Diritti interna

Doveri interna

ricerca avanzata

Verifica preliminare. Trattamento dei dati personali riferiti propria clientela per finalità di profilazione e marketing - 16 maggio 2018 [8998339]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8998339
Data:
16/05/18
Argomenti:
Profilazione
Tipologia:
Verifica preliminare

[doc. web n. 8998339]

Verifica preliminare. Trattamento dei dati personali riferiti propria clientela per finalità di profilazione e marketing - 16 maggio 2018

Registro dei provvedimenti
n. 294 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”); 

Visto il provvedimento generale del Garante del 24 febbraio 2005 relativo a “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” (in www.garanteprivacy.it, doc. web n. 1103045); 

Esaminata la richiesta di verifica preliminare presentata da Industries  S.p.A. – Gruppo Moncler (di seguito Moncler o la società), ai sensi dell’art. 17 del Codice, concernente il trattamento dei dati personali della propria clientela per finalità di promozione commerciale personalizzata dei propri marchi e prodotti; 

Visti gli atti d’ufficio;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La richiesta della società.

1.1 Industries S.p.A. – Gruppo Moncler (di seguito “la società” o “Moncler”), sulla base di quanto stabilito nel provvedimento generale adottato dal Garante il 24 febbraio 2005, ha presentato un’istanza di verifica preliminare ai sensi dell’art. 17 del Codice, allo scopo di trattare i dati personali riferiti alla propria clientela per finalità di profilazione e marketing per un periodo superiore, rispettivamente, a quello di dodici e ventiquattro mesi previsti nel menzionato provvedimento. 

La società infatti, azienda leader in Italia e nel mondo nel settore della moda e del lusso, che direttamente o attraverso società controllate e/o collegate, produce e vende abbigliamento ed accessori di lusso sia tramite punti fisici di vendita (negozi o  i c.d. mall) che tramite siti internet, intende realizzare un sistema di Customer Relationship Management (di seguito, CRM) per la gestione dei dati dei clienti raccolti su scala globale attraverso tutte le società del Gruppo; ciò al fine di costruire profili individuali e di gruppo dei propri clienti per la realizzazione di iniziative di marketing personalizzate e per la gestione personalizzata del rapporto con i propri clienti. 

A tali fini, atteso che la società produce e commercializza prodotti di lusso la cui frequenza media di acquisto da parte dei clienti è annuale o semestrale e rispetto ai quali è prevista una garanzia di 2 anni e che, peraltro, Moncler offre ai clienti un servizio di post vendita anche su capi che hanno un’anzianità superiore, la stessa ha chiesto all’Autorità l’autorizzazione a conservare i dati riferiti agli acquisti effettuati dai clienti (il c.d. storico di acquisto) per un arco temporale esteso fino a 10 anni a decorrere dalla loro registrazione nel sistema CRM; ciò in quanto rispetto alla tipologia di prodotti in questione, la conservazione dei dati predetti per un periodo così limitato quale quello previsto nel provvedimento dell’Autorità del 24 febbraio 2005, renderebbe le informazioni raccolte inutilizzabili per qualsiasi elaborazione e, soprattutto, limiterebbe la possibilità, per la società, di offrire un servizio di post vendita in linea con il posizionamento del marchio e con le attese dei clienti. 

1.2 La società, nel fornire indicazioni  in ordine alla struttura organizzativa del Gruppo e alle modalità di trattamento dei dati personali in questione, ha precisato che:

a) la raccolta dei dati personali dei clienti e dei potenziali clienti che la società intende trattare attraverso il sistema CRM avviene direttamente presso gli interessati tramite i punti vendita “fisici” dislocati in tutti i paesi del mondo (Europa, America, Canada; Asia e Medio Oriente) ovvero tramite i siti internet Moncler; i dati raccolti confluiscono in una banca dati centrale di proprietà della società e gestita dalla stessa la quale, per le finalità di  profilazione e marketing, è l’unico titolare del trattamento, sia per le attività poste in essere in Italia che per le attività realizzate all’estero; per il trattamento dei dati dei clienti finalizzati alla profilazione e al marketing infatti, le società collegate e/o controllate che operano all’estero sono designate quali responsabili del trattamento ai sensi dell’art. 29 del Codice (le medesime società operano invece quali autonomi titolari del trattamento con riferimento alle attività di vendita e di post vendita rispetto alle quali hanno piena autonomia decisionale); 

b) i dati raccolti riguardano, oltre ai dati anagrafici (nome, cognome, sesso, data di nascita, paese di residenza e dati relativi al passaporto per il servizio di Tax Free/Refund ), ai dati di contatto (indirizzo, numeri di telefono, e.mail) e ai dati necessari alle attività di vendita (codice fiscale, partita IVA e informazioni sul passaporto per le richieste VAT Refund), anche dati ulteriori non strettamente necessari al perseguimento delle finalità contrattuali ma ritenute rilevanti dalla società per le finalità di profilazione e di marketing : trattasi, in particolare, di dettagli relativi agli acquisti effettuati (prodotto, data e luogo dell’acquisto, importo, valuta di pagamento, eventuali sconti, valore totale di tutti gli acquisti effettuati, addetto alla vendita) e di informazioni personali relative a preferenze nelle tipologie di prodotti, hobbies e mezzi di pagamento utilizzati; per le attività on-line possono essere raccolti dati personali necessari per la navigazione dell’utente e per l’accesso dell’utente alle aree riservate del sito (username, password, indirizzo IP, post su social network); la società ha peraltro precisato che non sono oggetto di raccolta i dati sensibili né i dati relativi ai minori; 

c) i predetti dati, acquisiti secondo le modalità indicate al punto a), confluiscono nel sistema CRM, di cui Industries S.p.a. – Gruppo Moncler è il titolare del trattamento e saranno utilizzati per le finalità di profilazione e di marketing, a condizione che gli interessati, previo rilascio da parte della società di una informativa comprensiva di tutti gli elementi previsti dall’art. 13 del Codice, ivi compresa la possibilità di esercitare i diritti di cui all’art. 7 del Codice (tra cui quello di opporsi ai trattamenti per finalità di profilazione e di marketing e), abbiano conferito uno specifico consenso,  distinto e separato per ciascuna delle due finalità indicate, in ogni caso facoltativo e revocabile in qualsiasi momento (cfr. all. 1 all’istanza); la società ha al contempo precisato che i dati raccolti non sono comunicati a terzi per le finalità anzidette e che  l’informativa e il modulo per la sottoscrizione del consenso vengono resi disponibili ai clienti sia in modo cartaceo che in formato elettronico (nei casi di registrazione effettuata on line); 

d) la società ha già provveduto, in data 31 marzo 2015, alla notificazione del trattamento dei dati personali per finalità di profilazione ai sensi dell’art. 37 del Codice.

1.3 Con riferimento alle modalità di funzionamento del sistema CRM e, in particolare, alle modalità di accesso ai dati che in essi confluiscono, la società ha illustrato quanto segue:

a) l’accesso ai dati trattati nell’ambito del sistema CRM, la cui titolarità è in capo a Industries S.p.a. – Gruppo Moncler, è consentito ai diversi operatori, nei limiti di quanto necessario allo svolgimento delle rispettive attività lavorative; si tratta, in particolare, oltre che del Worldwide Customer Relationship Manager pro tempore designato responsabile del trattamento ai sensi dell’art. 29 del Codice, del personale che opera alle dipendenze della società e che la stessa provvede a designare quali incaricati del trattamento (personale di negozio, addetti CRM, personale IT, addetti digital department, addetti retail, addetti gestione eventi, fornitori di servizi legati al CRM); 

b) la designazione in qualità di responsabili del trattamento ai sensi dell’art. 29 del Codice riguarda anche le società collegate e/o controllate del Gruppo Moncler, limitatamente al trattamento dei dati dei clienti e potenziali clienti per le finalità di profilazione e di marketing , nonché i soggetti terzi fornitori di servizi di natura tecnica e organizzativa funzionali alle finalità di profilazione e di marketing  (società di spedizioni, marketing, gestione di pagamenti); 

c) il trasferimento dei dati personali verso le predette società che si trovino al di fuori dell’Unione Europea avverrà nel rispetto delle garanzie previste dagli artt. 43 e 44 del Codice; 

d) l’accesso ai dati contenuti nel CRM è garantito, oltre che dalle misure di sicurezza di cui all’allegato B) al Codice, da ulteriori misure di carattere fisico e organizzativo descritte, a titolo esemplificativo, nell’istanza in esame; è peraltro prevista una procedura per il tracciamento dei log di accesso al CRM , in modo da consentire un controllo analitico ex post delle attività svolte dai singoli incaricati del trattamento.

2. Le valutazioni dell’Autorità

2.1 Alla luce degli elementi acquisiti e delle misure che la società ha dichiarato di adottare nonché delle argomentazioni dalla stessa fornite a sostegno della richiesta oggetto della presente verifica preliminare, l’Autorità, conformemente a quanto già stabilito in casi analoghi concernenti il trattamento dei dati personali dei clienti per finalità di marketing e di profilazione nel settore della moda e del lusso (cfr. provvedimenti dell’Autorità del 2 dicembre 2015, doc web 4642844, dell’11 maggio 2017, doc. web 6495144 e del 5 luglio 2017, doc. web 6844421), ritiene che, anche nel caso in esame, sia ragionevole individuare un arco temporale più esteso rispetto a quello stabilito nel provvedimento generale del 24 febbraio 2005 per la conservazione dei dati personali in questione; in particolare, trattandosi di beni di lusso, il cui acquisto si realizza in media una o due volte l’anno, appare congruo e proporzionato rispetto alle finalità che si  intendono perseguire - e non eccessivo in relazione ai possibili rischi per gli interessati dei cui dati si tratta alla luce dell’art. 11, comma 1, del Codice - prevedere un termine massimo di conservazione dei dati predetti che, tenendo conto delle analoghe indicazioni fornite a titolari del trattamento operanti in simili settori merceologici, non deve superare i sette anni a decorrere dalla loro registrazione.

Alla scadenza del suddetto periodo, i dati personali oggetto dell’attività di marketing r di profilazione dovranno essere cancellati automaticamente ovvero anonimizzati in modo permanente ed irreversibile. 

2.2 Resta fermo che la società è tenuta al rispetto di tutte le misure e le prescrizioni stabilite nel presente provvedimento e  nel provvedimento dell’Autorità del 25 febbraio 2005, con particolare riferimento al divieto di utilizzare, per finalità di profilazione, dati idonei a rivelare lo stato di salute (v. par. 4 del citato provvedimento).

In particolare, anche alla luce della documentazione acquisita agli atti, è necessario che:

a) nei modelli di informativa predisposti dalla società e allegati all’istanza, deve essere indicato il periodo massimo di conservazione dei dati, pari a  sette anni a decorrere dalla registrazione degli stessi, nonché il riferimento alla loro automatica cancellazione o anonimizzazione irreversibile alla scadenza del medesimo termine;

b) siano adottate adeguate misure di sicurezza al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati.

Si ricorda che a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all’art. 24, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell’art. 36 del Regolamento medesimo.

TUTTO CIO’ PREMESSO IL GARANTE

accoglie la richiesta di verifica preliminare presentata ai sensi dell’art. 17 del Codice relativa al prolungamento del termine di conservazione dei dati personali dei clienti e dei potenziali clienti per il loro utilizzo a fini di profilazione e di marketing per un periodo massimo di sette anni a decorrere dalla loro registrazione, fermo restando il rispetto di tutte le misure e le prescrizioni stabilite nel provvedimento dell’Autorità del 25 febbraio 2005 e nel presente provvedimento, come indicato al par. 2.2.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia