Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

Provvedimento del 15novembre 2007

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24febbraio 2005 in materia di trattamento di dati personali nell'ambito deiprogrammi di fidelizzazione della clientela;

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Trattamento di dati personalidella clientela nell'ambito dei programmi di fidelizzazione della clientela.

1.1. Per verificare la conformitłalla disciplina di protezione dei dati e alle prescrizioni individuate nelprovvedimento del Garante del 24 febbraio 2005, l'Autoritł ha svoltoaccertamenti presso alcuni operatori economici con riguardo al trattamento didati personali nell'ambito di programmi di fidelizzazione della clientela; inparticolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblicae privacy" della Guardia difinanza, l'Autoritł ha effettuato verifiche in data 13 ottobre 2005 presso"Supermercati Sir s.r.l." (di seguito, la societł) sulle operazionidi trattamento effettuate in relazione al rilascio della carta fedeltł "SirSupermercati–Fidelity Card".Il presente provvedimento attiene ai profili di violazione riscontrati alriguardo.

1.2. Dagli accertamenti svolti Ć emersoche la societł tratta dati personali della clientela consistenti, inparticolare, in:

0.     dati anagrafici: nome, cognome,data e luogo di nascita;

0.     recapiti, tra i quali indirizzo, e-mail e numero del telefono;

0.     titolo di studio, professione enumero dei componenti del nucleo familiare.

Tali informazioni sono raccolte mediantel'utilizzo di un modulo cartaceo presso i supermercati della societł erisultano essere trattate per "l'esclusiva finalitł di"fidelizzazione" in senso stretto degli stessi"(cfr. verbale 13 ottobre 2005, p. 2).Dall'informativa fornita si desume altresô che i dati acquisiti "nonpotranno essere usati per l'invio di comunicazioni commerciali diverse daquelle inerenti alla promozione".

2. Liceitł del trattamento.

2.1. Principio di pertinenza enon eccedenza. Con riferimento allatipologia dei dati personali registrati dalla societł relativi a titolo distudio, professione e numero dei componenti del nucleo familiare, deverilevarsi la violazione del principio di pertinenza e non eccedenza (art. 11,comma 1, lett. d), del Codice; v.pure Provv. 24 febbraio 2005,punto 2).

Per la finalitł che la societł dichiarasotto la propria responsabilitł di perseguire in via esclusiva (fidelizzazionedella clientela, e non anche profilazione), possono essere trattati solo i datinecessari per attribuire i vantaggi connessi all'utilizzo della carta, cioĆ"i dati direttamente correlati all'identificazione dell'intestatariodella carta, quali le informazioni anagrafiche; i dati eventualmente relativial volume di spesa globale progressivamente realizzato (senza, cioĆ,riferimenti di dettaglio ai singoli prodotti), nella misura in cui siarealmente necessario trattarli –ein particolare conservarli- per attribuire i vantaggi medesimi, e per il tempoa ciś strettamente necessario. L'eventuale conservazione di dati di dettagliorelativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggiconseguiti (punti, premi, bonus, ecc.), non Ć di regola necessaria specie se sipersegue la sola finalitł di fidelizzazione" (Provv. 24 febbraio2005 cit., punto 3).

Nel caso di specie risulta quindieffettuato in violazione di legge il trattamento di alcuni dati, relativial titolo di studio, alla professione e al numero dei componenti delnucleo familiare, i quali dovranno pertanto essere cancellati o resi anonimi(art. 11 del Codice).

2.2. Informativa. Dall'informativa acquisita emerge che la societłtratta dati personali della clientela in sede di rilascio delle carte difidelizzazione per due finalitł distinte (cfr. in tal senso Provv. 24 febbraio 2005, punti 3 e 5):

a. per il conseguimento di premi (c.d.fidelizzazione in senso stretto);

b. per finalitł di marketing nei confronti della clientela connesse all'attivitłpromozionale effettuata mediante la carta.

La medesima informativa presenta alcunecarenze (cfr. Provv. 24febbraio 2005, cit., punto 6), con particolare riferimento alla necessitł dispecificare quali siano:

0.     i dati personali per i quali ilconferimento Ć obbligatorio o facoltativo e le conseguenze del rifiuto dirispondere;

0.     i diritti previsti dall'art. 7del Codice, non chiaramente individuabili dalla clientela in ragione del merorichiamo a una norma di legge (peraltro riferita a  norme abrogate);

0.     in sintesi le principali caratteristichee finalitł dell'attivitł svolta dalla societł nella parte in cui memorizzaspecificamente in una "black list" le carte revocate dalla societł in ragione "delcomportamento di alcuni dipendenti che, all'atto di emissione dello scontrinofiscale, si [appropriano] deicorrispondenti punti attraverso la registrazione della propria carta di fedeltł" (cfr. verbale cit., p. 3).

La societł dovrł pertanto riformularel'informativa in modo idoneo in rapporto a tali carenze. Questa Autoritł siriserva di valutare nell'ambito di un autonomo procedimento i presupposti percontestare la violazione amministrativa per inidonea informativa.

TUTTO CI˝ PREMESSO ILGARANTE

1) ai sensi degli artt. 154, comma 1,lett. c), del Codice, prescrive a"Supermercati Sir s.r.l." di:

a) cancellare o rendere anonimi i datipersonali riferiti ai partecipanti al programma di fidelizzazione consistentiin titolo di studio, professione e numero dei componenti del nucleo familiare(punto 2.1.);

b) riformulare l'informativa (punto 2.2.),integrandola con i seguenti elementi:

i) indicazione dei dati personali per iquali il conferimento Ć obbligatorio o facoltativo;

ii) indicazione dei diritti previstidall'art. 7 del Codice, aggiornando altresô i riferimenti normativi alladisciplina vigente;

iii) le principali caratteristiche efinalitł perseguite dalla societł con la specifica memorizzazione delle carterevocate;

2) ai sensi dell'art. 154, comma 1, lett.d), del Codice, ferma restandol'inutilizzabilitł dei dati gił trattati in modo illecito e non corretto (art.11, comma 2), vieta a "Supermercati Sir s.r.l." ulteriori trattamentiin violazione della disciplina di protezione dei dati personali (punto 2);

3) ai sensi dell'art. 157 del Codiceprescrive a "Supermercati Sir s.r.l." di dare conferma a questa Autoritł, entro il 15 febbraio 2008,dell'attuazione delle prescrizioni di cui al presente dispositivo allegando lapertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli