g-docweb-display Portlet

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela per il loro utilizzo a fini di profilazione e di promozione commerciale profilata - 18 aprile 2018 [8997404]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 8997404]

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela per il loro utilizzo a fini di profilazione e di promozione commerciale profilata - 18 aprile 2018

Registro dei provvedimenti
n. 233 del 18 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”); 

Visto il provvedimento generale del Garante del 24 febbraio 2005 relativo a “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” (in www.garanteprivacy.it, doc. web n. 1103045); 

Esaminata la richiesta di verifica preliminare presentata da Fiat Chrysler Automobiles Italy S.p.A. (di seguito FCA Italy S.p.A. o la società), ai sensi dell’art. 17 del Codice, concernente il trattamento dei dati personali della propria clientela per profilazione finalizzata ad effettuare la promozione commerciale personalizzata dei propri marchi e prodotti; 

Visti gli atti d’ufficio;

Esaminata la documentazione acquisita agli atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La richiesta della società 

1.1 FCA Italy S.p.A. (di seguito “la società”), sulla base di quanto stabilito nel provvedimento generale adottato dal Garante il 24 febbraio 2005, ha presentato un’istanza di verifica preliminare ai sensi dell’art. 17 del Codice al fine di ottenere l’autorizzazione al prolungamento dei tempi di conservazione dei dati personali riferiti alla clientela per il loro utilizzo a fini di profilazione e di promozione commerciale profilata. 

La società infatti, che “in proprio e per il tramite della propria rete autorizzata di vendita e di assistenza” svolge attività di promozione dei propri marchi (Fiat, Lancia, Alfa, Abarth, Fiat Professional, Crhysler, Jeep) e prodotti (autoveicoli e veicoli commerciali nonché i relativi ricambi ed accessori), mediante iniziative di marketing rivolte alla propria clientela o comunque nei confronti di chi ha espressamente conferito il consenso al trattamento dei propri dati per tali finalità, ha al contempo attivato servizi di Customer Relationship Management (di seguito “CRM”), prevedendo attività di elaborazione dei dati dei clienti e dei potenziali clienti mediante tecniche di profilazione. 

A tali fini, tenendo conto che FCA progetta, produce e commercializza beni che, pur non essendo tutti qualificabili come beni di lusso, presentano comunque un valore considerevole rispetto ad altre categorie merceologiche ed il loro acquisto si realizza in media ogni otto anni, la società ha chiesto all’Autorità l’autorizzazione a conservare i dati raccolti per un arco temporale pari a 15 anni. 

Sulla base di quanto prospettato, infatti, la conservazione dei dati inseriti nel CRM per un periodo considerevolmente più esteso rispetto a quello previsto nel provvedimento dell’Autorità del 24 febbraio 2005, risulterebbe coerente con la tipologia di prodotti venduti e consentirebbe di non vanificare le attività di marketing e di profilazione della clientela poste in essere dalla società.

1.2 La società, anche a seguito di alcune richieste di chiarimenti formulate dall’Autorità soprattutto in ordine all’articolazione dei rapporti in essere tra FCA e i diversi soggetti della “rete autorizzata di vendita e di assistenza”, ha precisato che:

a) la raccolta dei dati personali dei clienti e dei potenziali clienti che la società intende trattare nell’ambito delle attività di CRM avviene direttamente presso gli interessati ovvero tramite concessionari, officine autorizzate, call center, siti internet dei concessionari o anche tramite l’acquisto da soggetti terzi nell’ambito di iniziative di co-marketing, in occasione della predisposizione di preventivi, contratti di compravendita, campagne di richiamo, contratti di servizi (quali i pacchetti di garanzia convenzionale), attività di assistenza e manutenzione, partecipazione ad eventi e fiere ovvero manifestazioni di interesse quali test drive, richieste di informazioni sui prodotti e brochures.

