Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

Provvedimento del 15novembre 2007

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24febbraio 2005 in materia di trattamento di dati personali nell'ambito deiprogrammi di fidelizzazione della clientela;

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Trattamento di dati personalidella clientela nell'ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformitą alladisciplina di protezione dei dati e alle prescrizioni individuate nelprovvedimento del Garante del 24 febbraio 2005, l'Autoritą ha svoltoaccertamenti presso alcuni operatori economici con riguardo al trattamento didati personali nell'ambito di programmi di fidelizzazione della clientela; inparticolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblicae privacy" della Guardia difinanza, l'Autoritą ha effettuato verifiche in data 4 novembre 2005 presso"C.d.s. S.p.A." (di seguito, la societą) sulle operazioni ditrattamento effettuate in relazione al rilascio della carta fedeltą "Io&Max". Il presente provvedimento attiene ai profilidi violazione riscontrati al riguardo.

1.2. Dagli accertamenti Ź emerso che lasocietą tratta dati personali della clientela consistenti, in particolare, in:

0.     dati anagrafici: nome, cognome edata di nascita;

0.     recapiti, tra i quali indirizzo, e-mail e numero del telefono;

0.     dati relativi al sesso, allaprofessione e al numero dei componenti del nucleo familiare (con l'indicazionedell'etą e della professione svolta).

Tali informazioni sono raccolte a seguitodella compilazione di un modulo cartaceo distribuito presso "i puntivendita dei supermercati a insegna Max Market, Ipermax o comunque recanti segnidistintivi Max".

1.3. Dalle dichiarazioni rese per contodella societą risulta che i dati sono trattati per "finalitą difidelizzazione in senso stretto […]e per eventuali iniziative promozionali personalizzate" (cfr. verbale 4 novembre 2005, p. 2). Dall'informativaemerge, altresď, che la societą registra dette informazioni "susupporti magnetici protetti"senza "comunicarli o diffonderli all'esterno, ad eccezione delleaziende operativamente incaricate del trattamento, a non farne altro uso se nonquello di studiare e applicare iniziative promozionali personalizzate edeventualmente di comunicarle a mezzo posta, e-mail o sms, ove tali dati sianoforniti" (cfr. all. 1 alverbale cit.).

2. Liceitą del trattamento:informativa e consenso

2.1. La societą tratta dati personalidella clientela in sede di rilascio della carte di fidelizzazione sia perfinalitą del conseguimento dei premi e degli sconti connessi all'utilizzo dellacarta fedeltą "Io&Max"(c.d. fidelizzazione in senso stretto), sia per attivitą di marketing (finalitą che, pur distinte, spesso sonocompresenti nei programmi di fidelizzazione: cfr. in tal senso Provv. 24 febbraio 2005, punti 3 e 5). Per taluni aspetti,di seguito indicati, i trattamenti effettuati dalla societą non sono pienamenteconformi alla disciplina di protezione dei dati.

2.2. Informativa. Nell'informativa fornita agli interessatirisulta indicato erroneamente, quale titolare del trattamento, Carmelo Carbone.Dal regolamento della carta "Io&Max" (all. 1 al verbale cit.), come puredall'informativa resa contestualmente, emerge invece che il titolare deltrattamento, cui competono le decisioni in ordine al rilascio e alla revocadella carta di fidelizzazione, nonché quelle relative al conseguentetrattamento dei dati personali ("la Cds si impegna a registrarli su supporti magnetici protetti e a noncomunicarli o diffonderli all'esterno"),Ź la societą e non la persona fisica del sig. Carbone che ne Ź amministratoredelegato.

La societą deve quindi rettificarel'indicazione del titolare del trattamento nella modulistica resa disponibilealla clientela presso i punti-vendita, aggiornando contestualmente iriferimenti normativi in relazione alla disciplina vigente (d.lg. 30 giugno2003, n. 196) anziché alla legge n. 675/1996 (cui si riferisce la modulisticain atti).

2.3. Consenso. Il modello di adesione al programma difidelizzazione non appare pienamente conforme alla disciplina di protezione deidati personali anche sotto un ulteriore profilo. L'informativa Ź infattiassociata al consenso con un'unica formula e il consenso Ź altresď riferitoindifferentemente sia al trattamento dei dati personali per le finalitą sopraindicate, sia all'adesione al programma di fidelizzazione.

Quest'ultima scelta, effettuata dallasocietą per acquisire il consenso al trattamento dei dati per finalitą di marketing, non rispetta i requisiti previsti dall'art. 23,comma 3 del Codice secondo il quale il consenso deve essere espresso "liberamentee specificamente in riferimento ad un trattamento chiaramente individuato".

Da un lato, infatti, il consensoacquisito una tantum dallasocietą riferendosi a profili diversi, contrattuali (per l'adesione alprogramma di fidelizzazione) e non contrattuali (finalitą di marketing), non Ź specificamente espresso in riferimento ad untrattamento chiaramente individuato; dall'altro, il consenso per il marketing non Ź "libero" essendo condizionato dall'adesione alprogramma di fidelizzazione (Provv.3 novembre 2005, punto 3.1., doc. web n. 1195215). Gli interessati debbono invece essere messi ingrado di esprimere liberamente le proprie scelte in ordine al trattamento deidati (Provv. 27 maggio 1997, doc.web n. 40425), manifestando inoltre distintamente la propriavolontą per ciascuna finalitą perseguita (cfr. Provv. 24 febbraio 2005, cit., punto 7), ivi compresaquella dell'invio di comunicazioni commerciali, che Ź diversa da quella dellafidelizzazione in senso stretto.

Peraltro, per la finalitą di esecuzionedel programma di fidelizzazione il consenso dell'interessato non Ź necessario enon dovrebbe essere quindi richiesto (art. 24, comma 1, lett. b), del Codice).

Alla luce di tali considerazioni lasocietą risulta aver trattato illecitamente i dati degli interessati conriferimento alla finalitą di marketing e non potrą quindi trattare ulteriormente, rispetto a tale scopo,i dati raccolti in violazione di legge (artt. 11, commi 1, lett. a) e 2; 23, comma 3).

Qualora la societą intenda porre inessere ulteriori attivitą di marketing con i dati raccolti in occasione dell'adesione della clientela apropri programmi di fidelizzazione, dovrą servirsi di una modulistica diversarispetto a quella attualmente in uso, in modo da consentire alla clientela dideterminarsi liberamente in ordine al trattamento dei dati per detta finalitą,rendendo possibile l'acquisizione di un consenso specifico per il perseguimentodella finalitą di marketing (adesempio, predisponendo un distinto check box per chi, oltre ad aderire al programma difidelizzazione, intenda autorizzare il titolare del trattamento allosvolgimento di attivitą di marketing).

2.4. Principio di pertinenza enon eccedenza. Con riferimento allatipologia dei dati personali registrati dalla societą relativi alla professionesvolta dal titolare della carta di fidelizzazione e dai suoi congiunti deverilevarsi la violazione del principio di pertinenza e non eccedenza (art. 11,comma 1, lett. d), del Codice; v.pure Provv. 24 febbraio 2005,cit., punto 2).

Per la finalitą che la societą dichiarasotto la propria responsabilitą di perseguire in via esclusiva (fidelizzazionedella clientela, e non anche profilazione), possono essere trattati solo i datinecessari per attribuire i vantaggi connessi all'utilizzo della carta, cioŹ"i dati direttamente correlati all'identificazione dell'intestatariodella carta, quali le informazioni anagrafiche; i dati eventualmente relativial volume di spesa globale progressivamente realizzato (senza, cioŹ,riferimenti di dettaglio ai singoli prodotti), nella misura in cui siarealmente necessario trattarli –ein particolare conservarli– perattribuire i vantaggi medesimi, e per il tempo a ciė strettamente necessario.L'eventuale conservazione di dati di dettaglio relativi alle particolaritipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi,bonus, ecc.), non Ź di regola necessaria specie se si persegue la sola finalitądi fidelizzazione" (cfr. Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie risulta quindieffettuato in violazione di legge il trattamento di alcuni dati, relativi allaprofessione, i quali dovranno pertanto essere cancellati o resi anonimi (art.11 del Codice).

TUTTO CIŮ PREMESSO ILGARANTE

1) ai sensi degli artt. 154, comma 1,lett. c), del Codice, prescrive a"C.d.s. S.p.A.", di:

a. riformulare l'informativa, indicandoil reale titolare del trattamento, da identificarsi nella societą stessa, eaggiornando i riferimenti legislativi alla disciplina vigente (punto 2.2.);

b. individuare modalitą che assicurinouna libera manifestazione del consenso degli interessati, prevedendo unospecifico riferimento alla finalitą di marketing (punto 2.3.);

c. cancellare o rendere anonimi i datipersonali riferiti ai partecipanti al programma di fidelizzazione consistentinella professione svolta dal titolare della carta e dai componenti del nucleofamiliare (punto 2.4.);

2) ai sensi dell'art. 154, comma 1, lett.d), del Codice, ferma restandol'inutilizzabilitą dei dati gią trattati in modo illecito e non corretto (art.11, comma 2), vieta a "C.d.s. S.p.A.", limitatamente all'utilizzo deidati per finalitą di marketing,ulteriori trattamenti in violazione della disciplina di protezione dei datipersonali (punto 2.3.);

3) ai sensi dell'art. 157 del Codiceprescrive a "C.d.s. S.p.A." di dare conferma a questa Autoritą, entroe non oltre il 15 febbraio 2008, dell'attuazione delle prescrizioni di cui alpresente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli