Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela per il loro utilizzo a fini di profilazione e di promozione commerciale profilata - 9 maggio 2018 [8998319]

[doc. web n. 8998319]

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela per il loro utilizzo a fini di profilazione e di promozione commerciale profilata - 9 maggio 2018

Registro dei provvedimenti
n. 274 del 9 maggio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”); 

Visto il provvedimento generale del Garante del 24 febbraio 2005 relativo a “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” (in www.garanteprivacy.it, doc. web n. 1103045);

Esaminata la richiesta di verifica preliminare presentata da BMW Italia S.p.A. (di seguito BMW o la società), ai sensi dell’art. 17 del Codice, concernente la profilazione dei dati personali della propria clientela per finalità promozione commerciale personalizzata dei propri marchi e prodotti;

Visti gli atti d’ufficio;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici; 

PREMESSO

1. La richiesta della società 

1.1 BMW Italia S.p.A. (di seguito “la società”), sulla base di quanto stabilito nel provvedimento generale adottato dal Garante il 24 febbraio 2005, ha presentato un’istanza di  verifica preliminare ai sensi dell’art. 17 del Codice al fine di ottenere l’autorizzazione al prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela (intendendo per tali sia i clienti sia i potenziali clienti) per il loro utilizzo a fini di profilazione e di promozione commerciale profilata. 

La società infatti, che commercializza autovetture di alta gamma con marchio BMW, Mini e Motorrad, ovvero beni che hanno un costo medio elevato e “a bassa rotazione”, svolge nei confronti della propria clientela - i cui dati sono inseriti nei sistemi gestionali di Customer Relationship Management (CRM) - un’attività di informazione e/o di offerta di servizi, “talvolta anche senza un contenuto prettamente commerciale”, durante tutto il ciclo di possesso di un’autovettura, che in molti casi si estende oltre i dieci anni (ad esempio informazioni su aggiornamenti di contenuto di prodotti o reminder di scadenze, come i termini di revisione o la fine della copertura delle garanzie previste dalla legge o dal contratto); a tal fine BMW, tenendo conto che la frequenza media di acquisto delle predette autovetture è pari ad un massimo di due volte in un decennio, ha chiesto all’Autorità l’autorizzazione a conservare i dati raccolti per un arco temporale pari a 15 anni. 

Sulla base di quanto prospettato infatti, la conservazione dei dati inseriti nei sistemi gestionali di CRM per un periodo considerevolmente più esteso rispetto a quello previsto nel provvedimento dell’Autorità del 24 febbraio 2005, risulterebbe coerente con la tipologia di prodotti venduti e consentirebbe di non vanificare le attività di marketing e di profilazione della clientela poste in essere dalla società.

1.2 La società ha al contempo fornito esaurienti indicazioni in ordine alla struttura organizzativa della propria rete commerciale, precisando in particolare che:

a) BMW, nell’esercizio dell’attività di vendita dei propri veicoli con marchio BMW, Motorrad e Mini, non ha alcun rapporto con il cliente finale; la stessa infatti vende direttamente ai “concessionari” della propria rete vendita (che dispongono in Italia di oltre 120 punti vendita) e fornisce servizi di assistenza attraverso una rete di circa 200 “officine autorizzate”, in parte coincidenti con i concessionari, sulla base, rispettivamente, di contratti di concessione e di assistenza; entrambe queste due categorie (concessionari e officine) si pongono, sia nei confronti dei propri clienti  che della stessa BMW, quali autonomi titolari del trattamento e, in quanto tali, ciascuno provvede autonomamente agli adempimenti previsti dalla normativa in materia di protezione dei dati personali; in particolare, l’informativa di cui all’art. 13 del Codice viene rilasciata dai concessionari e dalle officine ai rispettivi clienti sulla base di un format suggerito dalla società che prevede, tra l’altro, l’eventuale comunicazione dei dati raccolti a BMW Italy S.p.a. per finalità di marketing e di profilazione, previa acquisizione di un esplicito e distinto consenso da parte degli interessati per ciascuna delle due finalità (cfr. all. 3 all’istanza); il medesimo modello di informativa contiene peraltro le informazioni preliminari di cui all’art. 13 del Codice relative al trattamento dei dati da parte di BMW (cfr. all. 3 par. 4.2);

b) la società ha invece un rapporto diretto con i clienti nell’attività di vendita dei prodotti del sub-brand “BMW i” e in questo caso, quale titolare del trattamento, rilascia essa stessa alla clientela l’informativa di cui all’art. 13 del Codice, comprensiva di tutti gli elementi in esso previsti, ivi compresa la possibilità di esercitare i diritti di cui all’art. 7, tra cui il diritto di opposizione anche con riferimento all’attività di profilazione (cfr. doc. 4 allegato all’istanza).

1.3 La raccolta dei dati personali della clientela che la società intende trattare nell’ambito dei sistemi gestionali di CRM avviene attraverso diversi canali: 

a) direttamente presso gli interessati in occasione della vendita di veicoli del sub-brand BMWi, previo rilascio di idonea informativa e acquisizione di uno specifico consenso al trattamento dei dati per finalità di marketing e di profilazione, distinto per ciascuna delle due finalità (cfr. all. 4);

b) tramite il sito internet www.bmw.it, attraverso il quale  è possibile chiedere preventivi e informazioni o prenotare test drive, previo rilascio di apposita informativa e acquisizione del consenso secondo le modalità di cui alla lett. a) (cfr. all. 5); 

c) tramite web advertising/bannering su siti di terzi  con rinvio al sito della società, con presenza di idonea informativa e acquisizione consenso secondo le modalità anzidette (cfr. all. 5);

d) tramite acquisto di banche dati da soggetti terzi; 

e) eventi promozionali organizzati dalla società e aperti al pubblico, previo rilascio di apposita informativa e acquisizione dei relativi consensi (cfr. all. 6); 

f) tramite la rete dei concessionari, esclusivamente per coloro che in sede di acquisto, abbiano rilasciato il consenso alla comunicazione dei dati alla società per finalità di marketing e profilazione (cfr. all. 3).

I dati personali della clientela, raccolti secondo le modalità sopra indicate e per i quali la società ha chiesto l’autorizzazione al prolungamento dei termini di conservazione per finalità di marketing e profilazione riguardano,  oltre ai dati anagrafici e di contatto (indirizzo, numeri di telefono, e.mail, nonché residenza e domicilio), anche dati ulteriori non strettamente necessari al perseguimento delle finalità contrattuali proprie della società, ma dalla stessa ritenute rilevanti per le finalità anzidette (composizione nucleo familiare, titolo di studio, attività lavorativa, hobby, vetture possedute).

1.4 La società, a seguito di una specifica richiesta di chiarimenti formulata dall’Autorità, ha fornito alcune precisazioni in ordine al funzionamento dei sistemi gestionali del CRM e, in particolare, alle modalità di accesso ai dati che in essi confluiscono. 

In particolare la società ha rappresentato che i sistemi di CRM di cui si avvale sono tre, ciascuno finalizzato alla realizzazione di alcune attività nell’ambito della corrispondente area operativa:

1) sistema locale Datahub: è utilizzato per l’attività di “Data Management” che consiste nell’ospitare e aggiornare i dati di clienti e prospect; il sistema è gestito in outsourcing dal fornitore Coordinamento Dati s.r.l., nominato responsabile del trattamento ai sensi dell’art. 29 del Codice, che effettua anche le estrazioni dei nominativi da utilizzare per le varie campagne CRM. Una copia del database è presente sui server di BMW e ai relativi dati ha accesso il personale della società incardinato presso il servizio post-vendita, che effettua rilevazioni statistiche e modelli previsionali, nonché il personale appartenente alla funzione IT, con compiti di verifica della funzionalità del sistema. Tutto il predetto personale risulta nominato incaricato del trattamento ai sensi dell’art. 30 del Codice; 

2) sistema centrale CarRMen: è una piattaforma per attivare e gestire le campagne CRM di qualificazione (“Campaign Management”), fornita da BMW AG e gestita internamente da BMW, che in parte ne condivide l’utilizzo, sulla base di una segregazione fisica e logica, con BMW Bank Gmbh la quale, per questa attività, risulta nominata responsabile del trattamento. L’accesso ai dati personali conservati nel sistema è consentito, in qualità di incaricati del trattamento, al personale della società sia per le attività di Campaign management che per le attività di Info & Compliant Management;

3) portale Leedbook per la gestione dell’attività di “Lead Management”; si tratta di una piattaforma - fornita da Opensybol s.r.l. in qualità di responsabile del trattamento – messa a disposizione delle Concessionarie del Gruppo BMW cui vengono inoltrati i “Lead” (ovvero richieste di test drive, di preventivo o di contatto)  per dare riscontro alle richieste stesse. L’accesso ai dati contenuti in tale piattaforma è consentito, per quanto riguarda BMW, esclusivamente ai Lead centrali da parte degli addetti al CRM, quali incaricati del trattamento; per quanto invece attiene le Concessionarie, l’accesso è consentito unicamente ai dati personali di propria pertinenza (Lead centrali assegnati e lead locali generati dalle proprie campagne).

2. Le valutazioni dell’Autorità

2.1 Alla luce delle informazioni acquisite dalla società nonché delle argomentazioni dalla stessa fornite a sostegno della richiesta oggetto della presente verifica preliminare, l’Autorità, in linea con quanto già stabilito in casi analoghi concernenti il trattamento dei dati personali dei clienti per finalità di profilazione e di marketing profilato nel settore dei beni di lusso (cfr. provvedimenti dell’Autorità del 24 aprile 2013, doc. web 2499354 e del 5 luglio 2017, doc. web 6844421, nonché soprattutto il provvedimento del 18 aprile 2018 in corso di pubblicazione, relativo al medesimo settore merceologico), ritiene che, anche nel caso in esame, sia ragionevole individuare un arco temporale più esteso rispetto a quello stabilito nel provvedimento generale del 24 febbraio 2005 per la conservazione dei dati personali in questione; in particolare, trattandosi di beni di valore considerevole il cui acquisto si realizza mediamente due volte in un decennio, il termine massimo di 10 anni, decorrente dalla registrazione dei dati, appare congruo e proporzionato rispetto alle finalità che si  intendono perseguire e non risulta eccessivo in relazione ai possibili rischi per gli interessati dei cui dati si tratta alla luce dell’art. 11, comma 1 del Codice.

Alla scadenza del suddetto periodo, i dati personali oggetto dell’attività di profilazione e di marketing dovranno essere cancellati automaticamente ovvero anonimizzati in modo permanente ed irreversibile. 

2.2 Resta fermo che la società è tenuta al rispetto di tutte le misure e le prescrizioni stabilite nel presente provvedimento e  nel provvedimento dell’Autorità del 25 febbraio 2005, con particolare riferimento al divieto di utilizzare, per finalità di profilazione, dati idonei a rivelare lo stato di salute degli interessati (v. par. 4 del citato provvedimento).

In particolare, anche alla luce della documentazione acquisita agli atti, è necessario che:

a) nei modelli di informativa predisposti dalla società e allegati all’istanza, (cfr. par. 1.3), venga indicato il periodo massimo di conservazione dei dati, pari a 10 anni a decorrere dalla registrazione degli stessi, nonché il riferimento alla loro automatica cancellazione o anonimizzazione irreversibile alla scadenza del medesimo termine; 

b) siano adottate adeguate misure di sicurezza al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati.

Si ricorda che a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all’art. 24, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell’art. 36 del Regolamento medesimo.

TUTTO CIO’ PREMESSO IL GARANTE

a) accoglie la richiesta di verifica preliminare presentata da BMW Italy S.p.a. ai sensi dell’art. 17 del Codice, relativa al prolungamento del termine di conservazione dei dati personali dei clienti e dei potenziali clienti per il loro utilizzo a fini di profilazione e di marketing per un periodo massimo di 10 anni a decorrere dalla loro registrazione, fermo restando che la società rispetti tutte le misure e le prescrizioni stabilite nel provvedimento dell’Autorità del 25 febbraio 2005 e nel presente provvedimento, come indicato al par. 2.2..

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia