g-docweb-display Portlet

Verifica preliminare. Trattamento di dati personali riferiti alla clientela e raccolti su scala globale per finalità di profilazione e marketing - 18 maggio 2016 [5260385]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 5260385]

Verifica preliminare. Trattamento di dati personali riferiti alla clientela e raccolti su scala globale per finalità di profilazione e marketing - 18 maggio 2016

Registro dei provvedimenti
n. 227 del 18 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale adottato in data 24 febbraio 2005 (in www.garanteprivacy.it, doc. web n. 1103045);

ESAMINATA la richiesta di verifica preliminare ai sensi dell´art. 17 del Codice del 28 settembre 2015 da Dolce & Gabbana s.r.l. (di seguito "D&G") e regolarizzata il 25 novembre 2015, concernente il trattamento dei dati personali della clientela per finalità di profilazione e marketing;

VISTE le ulteriori note della società del 23 dicembre 2015 e del 18 febbraio 2016;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1.1. A mente di quanto stabilito dal Garante nel provvedimento del 24 febbraio 2005, D&G ha presentato un´istanza di verifica preliminare ai sensi dell´art. 17 del Codice, manifestando l´intenzione di trattare i dati personali riferiti alla clientela e raccolti su scala globale per finalità di profilazione e marketing per un periodo superiore, rispettivamente, a dodici e ventiquattro mesi. In particolare, per dette finalità - le sole considerate nel presente procedimento - i dati della clientela, conservati su server collocati in Italia, verrebbero organizzati all´interno di un sistema di Customer relationship management - Crm (v. infra par. 1.4). Al Crm avrebbero accesso anche società del gruppo consociate e collegate (v. infra punti 1.6 e 1.7)

1.2. In base a quanto dichiarato, i dati contenuti nel Crm consistono in: dati anagrafici (nome, cognome e data di nascita) e di contatto (residenza, domicilio, numero di telefono, email); ammontare complessivo degli acquisti individuali e dati di dettaglio rispetto agli stessi (articolo, taglia e colore, indicazione del prezzo corrispondente, data e negozio presso il quale è avvenuta la vendita); dati ulteriori, «non strettamente necessari per le finalità contrattuali ma utili per attività di marketing» (quali, in via esemplificativa, hobby, preferenze sportive e stato civile) (cfr. nota 18 febbraio 2016).

1.3. La raccolta dei dati destinati al Crm avverrebbe secondo molteplici modalità: anzitutto presso i negozi della società distribuiti sul territorio (su scala mondiale), mediante schede cartacee, nonché attraverso il portale istituzionale di D&G e il sito di e-commerce di D&G gestito da Yoox Net-A-Porter Group s.p.a. (di seguito Yoox); ma anche, in prospettiva, mediante "minisiti" (creati ad hoc, in occasione di singole iniziative) app e social login. Dati potranno essere altresì acquisiti presso terzi, previa verifica «delle informative rese e dei consensi eventualmente raccolti» (cfr. richiesta del 28 settembre 2015, all. 1, p. 10 e nota 18 febbraio 2016).

1.4. Mediante il trattamento dei dati che confluiscono nel Crm, del quale D&G è titolare, la società intende perseguire le seguenti finalità: amministrativo-contabili (esecuzione del contratto, adempimento degli obblighi di legge, servizi post-vendita); fidelizzazione in senso stretto; marketing, mediante invio di materiale pubblicitario o vendita diretta; compimento di ricerche di mercato o comunicazione commerciale, anche personalizzata, con modalità di contatto automatizzate (email) e tradizionali (posta cartacea e chiamate tramite operatore); offerta di servizi personalizzati di vendita presso i negozi presenti in Italia e nel mondo; profilazione (creazione di profili e analisi delle preferenze di acquisto tramite l´utilizzo dei dati forniti dai clienti nonché dei dati relativi al dettaglio degli acquisti effettuati presso i negozi e online).

Per le finalità di marketing e profilazione la società dichiara di trattare i dati liberamente conferiti dalla clientela solo previa acquisizione di un distinto consenso rispetto a ciascuna di esse da parte degli interessati (cfr. richiesta del 28 settembre 2015, all. 1, p. 4 e all. 2).

1.5. D&G, in qualità di titolare del trattamento, ha altresì dichiarato di voler procedere a designare responsabili del trattamento le "società consociate" che, su scala globale, provvedono ad alimentare il Crm. Analoga designazione verrà effettuate per quelle che si occupano della gestione e manutenzione tecnica del sistema Crm come pure per quelle che offrono servizi "accessori alla gestione del Crm e che possono comportare, in via esemplificativa: caricamento dati, supporto nella presentazione delle schede di raccolta dati ai clienti, postalizzazione", quali responsabili esterni del trattamento (cfr. richiesta del 28 settembre 2015, all. 1, p. 5; v. anche nota 18 febbraio 2016, p. 4).

1.6. Per quanto attiene alla consultabilità dei dati presenti nel Crm, la società ha rappresentato che essi risulterebbero visibili a uffici e negozi di D&G (ovunque presenti), suddivisi in base a distinzioni geografiche denominate "country", "region" o "mondo". Per "country" si intende una competenza riferita alla nazione in cui sono presenti i negozi. Per "region" una ulteriore suddivisione secondo le seguenti aree geografiche: Europa (Italia, Francia, UK, Spagna, Germania, Paesi Bassi, Lussemburgo, Svizzera); APAC (Cina, Hong Kong, Macao, Singapore, Thailandia, Malesia, Taiwan); North America (USA e Canada); Latam (Brasile, Messico, Colombia, Panama, Cile, Arabia e Sud Africa); Japan. Per "mondo", l´insieme di tutte le aree.

1.7. La possibilità di accedere ai dati presenti nel Crm avverrà sia nell´ambito degli uffici che dei negozi di D&G con le distinzioni di cui alle aree geografiche "mondo", "region" o "country". In particolare:

a. gli uffici che hanno una competenza "country" avranno visibilità: delle anagrafiche a livello "mondo", dei dati di vendita dei negozi presenti sul territorio a livello "country", dei dati di vendita e-commerce a livello "country", in base alla nazione di residenza, di alcuni dati aggregati inerenti il volume e la frequenza di spesa a livello "region" e "mondo";

b. gli uffici che hanno una competenza "region" avranno visibilità: delle anagrafiche a livello "mondo", dei dati di vendita dei negozi presenti sul territorio a livello "region", dei dati di vendita e-commerce a livello "region", in base alla nazione di residenza, di alcuni dati aggregati inerenti il volume e la frequenza di spesa a livello "region" e "mondo";

c. ciascun negozio avrà visibilità: delle anagrafiche a livello "mondo", dei dati di vendita dei negozi presenti sul territorio a livello "country", dei dati di vendita e-commerce a livello "country", in base alla nazione di residenza, di alcuni dati aggregati inerenti il volume e la frequenza di spesa a livello "region" e "mondo".

1.8. Il tempo di conservazione dei dati presenti nel Crm, secondo quanto prospettato, sarebbe pari a dieci anni, in considerazione della tipologia (di lusso) di beni offerti e considerata la frequenza media di acquisto da parte della clientela pari a uno o al massimo due oggetti pro capite su base annuale; i tempi (inferiori) individuati nel ricordato provvedimento del Garante del 2005, a detta della società, ridurrebbero (o vanificherebbero) infatti i vantaggi della profilazione (cfr. istanza 28 settembre 2015, p. 2).

1.9. La società ha unito all´istanza il modello dell´informativa che intende fornire ed i cui elementi corrispondono a quelli previsti nell´art. 13 del Codice (cfr. all. 2).
Salvo quanto si dirà al punto 2.5, nella stessa è contenuta la chiara indicazione che l´inserimento nel Crm è facoltativo e avverrà solamente previo consenso dell´interessato; essa evidenzia altresì l´ambito di circolazione delle informazioni personali trattate, ed in particolare che l´inserimento dei dati dell´interessato nel Crm comporterà automaticamente la visibilità dei medesimi da parte di tutti coloro che vi hanno accesso nell´ambito degli uffici e dei negozi di D&G nel mondo.

Il modello di informativa richiama poi i diritti che l´interessato può esercitare in base all´art. 7 del Codice, con veste grafica che opportunamente dà agli stessi specifica evidenza. In questa prospettiva, appare condivisibile l´indicazione di un unico indirizzo email dedicato all´esercizio dei diritti da parte degli interessati (e più in generale connesso al trattamento dei dati personali presso la società), come prospettato nell´istanza di verifica preliminare (cfr. istanza 28 settembre 2015, all. 2).

La società prefigura, infine, la possibilità di fornire «una informativa unica identica in tutto il mondo», al fine di ridurre i documenti da fornire all´interessato; questi, infatti, se si registra all´estero, dovrebbe ricevere sia l´informativa relativa al trattamento effettuato con i dati che confluiranno nel Crm (trattamento la cui titolarità è in capo all´istante), sia quella, conforme alla normativa locale, relativa ai trattamenti effettuati (anche in via esclusiva) dal negozio presso cui è stata effettuata la vendita (nota 23 dicembre 2015).

1.10. D&G ha dichiarato di aver implementato misure di sicurezza a presidio dei dati trattati mediante il Crm conformi a quelle previste dall´allegato B) del Codice nonché a quelle individuate dal Garante nel provvedimento del 27 novembre 2008 (doc. web n. 1577499) dedicato agli amministratori di sistema.

Inoltre, la società prevede di effettuare «la loggatura degli accessi al sistema CRM da parte dei soggetti autorizzati a usarlo con mantenimento dei dati raccolti per sei mesi».

1.11. Infine, con riferimento all´attività di profilazione, D&G ha effettuato in data 20 luglio 2009 la notificazione previsa dagli artt. 37 e ss. del Codice.

2.1. Tanto premesso, rilevato che D&G nel presentare la propria istanza ha ampiamente tenuto conto delle prescrizioni in passato impartite dal Garante in relazione a trattamenti che presentano numerose analogie rispetto a quello qui considerato (cfr. i provvedimenti richiamati al punto successivo), tenendo conto delle misure che la società dichiara di voler porre in essere, si procederà di seguito ad identificare i tempi massimi di conservazione dei dati, mettendo a fuoco i soli aspetti non espressamente considerati nella richiesta, con l´individuazione delle conseguenti prescrizioni.

2.2. Con riguardo all´oggetto specifico della presente verifica preliminare, consistente nell´individuazione dei tempi massimi di conservazione dei dati riferiti alla clientela per il perseguimento delle finalità di profilazione e marketing mediante il Crm alimentato dai negozi affiliati presenti sul territorio nazionale e al di fuori di esso, deve ritenersi in anteparte che D&G operi in qualità di titolare del trattamento.

Considerato che i dati personali concernenti gli acquisti effettuati dalla clientela hanno una frequenza media di acquisto bassa (cfr. punto 1.8), deve ritenersi che i ricordati tempi massimi di conservazione dei dati individuati nel menzionato provvedimento del 24 febbraio 2005 possano significativamente ridurre l´utilità dell´attività di profilazione.

Pertanto, considerato che in casi analoghi è stato ritenuto proporzionato per le ricordate finalità un più ampio intervallo di conservazione dei dati nel settore dei beni di lusso (cfr. provv.ti 24 aprile 2013, n. 219, doc. web n. 2499354; 30 maggio 2013, n. 263, doc. web n. 2547834; 7 novembre 2013, n. 500, doc. web n. 2920245; 2 dicembre 2015, n. 632, doc. web n. 4642844), anche per la fattispecie in esame i dati (come sopra individuati al punto 1.2, nel rispetto del principio di pertinenza e non eccedenza) potranno essere conservati per un periodo massimo pari a sette anni decorrente dalla loro registrazione. Ciò in quanto tale arco temporale appare congruo e proporzionato alle finalità che si intendono realizzare, considerata la tipologia di dati personali oggetto di trattamento e le finalità dello stesso.

Alla scadenza del suddetto periodo di conservazione, i dati personali oggetto dell´attività di profilazione e marketing svolta da D&G dovranno essere cancellati automaticamente, ovvero resi anonimi in modo permanente e non reversibile.

2.3. Qualora la raccolta dei dati destinati ad alimentare il Crm venga effettuata attraverso il sito di e-commerce gestito da Yoox (cfr. punto 1.3), anche tale società (non diversamente dalle altre che conferiscono i dati nel Crm) dovrà essere designata da D&G quale responsabile del trattamento.

2.4. Per quanto attiene all´acquisizione dei dati non necessari per le finalità contrattuali, ma pertinenti e non eccedenti rispetto all´attività di profilazione e marketing (cfr. punto 1.2), sarà obbligo della società distinguerli chiaramente dagli altri in sede di raccolta (ad esempio, nei modelli cartacei da compilare o nei form online). In questo modo l´interessato potrà essere agevolmente reso edotto che il trattamento di tali informazioni è facoltativo e decidere così liberamente se fornire o meno il proprio consenso al loro utilizzo per le finalità di marketing e profilazione.

2.5. Con riguardo all´informativa prevista dall´art. 13 del Codice, che la società intende rendere alla clientela in relazione ai trattamenti in esame anche nel rispetto delle discipline nazionali applicabili (cfr. richiesta del 28 settembre 2015, all. 1, p. 10 e all. 2), il Garante valuta con favore l´intenzione dell´istante di riunire in un´unica sede le informazioni da rendere alla clientela tenuto conto del complesso dei trattamenti effettuati (cfr. nota del 23 dicembre 2015). Ciò sempreché l´informativa, in relazione ai dati raccolti sul territorio nazionale, sia comunque conforme, in particolare, al Codice.

Da detta informativa dovrà comunque potersi evincere chiaramente il ruolo di titolare del trattamento rivestito dall´istante in relazione ai trattamenti effettuati per finalità di profilazione e marketing e l´attuale modello dovrà essere integrato, specificando in maniera analitica e dettagliata (e non solamente esemplificativa):

a. la tipologia dei dati che la società intende trattare per le menzionate finalità di profilazione e marketing;

b. il periodo massimo di conservazione dei dati, pari a sette anni, così come previsto dal presente provvedimento, con l´indicazione che, alla relativa scadenza, tali dati saranno cancellati automaticamente ovvero resi anonimi in modo permanente e non reversibile.

2.6. Atteso che il complessivo trattamento effettuato dalla società mediante il Crm, cui possono accedere su scala globale soggetti operanti in Paesi terzi (cfr. punti 1.6 e 1.7), può determinare il trasferimento all´estero dei dati, la società dovrà assicurare che ciò avvenga nel rispetto di quanto previsto dagli artt. 42 e ss. del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

alla luce di quanto dichiarato e considerati gli elementi forniti, ai sensi dell´art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Dolce & Gabbana s.r.l., con sede in Milano, Via Goldoni n. 10, relativa alla conservazione dei dati personali riguardanti la propria clientela, per attività di profilazione e di marketing, prescrivendo che siano adottate, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione e, in particolare, con riguardo:

1. al periodo di conservazione dei dati (punto 2.2):

a. conservando i dati utilizzati per l´attività di profilazione e di marketing per il periodo massimo di sette anni;

b. provvedendo, alla scadenza di detto periodo, alla cancellazione automatica di tali dati, ovvero alla trasformazione degli stessi in forma anonima in modo permanente e non reversibile;

2. alla designazione dei responsabili del trattamento (punto 2.3), provvedendo a designare quale responsabile del trattamento Yoox qualora la raccolta dei dati destinati ad alimentare il Crm venga effettuata attraverso il sito di e-commerce dalla stessa gestito;

3. all´informativa da rendere agli interessati (punto 2.5):

a. formulandola in modo che dalla stessa possa chiaramente evincersi il ruolo di titolare del trattamento rivestito dalla società istante in relazione ai trattamenti effettuati per finalità di profilazione e marketing;

b. specificando in maniera analitica e dettagliata la tipologia dei dati trattati per la menzionata finalità di profilazione e marketing nonché il periodo massimo di conservazione degli stessi, pari a sette anni, con l´indicazione che, alla relativa scadenza, saranno cancellati automaticamente ovvero resi anonimi in modo permanente e non reversibile.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
5260385
Data
18/05/16

Argomenti


Tipologie

Verifica preliminare