[doc. web n. 1466898]
[v. Newsletter 5 febbaio 2008]

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24 febbraio 2005 in materia di trattamento di dati personali nell´ambito dei programmi di fidelizzazione della clientela (in www.garanteprivacy.it, doc. web n. 1103045);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Trattamento di dati personali della clientela nell´ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformità alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, l´Autorità ha svolto accertamenti presso alcuni operatori economici con riguardo al trattamento di dati personali nell´ambito di programmi di fidelizzazione della clientela; in particolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza, l´Autorità ha effettuato verifiche in data 4 novembre 2005 presso "C.d.s. S.p.A." (di seguito, la società) sulle operazioni di trattamento effettuate in relazione al rilascio della carta fedeltà "Io&Max". Il presente provvedimento attiene ai profili di violazione riscontrati al riguardo.

1.2. Dagli accertamenti è emerso che la società tratta dati personali della clientela consistenti, in particolare, in:

• dati anagrafici: nome, cognome e data di nascita;
• recapiti, tra i quali indirizzo, e-mail e numero del telefono;
• dati relativi al sesso, alla professione e al numero dei componenti del nucleo familiare (con l´indicazione dell´età e della professione svolta).

Tali informazioni sono raccolte a seguito della compilazione di un modulo cartaceo distribuito presso "i punti vendita dei supermercati a insegna Max Market, Ipermax o comunque recanti segni distintivi Max".

1.3. Dalle dichiarazioni rese per conto della società risulta che i dati sono trattati per "finalità di fidelizzazione in senso stretto […] e per eventuali iniziative promozionali personalizzate" (cfr. verbale 4 novembre 2005, p. 2). Dall´informativa emerge, altresì, che la società registra dette informazioni "su supporti magnetici protetti" senza "comunicarli o diffonderli all´esterno, ad eccezione delle aziende operativamente incaricate del trattamento, a non farne altro uso se non quello di studiare e applicare iniziative promozionali personalizzate ed eventualmente di comunicarle a mezzo posta, e-mail o sms, ove tali dati siano forniti" (cfr. all. 1 al verbale cit.).

2. Liceità del trattamento: informativa e consenso

2.1. La società tratta dati personali della clientela in sede di rilascio della carte di fidelizzazione sia per finalità del conseguimento dei premi e degli sconti connessi all´utilizzo della carta fedeltà "Io&Max" (c.d. fidelizzazione in senso stretto), sia per attività di marketing (finalità che, pur distinte, spesso sono compresenti nei programmi di fidelizzazione: cfr. in tal senso Provv. 24 febbraio 2005, punti 3 e 5). Per taluni aspetti, di seguito indicati, i trattamenti effettuati dalla società non sono pienamente conformi alla disciplina di protezione dei dati.

2.2. Informativa. Nell´informativa fornita agli interessati risulta indicato erroneamente, quale titolare del trattamento, Carmelo Carbone. Dal regolamento della carta "Io&Max" (all. 1 al verbale cit.), come pure dall´informativa resa contestualmente, emerge invece che il titolare del trattamento, cui competono le decisioni in ordine al rilascio e alla revoca della carta di fidelizzazione, nonché quelle relative al conseguente trattamento dei dati personali ("la Cds si impegna a registrarli su supporti magnetici protetti e a non comunicarli o diffonderli all´esterno"), è la società e non la persona fisica del sig. Carbone che ne è amministratore delegato.

La società deve quindi rettificare l´indicazione del titolare del trattamento nella modulistica resa disponibile alla clientela presso i punti-vendita, aggiornando contestualmente i riferimenti normativi in relazione alla disciplina vigente (d.lg. 30 giugno 2003, n. 196) anziché alla legge n. 675/1996 (cui si riferisce la modulistica in atti).

2.3. Consenso. Il modello di adesione al programma di fidelizzazione non appare pienamente conforme alla disciplina di protezione dei dati personali anche sotto un ulteriore profilo. L´informativa è infatti associata al consenso con un´unica formula e il consenso è altresì riferito indifferentemente sia al trattamento dei dati personali per le finalità sopra indicate, sia all´adesione al programma di fidelizzazione.

Quest´ultima scelta, effettuata dalla società per acquisire il consenso al trattamento dei dati per finalità di marketing, non rispetta i requisiti previsti dall´art. 23, comma 3 del Codice secondo il quale il consenso deve essere espresso "liberamente e specificamente in riferimento ad un trattamento chiaramente individuato".

Da un lato, infatti, il consenso acquisito una tantum dalla società riferendosi a profili diversi, contrattuali (per l´adesione al programma di fidelizzazione) e non contrattuali (finalità di marketing), non è specificamente espresso in riferimento ad un trattamento chiaramente individuato; dall´altro, il consenso per il marketing non è "libero" essendo condizionato dall´adesione al programma di fidelizzazione (Provv. 3 novembre 2005, punto 3.1., doc. web n. 1195215). Gli interessati debbono invece essere messi in grado di esprimere liberamente le proprie scelte in ordine al trattamento dei dati (Provv. 27 maggio 1997, doc. web n. 40425), manifestando inoltre distintamente la propria volontà per ciascuna finalità perseguita (cfr. Provv. 24 febbraio 2005, cit., punto 7), ivi compresa quella dell´invio di comunicazioni commerciali, che è diversa da quella della fidelizzazione in senso stretto.

Peraltro, per la finalità di esecuzione del programma di fidelizzazione il consenso dell´interessato non è necessario e non dovrebbe essere quindi richiesto (art. 24, comma 1, lett. b), del Codice).

Alla luce di tali considerazioni la società risulta aver trattato illecitamente i dati degli interessati con riferimento alla finalità di marketing e non potrà quindi trattare ulteriormente, rispetto a tale scopo, i dati raccolti in violazione di legge (artt. 11, commi 1, lett. a) e 2; 23, comma 3).

Qualora la società intenda porre in essere ulteriori attività di marketing con i dati raccolti in occasione dell´adesione della clientela a propri programmi di fidelizzazione, dovrà servirsi di una modulistica diversa rispetto a quella attualmente in uso, in modo da consentire alla clientela di determinarsi liberamente in ordine al trattamento dei dati per detta finalità, rendendo possibile l´acquisizione di un consenso specifico per il perseguimento della finalità di marketing (ad esempio, predisponendo un distinto check box per chi, oltre ad aderire al programma di fidelizzazione, intenda autorizzare il titolare del trattamento allo svolgimento di attività di marketing).

2.4. Principio di pertinenza e non eccedenza. Con riferimento alla tipologia dei dati personali registrati dalla società relativi alla professione svolta dal titolare della carta di fidelizzazione e dai suoi congiunti deve rilevarsi la violazione del principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 2).

Per la finalità che la società dichiara sotto la propria responsabilità di perseguire in via esclusiva (fidelizzazione della clientela, e non anche profilazione), possono essere trattati solo i dati necessari per attribuire i vantaggi connessi all´utilizzo della carta, cioè "i dati direttamente correlati all´identificazione dell´intestatario della carta, quali le informazioni anagrafiche; i dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli –e in particolare conservarli– per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L´eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di fidelizzazione" (cfr. Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie risulta quindi effettuato in violazione di legge il trattamento di alcuni dati, relativi alla professione, i quali dovranno pertanto essere cancellati o resi anonimi (art. 11 del Codice).

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 154, comma 1, lett. c), del Codice, prescrive a "C.d.s. S.p.A.", di:

a. riformulare l´informativa, indicando il reale titolare del trattamento, da identificarsi nella società stessa, e aggiornando i riferimenti legislativi alla disciplina vigente (punto 2.2.);

b. individuare modalità che assicurino una libera manifestazione del consenso degli interessati, prevedendo uno specifico riferimento alla finalità di marketing (punto 2.3.);

c. cancellare o rendere anonimi i dati personali riferiti ai partecipanti al programma di fidelizzazione consistenti nella professione svolta dal titolare della carta e dai componenti del nucleo familiare (punto 2.4.);

2) ai sensi dell´art. 154, comma 1, lett. d), del Codice, ferma restando l´inutilizzabilità dei dati già trattati in modo illecito e non corretto (art. 11, comma 2), vieta a "C.d.s. S.p.A.", limitatamente all´utilizzo dei dati per finalità di marketing, ulteriori trattamenti in violazione della disciplina di protezione dei dati personali (punto 2.3.);

3) ai sensi dell´art. 157 del Codice prescrive a "C.d.s. S.p.A." di dare conferma a questa Autorità, entro e non oltre il 15 febbraio 2008, dell´attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli