g-docweb-display Portlet

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007 [1466956]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1466956]
[v. 
Newsletter 5 febbaio 2008]

Trattamento di dati personali e fidelizzazione della clientela - 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24 febbraio 2005 in materia di trattamento di dati personali nell´ambito dei programmi di fidelizzazione della clientela (in www.garanteprivacy.it, doc. web n. 1103045);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati personali della clientela nell´ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformità alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, l´Autorità ha svolto accertamenti presso alcuni operatori economici con riguardo al trattamento di dati personali nell´ambito di programmi di fidelizzazione della clientela. A tal fine l´Autorità, avvalendosi del "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza, in data 10 maggio 2006, ha effettuato verifiche presso "I Viaggi del Ventaglio S.p.A." (di seguito, la società) per le operazioni di trattamento effettuate in occasione del programma di fidelizzazione c.d. "Riparty".

Il presente provvedimento attiene ai profili di violazione riscontrati al riguardo (cfr. verbale del 16 maggio 2006 e documentazione allegata, in atti).

1.2. Dagli accertamenti è emerso che la società tratta dati personali della clientela nell´ambito del programma "Riparty"; essi vengono suddivisi in "dati relativi alla prenotazione" e "dati personali del richiedente". Quest´ultimi consistono, in particolare, in:

  • dati anagrafici: nome, cognome, data e luogo di nascita;
  • recapiti, tra i quali indirizzo, e-mail e numero del telefono;
  • dati relativi al sesso;
  • ulteriori informazioni relative ai componenti del nucleo familiare dell´intestatario della carta, al titolo di studio, alla professione e alle sue preferenze e abitudini di viaggio.

Tali informazioni sono raccolte mediante l´utilizzo di un modulo cartaceo (intitolato Riparty tutto l´anno con noi–Il programma fedeltà del Gruppo del Ventaglio, all. 3 al verbale cit.) reso disponibile presso le agenzie di viaggio (cfr. all. 7 al verbale cit.) e, direttamente, presso le strutture turistiche della società, come pure tramite il relativo sito web (cfr. modulo di inscrizione comprensivo di informativa, all. 3 e 6 al verbale cit.).

Sulla base delle dichiarazioni rese, i dati risultano trattati per consentire alla clientela di "collezionare dei punti, a seguito di viaggi organizzati con il nostro Gruppo, e ottenuti un certo numero di punti, fare partecipare il […] cliente a programmi riservati e privilegiati della […] società".

La società ha precisato che i dati vengono utilizzati "sia per finalità di marketing verso le agenzie di viaggio, sia per finalità statistiche ad uso interno. La società non svolge attività di profilazione, non vengono effettuate analisi di abitudini o scelte di consumo del cliente, i dati raccolti vengono utilizzati in forma anonima e solo per attività statistiche" (cfr. verbale cit., p. 3). Deve però rilevarsi che dalla documentazione acquisita e, in particolare, dalle informative rese con il modello cartaceo e con quello presente on-line in occasione della richiesta dell´adesione al programma di fidelizzazione (cfr. all. 3 al verbale cit.), i dati personali raccolti risultano utilizzati, anche per finalità di marketing, sia da parte della società, sia"da società terze selezionate dallo stesso gruppo".

2. Liceità del trattamento

2.1. Consenso. La società raccoglie dati personali della clientela in sede di adesione al programma di fidelizzazione "Riparty", per le seguenti finalità:

a. per il conseguimento dei premi e di sconti (c.d. fidelizzazione in senso stretto);

b. per finalità di marketing, sia nei confronti delle agenzie che operano nel proprio interesse, sia nei confronti della clientela (profilo sul quale si sofferma il presente provvedimento).

In ordine alle finalità appena descritte, entrambe legittime, deve rilevarsi che non sempre, in ragione delle modalità prescelte per acquisire il consenso, la società risulta aver rispettato la disciplina in materia di protezione dei dati personali nella parte in cui essa prevede che, per il trattamento dei dati della clientela per la finalità di marketing, deve essere acquisito un consenso specifico e distinto (art. 23 e 24 del Codice; v. pure Provv. 24 febbraio 2005, punto 7).

Diversamente da quanto accade in relazione ai modelli diffusi presso le agenzie (all. 7 al verbale cit.), che lasciano libero l´interessato di prestare o meno il proprio consenso per lo svolgimento della finalità di marketing (e che sono quindi conformi alla disciplina vigente), sia nel modello cartaceo, sia in quello on-line (all. 3 al verbale cit.), non è invece possibile dissociare l´adesione al programma di fidelizzazione (e il conseguente trattamento di dati personali per tale finalità) dal consenso a trattare i dati personali per la distinta finalità di marketing (cfr. Provv. 24 febbraio 2005, punto 6).

In più, limitatamente al modello on-line, il consenso prestato non può considerarsi "libero" tenuto conto che l´opzione indicata nel testo (con le formule "Do il consenso" e "Nego il consenso") non è lasciata all´autonoma valutazione dell´interessato. Oltre al fatto che la società preimposta la scelta preselezionando la casella "Do il consenso" (cfr. Provv. 12 ottobre 2005, doc. web n. 1179604), qualora l´interessato non presti il consenso nei termini richiesti (comprensivi dell´utilizzo dei dati per finalità di marketing) il sistema non gli consente di aderire al programma di fidelizzazione.

Fermo restando che per quanto riguarda il trattamento di dati preordinato all´esecuzione del programma a premi (c.d. fidelizzazione in senso stretto) non è necessario il consenso al trattamento dei dati e lo stesso non dovrebbe essere quindi acquisito (art. 24, comma 1, lett. b), del Codice; v. pure Provv. 24 febbraio 2005, punto 7), la società deve individuare modalità autonome di acquisizione del consenso per la finalità di marketing in modo da consentire ai clienti interessati di aderire al solo programma di fidelizzazione e di esprimere liberamente le proprie scelte anche in ordine ad altre finalità.

Alla luce di tali considerazioni i dati raccolti mediante il modello on-line e il modello cartaceo non sono pertanto utilizzabili per il perseguimento di finalità di marketing (art. 11, comma 2, del Codice), mentre va vietato alla società di svolgere ulteriori trattamenti di dati personali in violazione della disciplina di protezione dei dati personali.

2.2. Principio di correttezza. Inoltre, come stabilito nel citato provvedimento in riferimento al principio di correttezza (art. 11, comma 1, lett. a), del Codice), non sono consentiti comportamenti suscettibili di incidere sulle scelte libere e consapevoli del cliente nell´adesione ai "programmi di fidelizzazione".

Con specifico riguardo alla procedura di adesione on-line, la stessa è infatti strutturata in modo tale da ingenerare confusione nella clientela, considerato che l´acquisizione del consenso dell´interessato precede la fase della compilazione del modulo di acquisizione dei dati degli interessati (c.d. fase di registrazione).

Una soluzione conforme al principio di correttezza richiede invece che, in un unico contesto (anche ricorrendo ad accorgimenti quali la realizzazione di "tendine" o di link ipertestuali), l´interessato abbia contezza del trattamento e dei dati destinati ad essere raccolti.

La società dovrà pertanto modificare, anche alla luce dei princìpi appena illustrati, la modalità di raccolta dei dati personali sul proprio sito web.

2.3. Principio di pertinenza e non eccedenza. Per il perseguimento di finalità di fidelizzazione in senso stretto e per quella di marketing (in presenza del consenso prestato validamente dall´interessato) possono essere utilizzati, di regola, soltanto i dati direttamente correlati all´identificazione dell´intestatario della carta o di suoi familiari, quali le informazioni anagrafiche e i recapiti (cfr. Provv. 24 febbraio 2005, cit., punti 2, 3 e 5).

Dalla documentazione acquisita emerge invece che la società raccoglie, sia mediante il modello in formato cartaceo, sia on-line, dati ulteriori rispetto a quelli sopra indicati (tra i quali quelli concernenti il titolo di studio, la professione e le preferenze e abitudini di viaggio), idonei a consentire la profilazione.

Rispetto a tali tipologie di dati, considerate le finalità che la società dichiara di perseguire con il programma, il trattamento effettuato non può considerarsi conforme al principio di pertinenza e non eccedenza (artt. 11, comma 1, lett. d) e 3 del Codice; cfr. Provv. 3 novembre 2005, punto 4, doc. web n. 1195215). Infatti, nonostante la società abbia dichiarato che i dati vengono acquisiti "solo per attività statistiche ad uso interno" e per promuovere le "promozioni e offerte alle agenzie di viaggio", le informazioni raccolte sono comunque riferibili ai singoli interessati quantomeno nella fase iniziale della raccolta e registrazione. Al riguardo, va altresì rilevato che nell´informativa non vi è menzione del perseguimento di questa ulteriore finalità.

È quindi necessario che la società individui, rispetto all´utilizzo di dati personali per finalità statistiche, modalità di trattamento delle informazioni appena descritte tali da non essere in alcuna fase riconducibili ai singoli interessati: ciò, in relazione ai dati raccolti sia on-line, sia mediante modelli cartacei (ad esempio, utilizzando in quest´ultimo caso un modello di raccolta delle informazioni distinto e non riconducibile, direttamente o indirettamente, all´interessato). Delle modalità prescelte la società dovrà dare comunicazione a questa Autorità.

Per quanto riguarda i dati personali già raccolti indicati nel presente paragrafo, la società dovrà cancellare ovvero, qualora intenda proseguire il loro trattamento per finalità statistiche, dovrà comunicare a questa Autorità, entro e non oltre il 15 febbraio 2008, le misure tecniche adottate per renderli anonimi, dandone comunicazione entro lo stesso termine a questa Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi degli artt. 154, comma 1, lett. c) del Codice, prescrive a "I Viaggi del Ventaglio S.p.A." di:

a) riformulare le modalità di raccolta del consenso in modo da consentire alla clientela di esprimere un consenso libero in ordine al trattamento dei dati personali per lo svolgimento di attività di marketing (punto 2.1.);

b) modificare il procedimento di raccolta dei dati on-line in modo da fornire preventivamente in un unico contesto tutti gli elementi necessari all´interessato per avere contezza del trattamento e dei dati destinati ad essere raccolti (punto 2.2.);

c) con riguardo ai dati raccolti per finalità statistiche:

i. individuare modalità di trattamento delle informazioni il cui conferimento è indicato come facoltativo tali da non essere in alcuna fase riconducibili ai singoli interessati (punto 2.3.);

ii. per quanto riguarda i dati personali già raccolti, comunicare a questa Autorità, le misure tecniche adottate per cancellarli o renderli anonimi (punto 2.3.);

2) ai sensi dell´art. 154, comma 1, lett. d), del Codice, ferma restando l´inutilizzabilità dei dati già trattati in modo illecito e non corretto (art. 11, comma 2), vieta a "I Viaggi del Ventaglio S.p.A." ulteriori trattamenti in violazione della disciplina di protezione dei dati personali (punto 2);

3) ai sensi dell´art. 157 del Codice prescrive a "I Viaggi del Ventaglio S.p.A." di dare conferma a questa Autorità, entro e non oltre il 15 febbraio 2008, dell´attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO
Buttarelli