Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

Provvedimento del 15novembre 2007

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24febbraio 2005 in materia di trattamento di dati personali nell'ambito deiprogrammi di fidelizzazione della clientela;

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personalidella clientela nell'ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformitąalla disciplina di protezione dei dati e alle prescrizioni individuate nelprovvedimento del Garante del 24 febbraio 2005, l'Autoritą ha svoltoaccertamenti presso alcuni operatori economici con riguardo al trattamento didati personali nell'ambito di programmi di fidelizzazione della clientela; inparticolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblicae privacy" della Guardia difinanza, l'Autoritą ha effettuato verifiche in data 19 ottobre 2005 presso"Unes centro societą cooperativa a r.l." (di seguito, la societą) inrelazione al rilascio della carta fedeltą "UnesCard Privilege". Il presente provvedimento attiene ai profilidi violazione riscontrati al riguardo.

1.2. Dagli accertamenti svolti Ź emersoche la societą tratta dati personali della clientela nell'ambito del programmadi fidelizzazione; essi consistono, in particolare, in:

0.     dati anagrafici: nome, cognome(anche quello da nubile) e data di nascita;

0.     recapiti, tra i quali indirizzo, e-mail e numero del telefono;

0.     dati relativi a sesso, titolo distudio, professione e composizione del nucleo familiare (per i quali non Źperaltro chiarito se il conferimento sia obbligatorio o facoltativo).

Tali informazioni sono raccolte a seguitodell'utilizzo di un modulo cartaceo presso i supermercati della societą e, inbase alle dichiarazioni rese nel procedimento, sono trattate "solo edesclusivamente" per "fidelizzazionidel cliente e quindi [per]l'effettuazione di attivitą promozionali […]. Nessun tipo di trattamento effettuato Ź volto a definire ilprofilo o la personalitą dell'interessato, né tanto meno ad analizzareabitudini, scelte di consumo[…]" (cfr. verbale cit., p. 4). Queste dichiarazioni trovano conferma nelmodulo di adesione al programma di fidelizzazione e nell'informativa fornita,dove Ź indicato che: "i dati personali da Lei forniti saranno trattatied utilizzati ai fini di consentirle di usufruire dei servizi e delleagevolazioni previste per i titolari di UnesCard Privilege, di ricevere da Unesinformazioni commerciali, promozionali, pubblicitarie e di marketing, e perricerche di mercato".

2. Liceitą del trattamento

2.1. Principio di pertinenza enon eccedenza. Con riferimento allatipologia dei dati personali registrati dalla societą (diversi da quellianagrafici e dai recapiti), riguardanti il titolo di studio, la professione ela composizione del nucleo familiare, va riscontrata una violazione delprincipio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 2).

Per la finalitą che la societą dichiarasotto la propria responsabilitą di perseguire in via esclusiva (fidelizzazionedella clientela, e non anche profilazione), possono essere trattati solo i datinecessari per attribuire i vantaggi connessi all'utilizzo della carta, cioŹ"i dati direttamente correlati all'identificazione dell'intestatariodella carta, quali le informazioni anagrafiche; i dati eventualmente relativial volume di spesa globale progressivamente realizzato (senza, cioŹ, riferimentidi dettaglio ai singoli prodotti), nella misura in cui sia realmente necessariotrattarli –e inparticolare conservarli- perattribuire i vantaggi medesimi, e per il tempo a ciė strettamente necessario.L'eventuale conservazione di dati di dettaglio relativi alle particolaritipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi,bonus, ecc.), non Ź di regola necessaria specie se si persegue la sola finalitądi fidelizzazione" (Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie, risulta quindieffettuato in violazione di legge il trattamento di alcuni dati, relativial titolo di studio, alla professione e alla composizione del nucleo familiare,non necessari ai fini di fidelizzazione il cui trattamento Ź stato effettuatoin violazione di legge (art. 11 del Codice) e che dovranno pertanto esserecancellati o resi anonimi.

2.2. Informativa e consenso. Dall'informativa resa in sede di rilascio dellacarta di fidelizzazione emerge che la societą tratta dati personali della clientelaper due finalitą distinte (cfr. in tal senso il menzionato provvedimento delGarante del 24 febbraio 2005, punti 3 e 5):

a. per il conseguimento di premi (c.d.fidelizzazione in senso stretto);

b. per ricevere informazioni commerciali,promozionali, pubblicitarie, per finalitą di marketing, e per l'esecuzione di ricerche di mercato.

In ordine alla medesima informativadevono rilevarsi alcune carenze (cfr. Provv. 24 febbraio 2005, cit., punto 6), con particolareriferimento alla mancata considerazione della necessitą di:

0.     specificare i dati personali peri quali il conferimento Ź obbligatorio o facoltativo;

0.     indicare l'esistenza diresponsabili del trattamento che possono venire a conoscenza dei dati;

0.     chiarire univocamente che ilconsenso Ź libero in relazione al perseguimento della distinta finalitą di marketing (mentre la locuzione utilizzata nel modello diinformativa, secondo cui esso "la sua mancanza comporta l'impossibilitądi usufruire dei servizi della UnesCard Privilege", potrebbe indurre in errore l'interessato).

La societą dovrą pertanto riformularel'informativa in modo idoneo in relazione a tali carenze. Questa Autoritą siriserva di valutare nell'ambito di un autonomo procedimento i presupposti percontestare la violazione amministrativa per inidonea informativa.

2.3. Designazione di responsabiledel trattamento. In ordine a quantorappresentato dalla societą in merito alla titolaritą del trattamento e aisoggetti designati quali "responsabili del trattamento" (cfr. verbale19 ottobre 2005, p. 3), si rileva che questi ultimi possono essere designatiesclusivamente dal titolare del trattamento, anziché da un altro responsabile,come invece avvenuto nel caso di specie ad opera del sig. Andrea Berselli neiconfronti della societą "Euro Direct and Promotion Services.r.l.–Edps" (cfr. art. 29 del Codice).

La societą dovrą pertanto provvedere adesignare ritualmente Edps quale proprio responsabile del trattamento (oveintenda continuare ad avvalersi in tale qualitą dei suoi servizi).

TUTTO CIŮ PREMESSO ILGARANTE

1) ai sensi degli artt. 154, comma 1,lett. c), del Codice, prescrive a"Unes centro societą cooperativa a r.l." di:

a) cancellare o trasformare in formaanonima i dati personali riferiti ai partecipanti al programma difidelizzazione consistenti in titolo di studio, professione e composizione delnucleo familiare (punto 2.1.);

b) riformulare l'informativa gią fornita(punto 2.2.), integrandola con i seguenti elementi:

i) indicazione dei dati personali per iquali il conferimento Ź obbligatorio o facoltativo;

ii) indicazione dell'esistenza dieventuali responsabili del trattamento che possono venire a conoscenza deidati;

iii) chiarimento circa la libertą efacoltativitą del consenso dell'interessato per il perseguimento della finalitądi marketing;

c) attenersi alle disposizioni del Codice(art. 29) per avvalersi lecitamente di "Euro Direct and Promotion Services.r.l.–Edps" nella qualitą di responsabile del trattamento;

2) ai sensi dell'art. 157 del Codiceprescrive a "Unes centro societą cooperativa a r.l." di dare confermaa questa Autoritą, entro il 15 febbraio 2008, dell'attuazione delleprescrizioni di cui al presente dispositivo allegando la pertinentedocumentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli