Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

Provvedimento del 15novembre 2007

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24febbraio 2005 in materia di trattamento di dati personali nell'ambito deiprogrammi di fidelizzazione della clientela;

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Trattamento di dati personalidella clientela nell'ambito dei programmi di fidelizzazione della clientela.

1.1. Per verificare la conformitąalla disciplina di protezione dei dati e alle prescrizioni individuate nelprovvedimento del Garante del 24 febbraio 2005, l'Autoritą ha svoltoaccertamenti presso alcuni operatori economici con riguardo al trattamento didati personali nell'ambito di programmi di fidelizzazione della clientela; inparticolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblicae privacy" della Guardia difinanza, l'Autoritą ha effettuato verifiche in data 5 ottobre 2005 presso"Buscaini Angelo s.r.l." (di seguito, la societą) sulle operazioni ditrattamento effettuate in relazione al rilascio della carta fedeltą "Cartadei desideri - Supermercati Pim".Il presente provvedimento attiene ai profili di violazione riscontrati alriguardo.

1.2. Dagli accertamenti svolti Ź emersoche la societą raccoglie presso l'interessato, mediante il modulo di adesionecartaceo, alcuni dati personali della clientela consistenti, in particolare,in:

0.     dati anagrafici: nome, cognome,data e luogo di nascita;

0.     recapiti, tra i quali indirizzo, e-mail e numero del telefono;

0.     titolo di studio, professione enumero dei componenti del nucleo familiare.

Tali informazioni risultano trattate"per l'esclusiva finalitą di fidelizzazione" e "i punti cosď acquisiti […] possono essere utilizzati solo perritirare i premi" (cfr. verbale5 ottobre 2005, p. 2). Dall'informativa fornita si desume altresď che i datiacquisiti "non potranno essere usati per l'invio di comunicazionicommerciali diverse da quelle inerenti alla promozione".

2. Liceitą del trattamento.

2.1. Principio di pertinenza enon eccedenza. Con riferimento allatipologia dei dati personali registrati dalla societą relativi a titolo distudio, professione e numero dei componenti del nucleo familiare deve rilevarsila violazione del principio di pertinenza e non eccedenza (art. 11, comma 1,lett. d), del Codice; v. purepunto 2 del provvedimento citato).

Per la finalitą che la societą dichiarasotto la propria responsabilitą di perseguire in via esclusiva (fidelizzazionedella clientela, e non anche profilazione), possono essere trattati solo i datinecessari per attribuire i vantaggi connessi all'utilizzo della carta, cioŹ"i dati direttamente correlati all'identificazione dell'intestatariodella carta, quali le informazioni anagrafiche; i dati eventualmente relativial volume di spesa globale progressivamente realizzato (senza, cioŹ,riferimenti di dettaglio ai singoli prodotti), nella misura in cui siarealmente necessario trattarli –ein particolare conservarli- per attribuire i vantaggi medesimi, e per il tempoa ciė strettamente necessario. L'eventuale conservazione di dati di dettagliorelativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggiconseguiti (punti, premi, bonus, ecc.), non Ź di regola necessaria specie se sipersegue la sola finalitą di fidelizzazione" (cfr. Provv. 24febbraio 2005, cit., punto 3).

Nel caso di specie risulta quindieffettuato in violazione di legge il trattamento di alcuni dati, relativial titolo di studio, alla professione e al numero dei componenti delnucleo familiare, i quali dovranno pertanto essere cancellati o resi anonimi(art. 11 del Codice).

2.2. Informativa. Dall'informativa emerge che la societą tratta datipersonali della clientela in sede di rilascio delle carte di fidelizzazione perdue distinte finalitą (cfr. in tal senso Provv. 24 febbraio 2005, cit., punti 3 e 5):

a. per il conseguimento di premi (c.d.fidelizzazione in senso stretto);

b. per finalitą di marketing nei confronti della clientela connesse all'attivitąpromozionale effettuata mediante la carta.

La medesima informativa presenta alcunecarenze (cfr. punto 6 del provvedimento), con particolare riferimento allanecessitą di specificare quali siano:

0.     i dati personali per i quali ilconferimento Ź obbligatorio o facoltativo e le conseguenze del rifiuto dirispondere;

0.     i diritti previsti dall'art. 7del Codice, non chiaramente individuabili dalla clientela in ragione del merorichiamo a una norma di legge (peraltro riferita a una norma abrogata).

La societą dovrą pertanto riformularel'informativa in modo idoneo in rapporto a tali carenze. Questa Autoritą siriserva di valutare nell'ambito di un autonomo procedimento i presupposti percontestare la violazione amministrativa per inidonea informativa.

2.3. Designazione degliincaricati e misure minime di sicurezza. La societą ha altresď provveduto, con autorizzazione verbale, a dareincarico a una propria dipendente per le operazioni di trattamento dei datipersonali in esame. La disciplina prevede invece che gli incaricati sianodesignati per iscritto con specificazione delle istruzioni per provvedere altrattamento dei dati personali (art. 30 del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 9, lett. c)).

La societą dovrą pertanto provvedere adesignare per iscritto i propri incaricati, ai sensi dell'art. 30 del Codice.

TUTTO CIŮ PREMESSO ILGARANTE

1) ai sensi degli artt. 154, comma 1,lett. c), del Codice, prescrive a"Buscaini Angelo s.r.l." di:

a) cancellare o rendere anonimi i datipersonali riferiti ai partecipanti al programma di fidelizzazione consistentiin titolo di studio, professione e numero dei componenti il nucleo familiare(punto 2.1.);

b) riformulare l'informativa (punto 2.2.)integrandola con i seguenti elementi:

i) indicazione dei dati personali per iquali il conferimento Ź obbligatorio o facoltativo;

ii) indicazione dei diritti previstidall'art. 7 del Codice, aggiornando i riferimenti normativi alla disciplinavigente;

c) designare per iscritto i propriincaricati ai sensi dell'art. 30 del Codice;

2) ai sensi dell'art. 154, comma 1, lett.d), del Codice, ferma restandol'inutilizzabilitą dei dati gią trattati in modo illecito e non corretto (art.11, comma 2), vieta a "Buscaini Angelo s.r.l." ulteriori trattamentiin violazione della disciplina di protezione dei dati personali (punto 2);

3) ai sensi dell'art. 157 del Codiceprescrive a "Buscaini Angelo s.r.l." di dare conferma a questaAutoritą, entro e non oltre il 15 febbraio 2008, dell'attuazione delleprescrizioni di cui al presente dispositivo allegando la pertinentedocumentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli