Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

Provvedimento del 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garante del 24 febbraio 2005 in materia di trattamento di dati personali nell'ambito dei programmi di fidelizzazione della clientela;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali della clientela nell'ambito dei programmi di fidelizzazione della clientela

1.1. Per verificare la conformit alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 24 febbraio 2005, l'Autorit ha svolto accertamenti presso alcuni operatori economici con riguardo al trattamento di dati personali nell'ambito di programmi di fidelizzazione della clientela; in particolare, avvalendosi del "Comando Nucleo Speciale Funzione pubblica e privacy" della Guardia di finanza, l'Autorit ha effettuato verifiche in data 19 ottobre 2005 presso "Unes centro societ cooperativa a r.l." (di seguito, la societ) in relazione al rilascio della carta fedelt "UnesCard Privilege". Il presente provvedimento attiene ai profili di violazione riscontrati al riguardo.

1.2. Dagli accertamenti svolti emerso che la societ tratta dati personali della clientela nell'ambito del programma di fidelizzazione; essi consistono, in particolare, in:

0.      dati anagrafici: nome, cognome (anche quello da nubile) e data di nascita;

0.      recapiti, tra i quali indirizzo, e-mail e numero del telefono;

0.      dati relativi a sesso, titolo di studio, professione e composizione del nucleo familiare (per i quali non peraltro chiarito se il conferimento sia obbligatorio o facoltativo).

Tali informazioni sono raccolte a seguito dell'utilizzo di un modulo cartaceo presso i supermercati della societ e, in base alle dichiarazioni rese nel procedimento, sono trattate "solo ed esclusivamente" per "fidelizzazioni del cliente e quindi [per] l'effettuazione di attivit promozionali []. Nessun tipo di trattamento effettuato volto a definire il profilo o la personalit dell'interessato, n tanto meno ad analizzare abitudini, scelte di consumo []" (cfr. verbale cit., p. 4). Queste dichiarazioni trovano conferma nel modulo di adesione al programma di fidelizzazione e nell'informativa fornita, dove indicato che: "i dati personali da Lei forniti saranno trattati ed utilizzati ai fini di consentirle di usufruire dei servizi e delle agevolazioni previste per i titolari di UnesCard Privilege, di ricevere da Unes informazioni commerciali, promozionali, pubblicitarie e di marketing, e per ricerche di mercato".

2. Liceit del trattamento

2.1. Principio di pertinenza e non eccedenza. Con riferimento alla tipologia dei dati personali registrati dalla societ (diversi da quelli anagrafici e dai recapiti), riguardanti il titolo di studio, la professione e la composizione del nucleo familiare, va riscontrata una violazione del principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d), del Codice; v. pure Provv. 24 febbraio 2005, cit., punto 2).

Per la finalit che la societ dichiara sotto la propria responsabilit di perseguire in via esclusiva (fidelizzazione della clientela, e non anche profilazione), possono essere trattati solo i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta, cio "i dati direttamente correlati all'identificazione dell'intestatario della carta, quali le informazioni anagrafiche; i dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cio, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli –e in particolare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ci strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non di regola necessaria specie se si persegue la sola finalit di fidelizzazione" (Provv. 24 febbraio 2005, cit., punto 3).

Nel caso di specie, risulta quindi effettuato in violazione di legge il trattamento di alcuni dati, relativi al titolo di studio, alla professione e alla composizione del nucleo familiare, non necessari ai fini di fidelizzazione il cui trattamento stato effettuato in violazione di legge (art. 11 del Codice) e che dovranno pertanto essere cancellati o resi anonimi.

2.2. Informativa e consenso. Dall'informativa resa in sede di rilascio della carta di fidelizzazione emerge che la societ tratta dati personali della clientela per due finalit distinte (cfr. in tal senso il menzionato provvedimento del Garante del 24 febbraio 2005, punti 3 e 5):

a. per il conseguimento di premi (c.d. fidelizzazione in senso stretto);

b. per ricevere informazioni commerciali, promozionali, pubblicitarie, per finalit di marketing, e per l'esecuzione di ricerche di mercato.

In ordine alla medesima informativa devono rilevarsi alcune carenze (cfr. Provv. 24 febbraio 2005, cit., punto 6), con particolare riferimento alla mancata considerazione della necessit di:

0.      specificare i dati personali per i quali il conferimento obbligatorio o facoltativo;

0.      indicare l'esistenza di responsabili del trattamento che possono venire a conoscenza dei dati;

0.      chiarire univocamente che il consenso libero in relazione al perseguimento della distinta finalit di marketing (mentre la locuzione utilizzata nel modello di informativa, secondo cui esso "la sua mancanza comporta l'impossibilit di usufruire dei servizi della UnesCard Privilege", potrebbe indurre in errore l'interessato).

La societ dovr pertanto riformulare l'informativa in modo idoneo in relazione a tali carenze. Questa Autorit si riserva di valutare nell'ambito di un autonomo procedimento i presupposti per contestare la violazione amministrativa per inidonea informativa.

2.3. Designazione di responsabile del trattamento. In ordine a quanto rappresentato dalla societ in merito alla titolarit del trattamento e ai soggetti designati quali "responsabili del trattamento" (cfr. verbale 19 ottobre 2005, p. 3), si rileva che questi ultimi possono essere designati esclusivamente dal titolare del trattamento, anzich da un altro responsabile, come invece avvenuto nel caso di specie ad opera del sig. Andrea Berselli nei confronti della societ "Euro Direct and Promotion Service s.r.l.–Edps" (cfr. art. 29 del Codice).

La societ dovr pertanto provvedere a designare ritualmente Edps quale proprio responsabile del trattamento (ove intenda continuare ad avvalersi in tale qualit dei suoi servizi).

TUTTO CI PREMESSO IL GARANTE

1) ai sensi degli artt. 154, comma 1, lett. c), del Codice, prescrive a "Unes centro societ cooperativa a r.l." di:

a) cancellare o trasformare in forma anonima i dati personali riferiti ai partecipanti al programma di fidelizzazione consistenti in titolo di studio, professione e composizione del nucleo familiare (punto 2.1.);

b) riformulare l'informativa gi fornita (punto 2.2.), integrandola con i seguenti elementi:

i) indicazione dei dati personali per i quali il conferimento obbligatorio o facoltativo;

ii) indicazione dell'esistenza di eventuali responsabili del trattamento che possono venire a conoscenza dei dati;

iii) chiarimento circa la libert e facoltativit del consenso dell'interessato per il perseguimento della finalit di marketing;

c) attenersi alle disposizioni del Codice (art. 29) per avvalersi lecitamente di "Euro Direct and Promotion Service s.r.l.–Edps" nella qualit di responsabile del trattamento;

2) ai sensi dell'art. 157 del Codice prescrive a "Unes centro societ cooperativa a r.l." di dare conferma a questa Autorit, entro il 15 febbraio 2008, dell'attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli