Civile

Friday 04 March 2005

Privacy. Il Garante detta le regole per le fidelity card Garante per la protezione dei dati personali, Provvedimento 24 febbraio 2005

Privacy. Il Garante detta le regole per le “fidelity
card”

Garante per la protezione dei dati
personali, Provvedimento 24 febbraio 2005

’Fidelity card’ e
garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione

IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI

In data odierna, in
presenza del prof. Stefano Rodotà, presidente,
del prof. Giuseppe Santaniello, vice presidente, del
prof. Gaetano Rasi e del dott. Mauro Paissan,
componenti e del dott. Giovanni Buttarelli, segretario
generale;

Esaminati i reclami e le segnalazioni
pervenuti in ordine al trattamento di dati personali
raccolti attraverso carte o tessere di "fidelizzazione";

Ritenuta la
necessità di prescrivere alcune misure necessarie ed opportune al fine di
rendere il trattamento conforme alle disposizioni vigenti (art. 154, comma 1, lett. c), del
Codice in materia di protezione dei dati personali);

Vista la
documentazione acquisita a seguito degli accertamenti avviati e della
consultazione pubblica effettuata;

Viste le
osservazioni formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000;

Relatore il prof. Gaetano Rasi;

PREMESSO:

1. La "fidelizzazione"
nell’ambito della grande distribuzione

Il Garante ha ricevuto reclami e segnalazioni
su trattamenti di dati effettuati nell’ambito della crescente utilizzazione di carte o tessere di "fidelizzazione" volte a creare un rapporto duraturo
con la clientela per acquisti e servizi.

Gli intestatari delle
"carte" usufruiscono di alcuni vantaggi per
effetto della titolarità della carta, oppure del genere o volume di spesa o
delle prestazioni richieste (ad es., sconti per
l’acquisto di prodotti; premi o bonus correlati; priorità; servizi accessori;
facilitazioni di pagamento).

Le prescrizioni contenute nel
presente provvedimento riguardano in termini generali tutti i tipi di
"carte" nel settore della c.d. grande
distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo
o elettronico, presso punti-vendita oppure on line, nominativamente ovvero
assegnando un codice identificativo, accumulando o meno punti rapportati a
spese e servizi.

Il fenomeno ha assunto ampia portata
interessando, oltre alla commercializzazione di beni di consumo, la prestazione
di servizi nei trasporti, nel credito, nella telefonia, nell’editoria, nel
noleggio, ecc. I principi normativi richiamati in questa sede per la grande distribuzione hanno carattere generale e sono già
applicabili in diversi ambiti.

Il Garante esamina in questa sede i
profili di competenza rilevanti per il trattamento dei dati personali, senza
valutare specificamente requisiti prescritti da leggi o regolamenti in altri
ambiti (ad es., dal d.P.R. 26 ottobre 2001, n. 430, in materia di
concorsi, operazioni a premio e manifestazioni di sorte).

Il rilascio delle carte (spesso
preceduto dalla compilazione di un modulo di adesione
e di un questionario), e la loro utilizzazione (che determina la registrazione
di acquisti di beni e servizi), comportano un trattamento dei dati personali
dei clienti e, a volte, dei loro familiari.

Accanto a dati anagrafici e recapiti
anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per
attribuire i vantaggi collegati alla carta (titolo di studio, professione,
interessi, abitudini, preferenze, modalità di acquisti, ecc.).

Tali informazioni vengono di frequente trattate unitariamente, per finalità diverse
che richiedono quindi modalità differenziate; non di rado, è fornita solo un’informativa
generica che descrive i trattamenti in modo non adeguatamente distinto.

Le analisi svolte sulle abitudini e
scelte di consumo presentano rischi per gli interessati, anche quando i dati
non sono comunicati a terzi.

Consumatori, relativi nuclei
familiari ed altre persone da essi indicati, ricevendo
i vantaggi legati alla fidelizzazione, sono
monitorati in dettaglio nei loro comportamenti, vengono profilati anche
all’interno di specifiche banche dati centrali o locali e fatti oggetto di
raffronto con altri clienti, senza esserne peraltro consapevoli non avendo
ricevuto un’adeguata informativa.

Si definiscono anche profili
individuali o di gruppo (segmenti di clientela con caratteristiche omogenee,
c.d. cluster), ovvero
propensioni al consumo, senza che gli interessati vi abbiano potuto
acconsentire sulla base di informazioni chiare e specifiche. L’acquisto di beni
e di servizi può persino determinare, in talune circostanze particolari, la
raccolta di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame.

A ciò si aggiungono eventuali
contatti diretti con la clientela per operazioni di marketing, comunicazioni
commerciali o pubblicitarie, vendite dirette o per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.

Attesa la crescente diffusione del
fenomeno, e a garanzia degli interessati, il Garante prescrive ai titolari del
trattamento di adottare alcune misure necessarie od opportune al fine di
conformare i trattamenti alle vigenti disposizioni in materia di protezione dei
dati personali (art. 154, comma 1, lett. c), del Codice).

2. Necessità e proporzionalità

Le seguenti prescrizioni sono
impartite tenendo conto delle distinzioni relative alle
tre principali finalità indicate (fidelizzazione in
senso stretto, realizzata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi di abitudini e scelte di
consumo; marketing diretto), che rendono necessario diversificare le modalità
del trattamento, in particolare per quanto riguarda le tipologie di dati e la
loro conservazione.

I trattamenti devono svolgersi
rispettando i principi di necessità, liceità, correttezza, qualità dei dati e
di proporzionalità (artt. 3 e 11 del Codice).

In particolare:

in applicazione del principio di
necessità (art. 3 del Codice), i sistemi informativi e i programmi informatici
devono essere configurati, già in origine, in modo da ridurre al minimo
l’utilizzo di informazioni relative a clienti identificabili. Il trattamento di
dati personali relativi a clienti non è lecito se le finalità del trattamento,
in particolare di profilazione, possono essere
perseguite con dati anonimi o solo indirettamente identificativi;

nel rispetto del principio di
proporzionalità nel trattamento (art. 11, comma 1, lett. d), del Codice), tutti
i dati personali e le varie modalità del loro trattamento devono essere
pertinenti e non eccedenti rispetto alle finalità perseguite.

Come premesso, l’utilizzazione
di dati sensibili (art. 4, comma 1, lett. d), del Codice) non è di regola
ammessa per alcuna delle finalità indicate, fatta salva l’ipotesi eccezionale
nella quale il trattamento di dati sia realmente indispensabile in rapporto
allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante,
oltre che acconsentito per iscritto dall’interessato. Ciò, vale anche per
eventuali ricerche di mercato, sondaggi ed altre ricerche
campionarie (cfr. aut. gen. del Garante n. 5/2004, in
G.U. 14 agosto 2004, n. 190).

Vanno a questo punto indicate le
modalità di attuazione di questi principi in rapporto
alle diverse finalità.

3. Finalità di "fidelizzazione" in senso stretto

Possono essere trattati
esclusivamente i dati necessari per attribuire i vantaggi connessi all’utilizzo
della carta.

Si tratta:

dei dati direttamente correlati
all’identificazione dell’intestatario della carta, quali le informazioni
anagrafiche;

dei dati eventualmente relativi al
volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti
di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario
trattarli -e in particolare conservarli- per attribuire i vantaggi medesimi, e
per il tempo a ciò strettamente necessario. L’eventuale conservazione di dati
di dettaglio relativi alle particolari tipologie di
beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus,
ecc.), non è di regola necessaria specie se si persegue la sola finalità di
"fidelizzazione"; nei casi particolari in
cui essa è lecita, deve essere rispettato il principio di proporzionalità.

4. Finalità di "profilazione" della clientela

L’attività di profilazione
riguardante singoli individui o gruppi può essere
svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi
(ad esempio, un codice numerico), senza una relazione tra i dati che permettono
di individuare gli interessati e le indicazioni analitiche relative alla loro
sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se
la finalità può essere perseguita con tali modalità (specie per quanto riguarda
la profilazione della clientela per categorie
omogenee), non è lecito utilizzare -e tanto meno
conservare- dati personali o identificativi.

Negli altri casi, le informazioni che
si intende acquisire (sia all’atto dell’adesione del
cliente all’iniziativa, sia per effetto dell’eventuale registrazione di singoli
beni e servizi accessori), e le modalità del loro trattamento, devono essere
pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o
dei servizi resi.

Il principio di proporzionalità va
osservato anche per quanto riguarda l’eventuale intenzione di registrare le
informazioni in banche di dati, tanto più se centrali. Inoltre, queste ultime
non devono essere interconnesse -o fonte di intrecci e
raffronti di dati- con quelle utilizzate per la fidelizzazione
in senso stretto.

Per quanto concerne i dati sensibili
va rilevato, oltre a quanto già richiamato, che non è lecito utilizzare a fine
di profilazione dati idonei a rivelare la stato di salute e la vita sessuale (cfr. autorizzazioni generali del Garante nn.
2 e 5/2004, in G.U. 14 agosto 2004, n. 190).

5. Finalità di "marketing"
diretto

Possono essere raccolti ed utilizzati
i dati pertinenti e non eccedenti per l’invio di materiale pubblicitario -anche
attraverso riviste di settore- o di comunicazioni commerciali o per la vendita
diretta. Si tratta, di regola, dei soli dati direttamente correlati
all’identificazione dell’intestatario della carta o di suoi familiari, ovvero di persone da esso indicate. L’eventuale utilizzazione
di dati personali derivanti dalla profilazione deve
essere oggetto di un consenso differenziato dei
diretti interessati.

6. Informativa agli interessati

Prima del conferimento dei dati e del
rilascio della carta deve essere fornita al cliente un’informativa chiara e
completa, al fine di consentire un’adesione pienamente consapevole alle
iniziative proposte.

Nel rispetto del principio di
correttezza (art. 11, comma 1, lett. a), del Codice), non sono consentiti
comportamenti suscettibili di incidere sulle scelte libere e consapevoli del
cliente nell’adesione ai "programmi di fidelizzazione".

Nello svolgimento delle operazioni
preordinate al rilascio della "carta", non è corretto indurre il
cliente ad aderire al programma senza aver avuto le
spiegazioni e il tempo necessari per essere previamente informati e maturare un
consenso consapevole riguardo ai dati da fornire, specie in ordine alla profilazione o al marketing (come potrebbe ad esempio
accadere sollecitando una rapida sottoscrizione mentre il cliente è in fila
alla cassa senza un esame preventivo di un’informativa).

L’informativa può utilizzare formule
sintetiche e colloquiali, purché chiare e inequivoche;
deve contenere comunque tutti gli elementi richiesti
dal Codice (art. 13, comma 1).

Non sono consentiti generici rinvii a
regolamenti di servizio non acclusi per le parti di riferimento. L’informativa
inserita all’interno di moduli deve essere adeguatamente evidenziata e
collocata in modo autonomo e unitario in un apposito
riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole
del regolamento di servizio eventualmente riportato in calce o a margine.

In particolare, devono essere poste
in distinta e specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di
cedere a terzi specificamente individuati i dati per finalità da indicare
puntualmente.

Deve risultare
parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati
e il consenso sono liberi e facoltativi rispetto alle ordinarie attività legate
alla fidelizzazione in senso stretto.

7. Adesione al "programma di fidelizzazione" e consenso al trattamento

Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di
regola accettare condizioni generali di contratto predisposte dal titolare del
trattamento (di regola, lo stesso emittente della "carta").

Poiché il trattamento di dati
preordinato alla fidelizzazione in senso stretto è
"necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato" non è corretto, in questo
caso, sollecitare il consenso al trattamento dei dati (art. 24, comma 1, lett.
b), del Codice).

Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing
dall’altro) che comporti l’identificabilità degli
interessati necessita, invece, del loro consenso
specifico, informato e distinto per ciascuna di esse (art. 23 del Codice). Il
consenso deve essere quantomeno documentato per iscritto a cura del titolare
del trattamento, ovvero reso necessariamente per
iscritto dall’interessato nel caso di dati sensibili.

L’eventuale accettazione per iscritto
delle clausole del regolamento di servizio deve essere
distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di
libero consenso. L’adesione all’iniziativa di fidelizzazione
non può essere condizionata alla manifestazione di tale consenso.

Non è quindi lecito raccogliere un
consenso generale ricorrendo ad una generica dichiarazione, comprendendo anche
i casi in cui il consenso non è necessario o a prescindere dalle finalità
perseguite.

Per alcune forme di comunicazione
mediante posta elettronica, fax, sistemi automatizzati di chiamata e messaggi
del tipo Mms o Sms o di altro tipo, la necessità del consenso deriva anche da
apposite disposizioni in tema di comunicazioni indesiderate o di vendite a
distanza, le quali prevedono, altresì, regole particolari per l’offerta di
servizi analoghi tramite posta elettronica (art. 130 del Codice; art. 10 d.lg. n. 185/1999). E’ opportuno che copia della
documentazione attestante l’informativa fornita e il consenso eventualmente
prestato sia rilasciata all’interessato, per
consentirgli di verificare in ogni momento le proprie scelte e di modificarle.

8. Tempi di conservazione

In applicazione del menzionato
principio di proporzionalità, va prescritta ai titolari del trattamento
l’identificazione di termini massimi di conservazione dei
dati da osservare presso banche dati sia centrali, sia locali.

Tale identificazione va effettuata dopo aver esaminato la possibilità di raccogliere
e conservare dati nei termini consentiti per ciascuna delle finalità
sopradescritte, tenendo conto di eventuali scelte degli interessati
sopravvenute.

Il principio da osservare è quello
secondo cui i dati personali dei quali non è
necessaria la conservazione in relazione agli scopi per i quali sono stati
trattati devono essere cancellati o trasformati in forma anonima (art. 11,
comma 1, lett. e), del Codice).

In ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a
clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore,
rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva
la reale trasformazione in forma anonima che non permetta, anche indirettamente
o collegando altre banche di dati, di identificare gli interessati. Eventuali
intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi
dell’art. 17 del Codice.

Nel caso di eventuale
ritiro, disabilitazione per mancato utilizzo entro un
determinato arco temporale, scadenza o restituzione della carta, deve essere
individuato un termine di conservazione dei dati personali per esclusive
finalità amministrative (e non anche di profilazione
o di marketing), non superiore ad un trimestre (fatti salvi eventuali specifici
obblighi di legge sulla conservazione di documentazione contabile). Occorre
specificare questi aspetti nell’informativa e predisporre idonei meccanismi di
cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati (specie per la profilazione o di marketing).

9. Notificazione del trattamento e
misure di sicurezza

Restano fermi, in aggiunta alle
prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai
titolari del trattamento.

Ci si riferisce, in particolare:

a) all’obbligo di notificazione al
Garante dei trattamenti effettuati mediante l’ausilio di strumenti elettronici
volti a definire profili di consumatori o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37,
comma 1, lett. d), e 163 del Codice);

b) agli obblighi relativi
all’adozione delle misure anche minime di sicurezza (artt. 31-35 e
Allegato B) del Codice;

c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento,
sono autorizzati a compiere operazioni di trattamento sulla base dei compiti
assegnati e delle istruzioni impartite (artt. 29 e 30 del Codice);

d) all’obbligo dei titolari del
trattamento di adottare le misure necessarie per agevolare l’esercizio dei
diritti degli interessati e il relativo riscontro tempestivo (art. 10, comma 1,
del Codice), con particolare riferimento alle concrete notizie da fornire in
caso di richiesta di spiegazioni sulle finalità e modalità del trattamento
(art. 7, comma 2, lett. b)) o di opposizione al
trattamento.

In questo quadro, è necessario che:

i dati eventualmente trattati a fini
di profilazione o di ricerche di mercato siano
conservati con adeguate modalità che portino a limitare l’ambito di
circolazione dei dati allo stretto indispensabile, circoscrivendo
qualitativamente e quantitativamente il numero di addetti aventi eventuale
accesso alle informazioni;

sia escluso l’uso di sistemi e programmi
che permettano, fuori dei casi consentiti, una ricostruzione organica di
scelte, comportamenti e profili di interessati identificabili non soggetta alle
previe valutazioni di questa Autorità ai sensi dell’art. 17 del Codice;

non si eludano, attraverso la
preposizione di soggetti esterni quali responsabili del trattamento, le
richiamate garanzie in tema di comunicazione e conservazione dei dati e di
trasparenza nell’informativa riguardo alle finalità e ai soggetti che le
perseguono;

si pongano a disposizione degli
interessati, anche nell’informativa, specifici recapiti, anche di posta
elettronica, per un agevole esercizio dei diritti.

10. Informazioni al Garante

Ai sensi e per gli effetti di cui
agli artt. 157, 164 e 168 del Codice, i titolari del trattamento indicati negli
atti di procedimenti pendenti presso l’Ufficio sono invitati a confermare al
Garante, entro e non oltre il 15 maggio 2005, che i trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presente
provvedimento, indicando ogni informazione utile al riguardo ed allegando la
pertinente documentazione.

TUTTO CIÒ PREMESSO, IL GARANTE

prescrive ai titolari di trattamenti di dati
personali oggetto del presente provvedimento, ai sensi dell’art. 154, comma 1,
lett. c), del Codice, di adottare le misure necessarie ed opportune ivi
indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni
vigenti.

Roma, 24 febbraio 2005

IL PRESIDENTE

Rodotà

IL RELATORE

Rasi

IL SEGRETARIO GENERALE

Buttarelli