b) i dati così raccolti riguardano, oltre ai dati anagrafici (nome, cognome, sesso, data di nascita, nazionalità, codice fiscale/partita IVA) e di contatto (indirizzo, numeri di telefono, e.mail), anche dati ulteriori relativi alla clientela quali identificativo cliente, identificatore univoco del veicolo (VIN) e targa dello stesso, nonché altri dati non strettamente necessari al perseguimento delle finalità contrattuali proprie della società, ma dalla stessa ritenute rilevanti per le finalità di marketing e di profilazione (titolo di studio, professione, stile di vita, hobby, comportamento di guida, frequenza delle visite effettuate presso la rete di vendita e/o di assistenza, dati relativi all’avvenuta lettura o meno delle e.mail di marketing inviate dalla società); 

c) i predetti dati, acquisiti secondo le modalità sopra indicate, confluiscono nei sistemi informativi che costituiscono il CRM, di cui FCA è il titolare del trattamento e potranno essere utilizzati per le finalità di marketing e di profilazione a condizione che gli interessati, sulla base di una informativa idonea, abbiano conferito uno specifico consenso per ciascuna delle finalità indicate (cfr. par. 1.3  su informativa e consenso); 

d) nell’esercizio dell’attività di vendita e di assistenza, FCA si avvale di un sistema di distribuzione costituito da concessionari che operano sulla base di contratti di concessione di vendita di autoveicoli e veicoli commerciali nonché di vendita di ricambi e di prestazione di servizi di assistenza. Nell’ambito di questa articolazione, FCA e i singoli concessionari raccolgono e trattano i dati dei clienti e dei potenziali clienti in qualità di autonomi titolari del trattamento ma anche, reciprocamente,  in qualità di responsabili ai sensi dell’art. 29 del Codice, a seconda del tipo di attività che essi svolgono. In particolare, da un lato, ciascun concessionario è il titolare del trattamento dei dati dei propri clienti acquisiti in fase di vendita o di assistenza al veicolo e, dall’altro, laddove raccoglie i dati dei clienti che confluiscono nel CRM per conto di FCA (che opera in qualità di titolare per le finalità di marketing e di profilazione,) viene designato da quest’ultima quale responsabile del trattamento; parimenti FCA, titolare del trattamento dei dati conservati nel CRM, è designata quale responsabile da parte dei concessionari per la gestione delle piattaforme che la stessa mette a disposizione dei concessionari che ne conservano la titolarità (c.d. servizio di “Dealer Website”);

e) il predetto servizio di “Dealer Website”, che consiste nella implementazione e gestione dei siti web dei singoli dealer, è predisposto da FCA che, in qualità di responsabile del trattamento, opera sulla base delle indicazioni fornite dai titolari; ad esempio per i servizi di c.d. “digital communication”, tra cui ad esempio la raccolta di dati dei c.d. “prospect” (ovvero i soggetti interessati ad acquisire informazioni sui veicoli), FCA, in qualità di responsabile designato dai concessionari, conserva all’interno del CRM i dati dei clienti/prospect delle concessionarie, raccolti tramite i siti web delle stesse (sul punto si veda par. 1.5, lett. b);

f) FCA provvede a designare quali responsabili del trattamento ai sensi dell’art. 29 del Codice, le società che forniscono i servizi di call center, le quali, al pari dei concessionari, intervengono nella raccolta dei dati personali dei clienti e dei potenziali clienti per le finalità di profilazione e marketing oggetto della presente istanza.

1.3 Con riferimento ai princìpi fondanti su cui si basa la protezione dei dati personali, l’informativa e il consenso, FCA ha rappresentato che:

a) per tutti i casi in cui la società è titolare del trattamento, l’informativa, comprensiva di tutti gli elementi previsti dall’art. 13 del Codice, ivi compresa la possibilità di esercitare i diritti di cui all’art. 7, tra cui il diritto di opposizione anche con riferimento all’attività di profilazione, viene fornita agli interessati attraverso diverse modalità: 1) per il tramite della concessionaria al momento della stipula del contratto di vendita del veicolo o del contratto di assistenza; 2) attraverso i siti web di brand (ad es. www.fiat.it) al momento della compilazione del modulo necessario per richiedere un’informazione, un servizio e/o per aderire ad un’offerta; 3) al momento della registrazione sui siti web dedicati alle community di brand, ai sistemi di connettività e a servizi di post-vendita; 4) tramite i call center, sia al momento in cui gli stessi contattano il cliente per fornire un servizio (ad es. la verifica qualitativa del veicolo) sia quando è il cliente stesso che si rivolge al call center per richiedere un servizio (ad es. un test drive); 

b) con riferimento al consenso, per le finalità di marketing e di profilazione è previsto il conferimento, da parte degli  interessati,  di uno specifico consenso, facoltativo e in ogni caso revocabile, distinto per ciascuna delle due finalità menzionate; inoltre l’eventuale attività di marketing tramite soggetti terzi (o attività di co-marketing) è possibile solo qualora sia stato acquisito da parte della società un ulteriore consenso ad hoc, relativamente alla comunicazione dei dati a terzi. 

1.5 La società ha quindi illustrato le caratteristiche e le modalità di funzionamento del CRM e, anche a seguito di alcune richieste di integrazioni formulate dall’Autorità, ha fornito le seguenti delucidazioni. In particolare:

a) i dati trattati nell’ambito delle operazioni del CRM sono conservati in un database denominato Central Customer Data Base (di seguito “CCDB”) composto di diverse sezioni a seconda delle fonti da cui provengono i dati (interessato, concessionari, siti internet dei concessionari, call center, officine e terzi);

b) nel CCDB sono conservati i dati personali di clienti e potenziali clienti il cui trattamento è in capo a FCA Italy S.p.a. per le finalità di marketing, profilazione, customer satisfaction, customer care e statistica; nel medesimo CCDB sono tuttavia conservati i dati personali della clientela la cui titolarità appartiene ai dealer, in quanto provenienti dal “Dealer Website” (cfr. par. 1.2 lett. e) o da eventi organizzati presso i dealer medesimi;

c) i server che ospitano il CCDB sono localizzati in Italia e sono gestiti da IBM S.p.a. a cui è affidata la gestione e manutenzione tecnica dei sistemi (c.d. “Maintenance Infrastrutturale”) in qualità di responsabile del trattamento ai sensi dell’art. 29 del Codice; 

d) la designazione in qualità di responsabile del trattamento ai sensi dell’art. 29 del Codice riguarda anche altri soggetti che accedono al CCDB. In particolare, la società fornitrice dei sistemi che svolge attività di “Maintenance Applicativa” e le società specializzate in materia di analisi ed elaborazione dati per finalità di CRM o connesse alla soddisfazione del cliente (c.d. “Customer Satisfaction Index – CSI”); 

e) i soggetti che operano alle dipendenze di FCA (nel duplice ruolo di titolare e di responsabile del trattamento designata dai concessionari) e che hanno accesso al CCDB sono formalmente designati quali incaricati del trattamento ai sensi dell’art. 30 del Codice; l’accesso degli stessi al CCDB è garantito, oltre che dalle misure di sicurezza di cui all’allegato B) al Codice,  da ulteriori misure di sicurezza (illustrate, a titolo esemplificativo, nella nota  integrativa all’istanza in esame del 28 febbraio 2018). 

2. Le valutazioni dell’Autorità

2.1 Alla luce delle informazioni acquisite dalla società e delle misure che la stessa ha dichiarato di adottare nonché delle argomentazioni dalla stessa fornite a sostegno della richiesta oggetto della presente verifica preliminare, l’Autorità, in linea con quanto già stabilito in casi analoghi concernenti il trattamento dei dati personali dei clienti per finalità di profilazione e di marketing profilato nel settore dei beni di lusso (cfr. provvedimenti dell’Autorità del 24 aprile 2013, doc. web 2499354 e del 5 luglio 2017, doc. web 6844421), ritiene che, anche nel caso in esame, sia ragionevole individuare un arco temporale più esteso rispetto a quello stabilito nel provvedimento generale del 24 febbraio 2005 per la conservazione dei dati personali in questione; in particolare, trattandosi di beni di valore considerevole il cui acquisto si realizza in media ogni otto anni, il termine massimo di 10 anni, decorrente dalla registrazione dei dati, appare congruo e proporzionato rispetto alle finalità che si  intendono perseguire e non risulta eccessivo in relazione ai possibili rischi per gli interessati dei cui dati si tratta alla luce dell’art. 11, comma 1 del Codice.

Alla scadenza del suddetto periodo, i dati personali oggetto dell’attività di profilazione e di marketing dovranno essere cancellati automaticamente ovvero anonimizzati in modo permanente ed irreversibile. 

Si ritiene inoltre che, considerata l’articolazione dei rapporti tra FCA e i  concessionari  (come delineata nel par. 1.2 lett. d)), nonché la particolare configurazione del CCDB, nel quale, come anzi descritto (par. 1.5, lett. b)), sono conservati anche i dati personali dei clienti e prospect la cui titolarità è in capo ai concessionari, questi ultimi, qualora ne abbiano interesse, potranno anch’essi procedere all’allungamento fino a 10 anni dei tempi di conservazione, come individuati all’esito della presente verifica preliminare, dei dati, con esclusivo riferimento a quelli da essi raccolti direttamente, a decorrere dalla loro registrazione, per le finalità di profilazione e di marketing; ciò al fine di consentire l’omogenizzazione dei tempi di conservazione dei dati trattati nell’ambito delle attività del CRM per le medesime finalità dai soggetti che ne sono i titolari.

2.2 Resta fermo che la società, nonché i concessionari che ritengano di avvalersi della presente verifica preliminare, sono tenuti al rispetto di tutte le misure e le prescrizioni stabilite nel presente provvedimento e  nel provvedimento dell’Autorità del 25 febbraio 2005, con particolare riferimento al divieto di utilizzare, per finalità di profilazione, dati idonei a rivelare lo stato di salute (v. par. 4 del citato provvedimento).
In particolare, anche alla luce della documentazione acquisita agli atti, è necessario che:

a) nei modelli di informativa predisposti dalla società e allegati all’istanza dovrà essere evidenziato ed esplicitato con chiarezza il diritto dell’interessato di opporsi al trattamento e di revocare in qualunque momento il consenso prestato per attività promozionali e di profilazione;

b) nei modelli di informativa predisposti dalla società e allegati all’istanza, (cfr. par. 1.3), venga indicato il periodo massimo di conservazione dei dati, pari a 10 anni a decorrere dalla registrazione degli stessi, nonché il riferimento alla loro automatica cancellazione o anonimizzazione irreversibile alla scadenza del medesimo termine; 

c) nei medesimi modelli di informativa sia esplicitata con chiarezza l’articolazione dei rapporti tra FCA e concessionari nei rispettivi ruoli di titolare/i e responsabile/i del trattamento dei dati della clientela; ciò al fine di porre gli interessati nella condizione di poter conferire o meno il consenso al trattamento dei dati per le finalità di profilazione e di marketing - in modo distinto e specifico per ciascuna delle due finalità - sulla base di precisi elementi informativi in ordine all’ambito di circolazione degli stessi, anche con riferimento all’eventuale comunicazione dei dati a soggetti terzi per finalità che devono essere puntualmente individuate;

d) siano adottate adeguate misure di sicurezza al fine di preservare l’integrità dei dati trattati e prevenire l’accesso agli stessi da parte di soggetti non autorizzati.

Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all’art. 24, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, ove necessario, una valutazione di impatto ex art. 25 del citato Regolamento ovvero attivando la consultazione preventiva ai sensi dell’art. 36 del Regolamento medesimo.

TUTTO CIO’ PREMESSO IL GARANTE

accoglie la richiesta di verifica preliminare presentata ai sensi dell’art. 17 del Codice relativa al prolungamento del termine di conservazione dei dati personali dei clienti e dei potenziali clienti per il loro utilizzo a fini di profilazione e di marketing per un periodo massimo di 10 anni a decorrere dalla loro registrazione, fermo restando che la società e, qualora intendano avvalersene, i concessionari, rispettino tutte le misure e le prescrizioni stabilite nel provvedimento dell’Autorità del 25 febbraio 2005 e nel presente provvedimento, come indicato al par. 2.2.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 aprile 2018 

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
8997404
Data
18/04/18

Argomenti


Tipologie

Verifica preliminare