g-docweb-display Portlet

Verifica preliminare. Trattamento di dati personali della clientela, idonei a rivelare lo stato di salute, per finalità di profilazione e marketing - 17 marzo 2016 [4988333]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4988333]

Verifica preliminare. Trattamento di dati personali della clientela, idonei a rivelare lo stato di salute, per finalità di profilazione e marketing - 17 marzo 2016

Registro dei provvedimenti
n. 126 del 17 marzo 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice"), con particolare riferimento all´art. 4, comma 1, lett. d), che individua i dati sensibili, nonché l´art. 26, comma 1, secondo il quale i soggetti privati possono trattare i dati sensibili solo con il consenso scritto dell´interessato e previa autorizzazione del Garante, nell´osservanza dei presupposti e dei limiti stabiliti dal Codice, dalla legge e dai regolamenti;

VISTA la Raccomandazione adottata il 23 novembre 2010 dal Comitato dei Ministri del Consiglio d´Europa CM/Rec(2010)13 sulla tutela delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto della profilazione, con particolare riferimento al punto 3.1;

VISTA la richiesta di autorizzazione formulata il 12 marzo 2015, ai sensi degli artt. 26 e 41 del Codice, da Sca Hygiene Products s.p.a., società operante nel settore della produzione e distribuzione di prodotti per l´igiene personale e licenziataria di primari marchi nel settore, concernente il trattamento di dati personali riferiti alla propria clientela per finalità di profilazione e marketing idonei a rivelarne talune condizioni di salute, e segnatamente l´incontinenza, previa informativa ai sensi dell´art. 13 del Codice e con l´acquisizione del consenso scritto degli interessati, ai sensi dell´art. 26 del Codice, nell´ambito di un programma di fidelizzazione in via di realizzazione attraverso il sito Internet www.dedicatoame.it all´interno del quale gli interessati potranno inserire i propri dati;

VISTE le successive comunicazioni intercorse con l´Ufficio e le note integrative ed esplicative fatte pervenire dalla società, con particolare riferimento a quelle del 27 aprile e 7 settembre 2015, alla regolarizzazione mediante pagamento dei diritti di segreteria avvenuta il 14 settembre 2015 e all´ultima nota pervenuta il 28 gennaio 2016;

CONSIDERATO che l´informazione circa l´incontinenza deve essere qualificata come "dato sensibile", in quanto idonea a rivelare talune condizioni di salute individuale, come peraltro risulta da plurimi indici normativi (cfr. art. 123, comma 1, lett. n), d.lgs. 30 ottobre 1992, n. 443, concernente l´ordinamento del personale del Corpo di polizia penitenziaria; art. 2, comma 1, lett. r), Tab. 1 all. al d.P.R. 6 febbraio 2004, n. 76 "Regolamento concernente la disciplina delle procedure per il reclutamento, l´avanzamento e l´impiego del personale volontario del Corpo nazionale dei vigili del fuoco"; art. 586, comma 1, lett. r), n. 8), d.P.R. 15 marzo 2010, n. 90, recante il Testo unico delle disposizioni regolamentari in materia di ordinamento militare; art. 2, comma 1, lett. d), d.m. del Ministero della Sanità 27 agosto 1999, n. 332 "Regolamento recante norme per le prestazioni di assistenza protesica erogabili nell´ambito del Servizio sanitario nazionale: modalità di erogazione e tariffe");

RILEVATO che anche in provvedimenti del Garante l´informazione relativa all´incontinenza è stata ascritta tra quelle inerenti le condizioni di salute (cfr. il provvedimento generale concernente le modalità di consegna dei presìdi sanitari al domicilio dell´interessato del 21 novembre 2013, n. 520, in www.garanteprivacy.it, doc web n. 2803050; v. altresì i riferimenti contenuti nelle Relazioni annuali 2002 e 2008, rispettivamente alle pp. 48 e 94);

VISTI gli artt. 40 e 41 del Codice che disciplinano il regime delle autorizzazioni generali e le ipotesi di richiesta di autorizzazione in casi particolari;

VISTE le autorizzazioni generali del Garante n. 2 dell´11 dicembre 2014 concernente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (doc. web n. 3619954) e n. 5 dell´11 dicembre 2014 relativa al trattamento dei dati sensibili da parte di diverse categorie di titolari (doc. web n. 3620455);

CONSIDERATO che l´autorizzazione generale n. 2/2014 non si riferisce alle finalità di profilazione e di marketing perseguite, nel caso di specie, dalla società istante;

CONSIDERATO che al caso in esame neanche può trovare applicazione l´autorizzazione n. 5/2014 concernente il trattamento di dati sensibili da parte di diverse categorie di titolari per una pluralità di attività, tra cui i sondaggi di opinione e le ricerche di mercato o altre ricerche campionarie, ma non per le finalità oggetto della richiesta di autorizzazione;

CONSIDERATO che il Garante si è riservato di prendere in considerazione specifiche richieste di autorizzazione il cui accoglimento sia giustificato da circostanze particolari;

RITENUTO che, ai sensi dell´art. 13 del Codice, la società deve rilasciare un´idonea informativa agli interessati, dalla quale emerga chiaramente, tra l´altro, ciascuna delle distinte finalità perseguite, con l´indicazione delle modalità attraverso le quali è possibile esercitare i diritti di cui all´art. 7 del Codice, ivi compreso il diritto di opposizione al trattamento;

RILEVATO che l´interessato deve poter ricorrere a modalità agevoli per esercitare i diritti di cui al citato all´art. 7, ad esempio mediante l´utilizzo di un apposito link, facilmente reperibile all´interno del sito ovvero inserito nel corpo di comunicazioni elettroniche a contenuto promozionale delle quali sia destinatario (cfr. artt. 8 e 9 del Codice);

RITENUTO che la società, come peraltro dichiarato, deve acquisire uno specifico consenso scritto, ai sensi degli artt. 23, 26 e 130 del Codice, per ciascuna delle distinte finalità che ha dichiarato di voler perseguire, segnatamente profilazione della clientela e marketing;

RITENUTO che i trattamenti devono svolgersi rispettando i principi di liceità, correttezza e necessità rispetto alle finalità perseguite, specie in relazione al trattamento di dati idonei a rivelare le condizioni di salute degli interessati (artt. 3 e 11 del Codice);

RITENUTO in particolare che, in applicazione del principio di necessità, i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l´utilizzo di informazioni relative a clienti identificabili;

RITENUTO che, nel rispetto del menzionato principio di necessità, la società dovrà limitare rigorosamente la tipologia dei dati trattati, fra le categorie menzionate nella propria istanza, a quelle di seguito specificate: indicazione dell´anno di nascita; genere maschile/femminile; tipologia di prodotto acquistato; campi "compra Tena" e "qualificato" (cfr. all. 1 alla nota del 12 marzo 2015, alla slide denominata "variabili del database");

RITENUTO, pertanto, che dovranno essere escluse dal trattamento le informazioni relative a giorno e mese di nascita dell´interessato nonché quelle relative alla (dichiarata) indicazione del fruitore dell´acquisto (come invece risulta nell´istanza dalla citata slide, in cui sotto la voce "uso" vi è l´indicazione "per me" o "per altri"), non risultando comprovato dall´istanza che tali informazioni siano indispensabili al fine di consentire la profilazione e lo svolgimento dell´attività di marketing nei confronti dell´aderente al programma di fidelizzazione;

RITENUTO che i dati idonei a rivelare la salute trattati per finalità di profilazione non potranno essere conservati, nel rigoroso rispetto del principio di indispensabilità, per un periodo superiore a 1 anno, apparendo tale arco temporale congruo e proporzionato sia alla finalità che si intende perseguire, sia alla tipologia dei dati oggetto di trattamento;

RITENUTO che la società deve inoltre adottare tutte le misure e gli accorgimenti necessari a garanzia dell´interessato, in particolare designando responsabili e/o incaricati del trattamento tutti coloro che hanno accesso ai dati, ai sensi degli artt. 29 e 30 del Codice, nonché mettendo in atto le misure di sicurezza, anche minime, previste agli artt. 31-36 e dal Disciplinare tecnico di cui all´allegato B) del Codice;

VISTA la notificazione effettuata dalla società in data 16 marzo 2015, ai sensi dell´art. 37, comma 1, lett. d), del Codice, secondo il quale devono essere notificati al Garante i trattamenti effettuati con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato, o ad analizzarne abitudini o scelte di consumo;

CONSIDERATO che la presente autorizzazione si applica esclusivamente ai trattamenti oggetto dell´istanza così come rappresentati allo stato attuale dalla società;

VISTO l´art. 26, comma 2, del Codice, il quale stabilisce che con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell´interessato, che il titolare del trattamento è tenuto ad adottare;

VISTO l´art. 41 del Codice, che disciplina le richieste di autorizzazione;

VISTO l´art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

AUTORIZZA

ai sensi degli artt. 26 comma 2 e 41 del Codice, Sca Hygiene Products s.p.a., con sede in Altopascio (LU), Via XXV Aprile n. 2, nei termini di cui alla richiesta di verifica preliminare, a trattare i dati idonei a rivelare le condizioni di salute degli interessati nel rispetto dei principi di liceità, correttezza e necessità (artt. 3 e 11 del Codice), a condizione che:

a) sia fornita agli interessati un´idonea informativa, dalla quale, tra l´altro, emerga chiaramente ciascuna delle distinte finalità perseguite, nonché l´indicazione delle modalità attraverso le quali è possibile esercitare i diritti di cui all´art. 7 del Codice, ivi compreso il diritto di opposizione al trattamento;

b) siano assicurate agli interessati modalità agevoli nell´esercizio dei diritti di cui al citato all´art. 7;

c) i trattamenti siano limitati ai soli dati personali necessari per conseguire le finalità prospettate e, in particolare: all´anno di nascita; al genere maschile/femminile; alla tipologia del prodotto; ai campi "compra Tena" e "qualificato";

d) i dati personali idonei a rivelare le condizioni di salute trattati per finalità di profilazione siano conservati per un periodo non superiore a 1 anno.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 17 marzo 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia