Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Trattamento di dati della clientela per finalità di profilazione e marketing - 15 dicembre 2016 [5958146]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5958146
Data:
15/12/16
Argomenti:
Marketing , Conservazione di dati , Profilazione
Tipologia:
Verifica preliminare

[doc. web n. 5958146]

Verifica preliminare. Trattamento di dati della clientela per finalità di profilazione e marketing - 15 dicembre 2016

Registro dei provvedimenti
n. 534 del 15 dicembre 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale adottato in data 24 febbraio 2005 (in www.garanteprivacy.it, doc. web n. 1103045);

ESAMINATA la richiesta di verifica preliminare pervenuta il 23 novembre 2015 ai sensi dell´art. 17 del Codice da Kiron Partner s.p.a. (di seguito "Kiron") rispetto al trattamento dei dati personali della propria clientela per finalità di profilazione e marketing;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1.1. Kiron - società appartenente al Gruppo Tecnocasa Holding s.p.a. che opera in Italia nel settore della mediazione creditizia e assicurativa, allo stato attraverso circa 500 agenti operanti con il marchio Kiron o Epicas (di seguito "operatori")  ha presentato un´istanza di verifica preliminare ai sensi dell´art. 17 del Codice (analoga ad altra, più risalente, non ulteriormente coltivata dopo la richiesta di elementi dell´Ufficio) concernente il trattamento di dati della propria clientela per finalità di profilazione e marketing per un periodo superiore, rispettivamente, a dodici e ventiquattro mesi.

1.2. Con l´istanza la società richiede di poter (conservare e) trattare i dati riferiti alla propria clientela per un periodo pari a venti anni per finalità di profilazione e marketing mediante un sistema di Customer relationship management ("Crm") contenente i dati personali dei clienti (raccolti con le modalità che di seguito si indicherà, vedi punto 2.2) cui avrebbero accesso tutti gli "operatori" in funzione di regole geografiche stabilite da Kiron. Ciò in ragione del fatto che, nel mercato della mediazione creditizia e assicurativa, il cliente usufruisce di un servizio strumentale alla conclusione di un contratto di mutuo, finanziamento e/o assicurazione e tale servizio può essere reso senza che si pervenga, in ultima analisi, alla conclusione del contratto stesso.

2.1. I dati, riferiti alla clientela, che la Società intende trattare nel proprio Crm, sono (cfr. istanza, all. 1, p. 3):

a. dati anagrafici;

b. categorizzazione (secondo le tipologie: famiglia, studi, lavoro);

c. dati di contatto (numero di telefono e indirizzo email);

d. residenza e domicilio;

e. provenienza dei dati (dato raccolto da un operatore Kiron/Epicas, dal sito Internet, dagli affiliati delle reti di franchising immobiliare Tecnocasa/Tecnorete, da società terze che gestiscono portali immobiliari);

f. dati sulla situazione patrimoniale e reddituale;

g. dati su esposizioni finanziarie;

h. dati su coperture assicurative;

i. attività e/o appuntamenti eseguiti e pianificati;

j. esigenze di finanziamento (ad es. caratteristiche del finanziamento, importo, durata);

k. esigenze di copertura finanziaria (ad es. tipo di rischio, premio, durata);

l. pratiche di richiesta del finanziamento (ad es. caratteristiche del finanziamento, importo, durata, istituto, prodotto);

m. pratiche di assicurazioni (ad es. ramo assicurativo, compagnia, premio).

2.2. I dati possono essere raccolti (cfr. istanza, all. 1, p. 2):

a. tramite schede cartacee compilate dai clienti interessati a un mutuo, finanziamento e/o prodotto assicurativo, dagli "operatori";

b. in occasione della sottoscrizione di richieste di mutuo, finanziamento e/o assicurazione o di conclusione di contratti di mutuo, finanziamento e/o assicurazione;

c. mediante la compilazione dei modelli elettronici presenti sul sito Internet di Kiron;

d. mediante comunicazione degli stessi da  parte di Tecnocasa Franchising s.p.a. o dagli affiliati delle reti franchising di Tecnocasa o Tecnorete;

e. mediante la comunicazione degli stessi da parte di società terze, che gestiscono portali web e con cui Kiron ha stipulato accordi commerciali.

2.3. In base a quanto rappresentato, Kiron sarà l´unico titolare del trattamento dei dati presenti nel Crm che sarà accessibile da tutti gli "operatori", designati responsabili del trattamento e dai rispettivi incaricati del trattamento (cfr. istanza, all. 1, p. 4).

2.4. Tutti i dati personali andranno ad alimentare un unico database gestito da fornitori esterni; il servizio verrà erogato in modalità SaaS (software as a service) e sarà fruibile via web e in mobilità (cfr. istanza, all. 1, pp. 3 e 4). Kiron ha dichiarato che provvederà a designare le società che si occupano della gestione e manutenzione tecnica del sistema Crm, quali responsabili del trattamento.

2.5.1. Kiron intende utilizzare il Crm anche per le attività di profilazione dei clienti nonché per la conseguente attività di marketing mediante offerte di proposte mirate oltre che per svolgere ricerche di mercato. In particolare, Kiron ha precisato che i dati presenti nel Crm saranno utilizzati per finalità contrattuali (che non formano oggetto del presente procedimento) e per finalità di profilazione e marketing generalizzato o individualizzato (ovvero  "profilato").

2.5.2. L´attività di marketing, previo consenso informato degli interessati, sarà effettuata attraverso modalità di contatto tradizionali (posta cartacea o chiamate tramite operatore) e automatizzate (email, sms).

2.6 Kiron ha rappresentato che verranno rilasciate diverse informative e richiesti consensi in base alle diverse modalità di raccolta dei dati. In particolare, qualora i dati siano:

a) raccolti attraverso il sito Internet di Kiron:

i. verrà rilasciata un´informativa (cfr. istanza, all. 2);

ii. in questa fase, non saranno richiesti specifici consensi all´interessato in quanto la finalità del trattamento consiste unicamente nella richiesta di un contatto commerciale con un "operatore";

iii. al momento del primo contatto, l´"operatore" procederà con le modalità di cui alla seguente lett. b);

b) raccolti attraverso i moduli cartacei da parte degli "operatori":

i. verrà contestualmente rilasciata un´informativa (cfr. istanza, all. 3);

ii. saranno richiesti dagli incaricati della Società due specifici consensi (cfr. istanza all. 4), uno per il perseguimento di finalità di marketing proprie e uno per lo svolgimento, nel proprio interesse, di attività di profilazione;

c) provenienti da Tecnocasa Franchising s.p.a. o dagli affiliati delle reti franchising immobiliare di Tecnocasa/Tecnorete (in questo caso i dati saranno comunicati a Kiron solo previo espresso consenso dell´interessato a detta comunicazione):

i. verrà rilasciata un´informativa per email al momento della registrazione dei dati (cfr. istanza, all. 5);

ii. al momento del primo contatto, l´"operatore" procederà con le modalità di cui alla precedente lett. b);

d) provenienti da terze società che gestiscono portali immobiliari con cui Kiron ha stipulato accordi commerciali:

i. verrà rilasciata un´informativa per email al momento della registrazione dei dati (cfr. all. 6);

ii. tali dati saranno utilizzati unicamente per finalità contrattuali e, solo qualora si instauri un contatto tra il cliente e l´"operatore", quest´ultimo procederà con le modalità di cui alla precedente lett. b).

All´interno di ciascuno dei modelli predisposti sono elencati i diritti attribuiti all´interessato dall´art. 7 del Codice, indicando un indirizzo di posta elettronica (info@kiron.com) per facilitarne l´esercizio.

2.7. Il tempo massimo di conservazione dei dati presenti nel Crm prospettato da Kiron, come detto, è pari a venti anni e sarebbe necessario in considerazione della circostanza che, secondo quanto dichiarato, i clienti si rivolgono a un´agenzia di mediazione creditizia per la richiesta di mutui da una a due volte nell´arco di dieci anni e per quanto riguarda la richiesta di prestiti da una a cinque volte nell´arco di dieci anni. Per quanto concerne i prodotti assicurativi, essendo questi prevalentemente collegati a mutui e prestiti, essi seguono le medesime tempistiche del prodotto cui si riferiscono. Pertanto un tempo di conservazione dei dati inferiore a quello indicato inciderebbe significativamente sull´utilità della profilazione della clientela.

2.8. Kiron ha provveduto a notificare al Garante, in data 23 novembre 2015, il trattamento dati effettuato con l´ausilio di strumenti elettronici volto a definire il profilo o la personalità dell´interessato o ad analizzare abitudini o scelte di consumo.

2.9. Kiron ha dichiarato che, per la gestione del Crm, verranno adottate le misure di sicurezza, anche minime, previste agli artt. 31 ss. e dal Disciplinare tecnico di cui all´allegato B) del Codice; verranno istituite procedure di backup dei dati e di disaster recovery; verranno altresì memorizzati i «log degli accessi e dei tentativi falliti di accesso» relativi agli ultimi sei mesi.

3.1. Tanto premesso, conviene in anteparte puntualizzare che oggetto del presente provvedimento sono i soli aspetti connessi al trattamento dei dati che, raccolti nel Crm, sono trattati per finalità di profilazione e marketing da Kiron".

3.2. Rilevato che Kiron nel presentare l´istanza ha già tenuto conto delle prescrizioni in passato impartite dal Garante in relazione a trattamenti che presentano analogie rispetto a quello qui in esame (cfr. i provvedimenti richiamati al punto successivo), considerate le misure che la Società dichiara di voler porre in essere, si procederà di seguito ad identificare i tempi massimi di conservazione dei dati, mettendo a fuoco i soli aspetti non espressamente considerati nella richiesta, con l´individuazione delle conseguenti prescrizioni.

4.1. Con riguardo all´oggetto specifico della presente verifica preliminare, consistente nell´individuazione dei tempi massimi di conservazione dei dati riferiti alla clientela, considerato che i dati personali concernenti operazioni di richieste di mutuo, finanziamento e/o assicurazione hanno una frequenza mediamente bassa (cfr. punto 2.7), deve ritenersi che i tempi massimi di conservazione dei dati individuati nel menzionato provvedimento del 24 febbraio 2005 possano significativamente ridurre l´utilità dell´attività di profilazione.

Pertanto, considerato anche che in casi analoghi è stato ritenuto proporzionato per le ricordate finalità un più ampio intervallo di conservazione dei dati (cfr., nel settore dei beni di lusso, i provv.ti 24 aprile 2013, n. 219, doc. web n. 2499354; 30 maggio 2013, n. 263, doc. web n. 2547834; 7 novembre 2013, n. 500, doc. web n. 2920245; 2 dicembre 2015, n. 632, doc. web n. 4642844 e, nel  settore di intermediazione immobiliare, per attività peraltro correlate a quelle oggetto del presente provvedimento, 30 giugno 2016, n. 285, doc. web n. 5411203), per la fattispecie in esame i dati ‒ come sopra individuati al punto 2.1, nel rispetto del principio di pertinenza e non eccedenza ‒ potranno essere conservati per un periodo massimo pari a dieci anni, decorrente dalla registrazione degli stessi. Ciò in quanto tale arco temporale appare congruo e proporzionato alle finalità che si intendono realizzare, considerata la tipologia di dati personali oggetto di trattamento e le finalità dello stesso.

Alla scadenza del suddetto periodo di conservazione, i dati personali dovranno essere automaticamente cancellati, ovvero resi anonimi in modo permanente e non reversibile.

4.2. Per quanto attiene all´acquisizione dei dati non necessari per le finalità contrattuali, ma pertinenti e non eccedenti rispetto all´attività di profilazione e marketing, sarà obbligo della società distinguerli chiaramente dagli altri in sede di raccolta. In questo modo l´interessato potrà essere agevolmente reso edotto che il trattamento di tali informazioni è facoltativo e decidere così liberamente se fornire o meno il proprio consenso al loro utilizzo per le finalità di marketing e profilazione. Considerato che il conferimento dei dati da parte della clientela in vista del loro inserimento nel Crm per finalità di profilazione e marketing è ulteriore (ed eventuale) rispetto alla finalità di mediazione creditizia e/o assicurativa perseguita da Kiron, esso è subordinato a un consenso libero e specifico dell´interessato.

Allo stato, in base alla modulistica predisposta per acquisire i dati e le manifestazioni di consenso da parte degli interessati (cfr. il modello unito all´istanza, all. 4) tali informazioni non sono presenti, né risulta predisposta sezione apposita destinata ad accoglierle. Sarà obbligo della Società, pertanto, inserire nei modelli da sottoporre all´interessato un apposito spazio con l´indicazione di quali dati personali saranno trattati per le finalità di profilazione e marketing.

4.3. Con riguardo all´informativa prevista dall´art. 13 del Codice, essa dovrà essere integrata e indicare dettagliatamente:

a. le tipologie dei dati che la società intende trattare per la menzionata finalità di profilazione e marketing mirato;

b. il periodo massimo di conservazione dei dati, pari a dieci anni, così come previsto dal presente provvedimento, con l´indicazione che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente e non reversibile.

L´interessato dovrà in ogni caso essere chiaramente informato che il trattamento di tali informazioni è facoltativo, e potrà decidere liberamente se manifestare il proprio consenso all´utilizzo dei dati a sé riferiti per queste ulteriori finalità.

Tali indicazioni dovranno avere una autonoma visibilità nel corpo del testo dell´informativa e dovranno essere separate da tutte le altre, ad esempio, inserite in un apposito paragrafo.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Kiron Partner s.p.a., con sede in Rozzano, Via Monte Bianco 60/A, relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e di marketing, prescrivendo che siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 15 dicembre 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia