale tipologia ha come peculiarità una frequenza media di acquisto da parte di un cliente pari a uno o al massimo due all´anno, generalmente in concomitanza dei periodi delle collezioni primavera-estate e autunno-inverno e quindi, qualora si considerasse un tempo inferiore di conservazione, la profilazione non sarebbe utile.

2. Tipologia dei dati conservati e tempi di conservazione: misure ed accorgimenti prescrittivi.

In precedenti casi il Garante ha individuato in dodici mesi il termine massimo di conservazione dei dati per finalità di profilazione (cfr. il provvedimento sulla tv interattiva del 3 febbraio 2005 -doc. web n. 1109503- e il citato provvedimento generale relativo ai programmi di fidelizzazione). Negli ultimi anni, inoltre, il Garante, in fattispecie simili a quella attuale, ha adottato tre provvedimenti (a seguito di altrettante richieste di prior checking) relativi alla conservazione di dati per finalità di profilazione e marketing, consentendone la conservazione per un periodo più ampio (doc. web nn. 2499354, 2547834 e 2920245).

Nel caso in esame, relativamente al periodo di conservazione, si osserva che i dati personali che Fendi intende conservare riguardano acquisti relativi a beni particolari di cd. "fascia alta" e, come dichiarato nell´istanza presentata, la frequenza media annuale di acquisto, per ciascun cliente, è pari a uno o, al massimo, due. Pertanto, è ragionevole ritenere che dodici e ventiquattro mesi possano risultare un tempo di conservazione eccessivamente limitato. Relativamente alla tipologia dei dati che si intende trattare, occorre innanzitutto rilevare che il principio cui si deve ispirare ogni trattamento di dati personali, previsto dall´art. 3 del Codice, è quello di necessità, per cui è essenziale limitare i trattamenti ai soli dati effettivamente indispensabili a raggiungere la finalità perseguita.

Alla luce di quanto sopra, pertanto, oltre ai dati anagrafici e ai dati di contatto, il Garante ritiene che i "dati di profilazione" che potranno essere inseriti nel CRM per le finalità perseguite saranno quelli relativi all´acquisto effettuato: boutique presso la quale è avvenuta la vendita, numero dei prodotti acquistati, con la relativa indicazione di tipo, quantità e prezzo.

Per quanto attiene all´acquisizione dei dati non necessari per le finalità contrattuali, ma ritenuti utili comunque alla società per attività di profilazione e marketing, sarà obbligo della società distinguerli chiaramente dagli altri all´interno nei modelli cartacei da compilare o nel form online. In questo modo l´interessato potrà essere ben informato che il trattamento di tali informazioni è facoltativo, e potrà decidere liberamente e discrezionalmente se fornire o meno il proprio consenso all´utilizzo dei suoi dati per queste ulteriori finalità.

Alla luce di quanto sopra, il Garante ritiene che i dati personali precedentemente individuati, con le specifiche indicazioni per i dati ulteriori, siano conservati per un termine pari ad un massimo di sette anni, in quanto tale arco temporale appare congruo e proporzionato sia alle finalità che si intendono realizzare sia alla tipologia di dati personali oggetto di trattamento. Il medesimo termine di conservazione risulta altresì adeguato in relazione ai rischi degli interessati dei cui dati si tratta, in quanto, nonostante i beni acquistati riguardino un genere particolare, di "fascia alta", i singoli prezzi variano a seconda della tipologia di prodotto, partendo da importi, per una vasta categoria di articoli, non sempre particolarmente elevati.

Alla scadenza del suddetto periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Fendi, dovranno essere cancellati automaticamente, ovvero resi anonimi in modo permanente e non reversibile. Anche in caso dell´acquisizione di un nuovo, libero e specifico consenso, i dati dovranno essere trattati, in ogni caso, per un periodo non superiore a sette anni.

3. Modalità tecniche di conservazione e modalità di accesso ai dati presenti nel CRM.

I dati saranno conservati, in base a quanto dichiarato, su server presenti in Italia e il titolare del trattamento è Fendi.

La circostanza che ciascun addetto alla vendita in qualunque negozio di Fendi nel mondo o qualunque dipendente di uffici di Fendi nel mondo possa accedere al CRM per creare un´"anagrafica", visualizzarla o modificarla, rende il trattamento dei dati personali particolarmente rischioso, anche in considerazione del fatto che la tipologia di dati conservati riguarda una particolare tipologia di clientela.

In ragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM, sia nell´ambito degli "uffici", sia nell´ambito dei "negozi", ciascuno per il settore di propria competenza e per i propri ambiti (visibilità e attività di analisi e/o marketing) siano designati incaricati del trattamento, ai sensi dell´art. 30 del Codice.

Da un punto di vista tecnico, il Garante ritiene necessario richiamare l´attenzione sulla necessità di mettere in atto le misure di sicurezza, anche minime, previste agli artt. 31-36 e dal Disciplinare tecnico di cui all´allegato B) del Codice a tutela dei dati personali degli interessati presenti nel CRM: è necessario pertanto che tutti gli incaricati che hanno la possibilità di accedervi utilizzino un sistema di autenticazione informatica nei termini previsti dalle norme citate.

Un sistema di autenticazione con credenziali o dispositivi individualmente assegnati agli incaricati per l´accesso al CRM, sia in modalità di "consultazione", sia in modalità di "inserimento/modifica" dell´anagrafica, consentirebbe infatti una immediata identificazione del soggetto che ha avuto accesso al sistema, unitamente alla postazione e all´ora dell´accesso, garantendo così una maggiore sicurezza dei dati personali degli interessati.

Inoltre, la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamento dei log di accesso ai sistemi di profilazione in modo da poter realizzare un controllo analitico ex post di tutte le attività svolte. I dati relativi ai log di accesso potranno essere conservati per un periodo adeguato pari a sei mesi.

4. Informativa.

Come sopra già evidenziato, il principio fondante su cui si basa la tutela dei dati personali è quello dell´informativa.

Nel caso specifico, quindi, il conferimento dei propri dati per l´inserimento degli stessi nel CRM è eventuale e ulteriore rispetto a quello relativo all´acquisto di un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinato a un consenso libero e specifico dell´interessato, tanto più considerando che i dati eventualmente forniti non riguardano solo l´acquisto effettuato ma anche, come si è visto, informazioni ulteriori non collegate ad esso.

Pertanto, l´informativa da rendere rispetto al trattamento dei dati personali che Fendi intende effettuare deve risultare completa degli elementi previsti dall´art. 13 del Codice.

In particolare, Fendi dovrà integrare l´attuale modulistica con riguardo all´informativa rivolta agli interessati, specificando, in maniera analitica e dettagliata (e non solamente esemplificativa) l´elenco dei dati che intende acquisire e conservare.

Inoltre, nella parte relativa alle finalità del trattamento, Fendi dovrà specificare che il trattamento di profilazione della clientela, effettuato attraverso dati personali, viene realizzato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante.

Anche con riguardo al periodo di conservazione dei "dati di profilazione," la società dovrà specificare che gli stessi saranno conservati per finalità di profilazione e marketing per il periodo massimo di sette anni precedentemente indicato, così come previsto dal presente provvedimento e che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente.

Inoltre, l´informativa dovrà comprendere una chiara indicazione che l´inserimento nel CRM è facoltativo e avverrà solamente previo consenso dell´interessato. Dovrà altresì specificare che l´inserimento dei dati dell´interessato nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso nell´ambito degli uffici e dei negozi di Fendi nel mondo, soggetti comunque debitamente designati incaricati del trattamento. Tali indicazioni dovranno avere una autonoma visibilità nel corpo del testo dell´informativa e dovranno essere separate da tutte le altre, ad esempio, inserite in un apposito paragrafo.

L´informativa predisposta da Fendi dovrà, infine, richiamare i diritti che l´interessato può esercitare in base all´art. 7 del Codice. Tali diritti devono essere evidenziati specificando che gli stessi riguardano anche l´attività di profilazione svolta dalla società, nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramente la possibilità, per l´interessato, di esercitare il diritto di opposizione al trattamento dei suoi dati personali. Appare utile, dunque, la creazione di un indirizzo email dedicato per tali attività, così come prospettato nell´istanza di verifica preliminare da Fendi.

5. Consenso dell´interessato per l´attività di profilazione e di marketing.

Appare opportuno ricordare che il principio generale previsto dall´art. 23 Codce prevede la necessità, per il titolare, di acquisire uno specifico consenso da parte dell´interessato per qualunque tipo di trattamento, salvi i casi stabiliti dall´art. 24 del Codice, e che tale consenso non può essere sottoposto a termine, fatto salvo sempre il diritto dell´interessato di opporsi ai sensi dell´art. 7 del Codice.

Pertanto Fendi, oltre all´adozione delle misure e degli accorgimenti sopra descritti per svolgere l´attività di profilazione e al rilascio di un´idonea informativa dovrà necessariamente richiedere, ai sensi dell´art. 23 del Codice, due consensi specifici e distinti a ciascun interessato per i trattamenti relativi rispettivamente alla profilazione e al marketing.

Occorre precisare, tuttavia, che relativamente alla sola attività marketing realizzata tramite posta elettronica, il consenso non è necessario quando si tratti di prodotti e servizi analoghi e l´interessato non abbia rifiutato tale uso, inizialmente o in occasione dell´invio di successive comunicazioni, ai sensi dell´art. 130, comma 4, del Codice.

6. Qualificazione soggettiva dei soggetti che trattano i dati: titolari, responsabili e incaricati del trattamento.

In base alle dichiarazioni rese da Fendi, i dati personali che confluiscono nel CRM provengono da tutti i Paesi in cui Fendi ha i propri punti vendita, dunque non solo all´interno dell´Unione europea.

Sotto tale profilo, si rileva che Fendi è, in ogni caso, l´unico titolare del trattamento e, conseguentemente, dovrà provvedere a designare ciascun negozio quale responsabile del trattamento, ai sensi dell´art. 29 del Codice e ciascun soggetto che accede al CRM quale incaricato del trattamento, ai sensi dell´art. 30 del Codice.

Oltre a ciò, Fendi ha dichiarato nell´istanza di voler procedere, ad avviso del Garante in maniera corretta, a designare le società che si occupano della gestione e manutenzione tecnica del sistema CRM, quali responsabili esterni.

Allo stesso modo, Fendi ha dichiarato di voler designare quali responsabili esterni anche le società che offrono servizi di acquisizione e data entry di dati personali, postalizzazione del materiale promozionale e ricerche di mercato.

7. Notificazione.

Il Garante rileva che, ai fini delle attività di profilazione, è necessario che Fendi effettui la notificazione ai sensi degli artt. 37 e ss. del Codice.

Ad oggi, infatti, da un esame dei dati presenti all´interno del registro dei trattamenti, risulta che in data 24 ottobre 2012, solo Fendi Italia s.r.l. e Fendi Adele s.r.l. abbiano effettuato la prima notificazione al Garante relativa alla profilazione e, specificamente, al "trattamento effettuato con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o a analizzare abitudini o scelte di consumo, ovvero a monitorare l´utilizzo di servizi di comunicazione elettronica con l´esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi".

Nella notificazione che dovrà effettuare, Fendi è tenuta a fornire tutte le informazioni previste, tra cui quelle relative all´indicazione: dei cittadini cui si riferiscono i dati trattati, delle finalità per le quali intende effettuare il trattamento e dell´ubicazione dei server utilizzati per tali attività.

8. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis, Codice. Si ricorda, inoltre, che la falsità nelle dichiarazioni e notificazioni al Garante comporta l´applicazione della sanzione di cui all´art. 168 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

alla luce di quanto dichiarato e allo stato degli elementi forniti, ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Fendi s.r.l., con sede in Roma, Palazzo della Civiltà, Quadrato della Concordia 3, relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e di marketing conseguente, prescrivendo che:

1. siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, in particolare, con riguardo:

a) alla tipologia di "dati di profilazione", conservando nel CRM i dati relativi al dettaglio dell´acquisto e i dati ulteriori, così come indicati in motivazione;

b) alle procedure di autenticazione ed autorizzazione:

i. gli accessi al CRM devono avvenire mediante l´uso di un sistema di autenticazione adottato secondo i criteri stabiliti dal disciplinare tecnico in materia di misure minime di sicurezza di cui all´allegato B) del Codice;

ii. deve essere possibile effettuare il tracciamento dei log di accesso al CRM, in modo da realizzare un controllo analitico ex post delle attività svolte dai singoli incaricati, conservando i relativi file di log per un periodo adeguato pari a sei mesi;

c)  al periodo di conservazione dei dati:

i. i dati utilizzati per l´attività di profilazione e di marketing devono essere conservati per il periodo individuato in motivazione;

ii. alla scadenza di detto periodo, Fendi deve provvedere alla cancellazione automatica di tali dati, ovvero alla trasformazione degli stessi in forma anonima in modo permanente;

2. venga integrato il testo dell´informativa da rendere agli interessati specificando che:

a) le attività di profilazione e di marketing sono eventuali e saranno realizzate solamente con i consensi specifici dell´interessato, qualora decida in inserire i propri dati nel CRM;

b) l´inserimento dei dati personali nel CRM comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioè tutti i dipendenti di Fendi presso gli uffici e i negozi nel mondo;

c) i dati conservati sono solamente quelli indicati (inserendo quindi l´elenco analitico e dettagliato dei dati personali che si intende acquisire e conservare);

d) nella parte relativa alle finalità, il trattamento di profilazione della clientela viene effettuato nel rispetto delle garanzie e delle misure necessarie prescritte dal Garante nel presente provvedimento;

e) il periodo di conservazione dei "dati di profilazione" non sarà superiore a quello individuato in motivazione e che, alla relativa scadenza, tali dati saranno cancellati automaticamente, ovvero resi anonimi in modo permanente;

f) i diritti che l´interessato può esercitare in base all´art. 7 del Codice riguardano anche l´attività di profilazione, con particolare riferimento al diritto di opposizione al trattamento;

3. venga data una autonoma visibilità nel corpo del testo dell´informativa, anche graficamente, alle prescrizioni di cui ai punti 2.a), 2.b) e 2.c);

4. considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, venga trasmessa al Garante entro il termine di 60 giorni dalla data dell´eventuale attivazione del sistema, copia della documentazione comprovante l´adozione delle misure individuate ai precedenti punti 1, 2 e 3.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 dicembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4642844
Data
02/12/15

Tipologia

Verifica preliminare