Trattamento e conservazione di dati personali della clientela per finalità di profilazione. Verifica preliminare richiesta da Bulgari S.p.A.

Trattamento e conservazione di dati personali della clientelaper finalità di profilazione. Verifica preliminare richiesta da Bulgari S.p.A.

PROVVEDIMENTO DEL 24 APRILE 2013

Registrodei provvedimenti  n. 219 del 24 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196, di seguito "Codice");

ESAMINATAla richiesta di verifica preliminare presentata da Bulgari S.p.A. (di seguito"Bulgari") rispetto al trattamento dei dati personali della propriaclientela per finalità di profilazione, presentata ai sensi dell'art. 17 delCodice;

VISTIgli elementi acquisiti anche a seguito delle richieste di informazioni echiarimenti rivolte alla società;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delRegolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

1.Trattamento di dati personali diretto alla profilazione della clientela daparte di Bulgari S.p.A.

Bulgariha presentato al Garante, in data 29 novembre 2010, una richiesta di verificapreliminare ai sensi dell'art. 17 del Codice, sulla base del provvedimentogenerale adottato in data 24 febbraio 2005, relativo alle carte difidelizzazione ("'Fidelity card' e garanzie per i consumatori. Le regoledel Garante per i programmi di fidelizzazione", di seguito "provvedimentogenerale"). Tale provvedimento ha stabilito che chiunque voglia conservarei dati della propria clientela per finalità di profilazione e marketing, per unperiodo superiore a dodici mesi, deve presentare al Garante una richiesta diverifica preliminare, ai sensi dell'art. 17 del Codice.

L'istanzaproposta da Bulgari riguarda la possibilità di conservare i dati della propriaclientela per un periodo pari a dieci anni, per attività di profilazione emarketing conseguente.

Inproposito, in data 17 giugno 2010, conformemente a quanto previsto dagli artt.37, comma 1, lett. d) e 38 del Codice, Bulgari ha effettuato la primanotificazione al Garante relativa alla profilazione e, specificamente, al"trattamento effettuato con l'ausilio di strumenti elettronici volti adefinire il profilo o la personalità dell'interessato, o a analizzare abitudinio scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazioneelettronica con l'esclusione dei trattamenti tecnicamente indispensabili perfornire i servizi medesimi".

In talenotificazione Bulgari ha dichiarato che i cittadini cui si riferiscono i datisono quelli di Paesi appartenenti all'Unione Europea e di Paesi nonappartenenti all'Unione Europea. Inoltre ha dichiarato che le finalità per lequali intende effettuare il trattamento sono quelle relative: all'analisi delleabitudini o scelte di consumo, all'attività commerciale, all'attività dimarketing diretto e all'attività informativa; ha altresì dichiarato che iserver utilizzati per tali attività si trovano in Italia.

Nell'istanzacitata e nelle due successive note integrative, inviate al Garante nel febbraioe dicembre 2012 a seguito di due richieste di informazioni, Bulgari hadescritto le modalità attraverso le quali intende procedere a tale profilazionee cioè mediante la creazione di un sistema di Custom Relation Management (diseguito "CRM") contenente i dati personali dei clienti.

Secondoil progetto presentato da Bulgari, in tale CRM dovrebbero confluire i datirelativi ´all'anagrafica del cliente, al suo indirizzo postale e email, allasua professione, alla data del matrimonio, alle preferenze rispetto alleinformazioni commerciali che desidera ricevere (gioielli, orologi, accessori,profumi, hotel e resort), la registrazione dei suoi singoli acquistiª. Talidati, presenti nel CRM, sarebbero ´accessibiliª a tutte le società ´consociateª,nonché ai negozi distribuiti nelle zone del mondo in cui Bulgari ha i propripunti vendita e cioè in Europa, America, Asia e Medio Oriente.

Lo scopodel CRM consiste nella profilazione dei clienti in base agli acquistieffettuati e nella conseguente offerta di campagne di marketing mirate nei loroconfronti, di servizi personalizzati e benefit aggiuntivi e gratuiti per tutticoloro che sono registrati nel CRM.

Il tempodi conservazione dei dati presenti nel CRM prospettato da Bulgari è di diecianni.

Secondole dichiarazioni rese, l'indicazione di un periodo di conservazione così lungonascerebbe dalla considerazione che Bulgari offre beni di lusso, la cuifrequenza media di acquisto da parte di un cliente è pari a due all'anno e,pertanto, qualora si considerasse un tempo inferiore di conservazione, laprofilazione non sarebbe utile.

In unprimo momento Bulgari aveva prospettato l'ipotesi di un programma difidelizzazione da realizzarsi mediante specifiche carte fedeltà (denominate"Loyalty card Bulgari") e, su tale base, aveva effettuato la citataistanza di verifica preliminare, prevista dal provvedimento generale sullefidelity card del 2005. Tuttavia, nelle ultime note inviate al Garante, lasocietà ha comunicato che tale progetto, dopo una fase di sperimentazione edistribuzione gratuita che si è conclusa nel 2011, non sarà più realizzato.

Allostato, quindi, Bulgari prevede di offrire i benefit a ciascun cliente presentenel CRM, senza più alcuna carta fedeltà.

2.Necessità di richiedere l'esame preliminare ai sensi dell'art. 17 del Codice.

Dall'esamedella documentazione in atti, l'attività che Bulgari intende svolgere sui datipersonali della propria clientela, e che viene sottoposta all'attenzione delGarante, integra un'ipotesi di trattamento di dati personali che presentarischi specifici per gli interessati, ai sensi dell'art. 17 del Codice,relativamente al tempo di conservazione, che Bulgari individua in dieci anni.

Pertutti gli altri aspetti collegati, concernenti la profilazione e il marketing, sirimanda a quanto si dirà nei paragrafi seguenti.

Dalladocumentazione acquisita nel corso dell'istruttoria emerge che Bulgari, allostato, non intende più realizzare un programma di fidelizzazione mediantefidelity card, trattamento per il quale vigono le prescrizioni contenute nelprovvedimento generale citato.

Nonostanteciò, appare necessario un intervento del Garante in quanto il trattamento deidati personali che Bulgari intende effettuare (la conservazione per il periodosuddetto dei dati personali suoi clienti nel CRM) presenta in ogni caso deirischi specifici per i diritti e le libertà fondamentali degli interessati e,pertanto, può essere ammesso solo nel rispetto di misure e accorgimentiprescritti dal Garante nell'ambito della presente verifica preliminare.

Iltrattamento di profilazione svolto da Bulgari, infatti, può presentare per gliinteressati rischi specifici che dipendono dalla durata della conservazione,nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate perprofilare la clientela.

3.Tipologia dei dati conservati, tempi e modalità di conservazione: misure edaccorgimenti prescrittivi.

I datiche Bulgari intende conservare nel CRM, in base alla documentazione inviata,sono: l'anagrafica del cliente, il suo indirizzo postale e email, la suaprofessione, la data del matrimonio, le preferenze rispetto alle informazionicommerciali che desidera ricevere, la registrazione dei singoli acquisti.

Nell'"anagrafica"del cliente, pur non essendo stato esplicitato nell'istanza citata, devonoessere presumibilmente ricompresi (in base alle finalità ulteriori che Bulgariintende perseguire), inoltre, i recapiti telefonici e del fax e nella"registrazione dei singoli acquisti" anche tipologia di prodottoacquistato, data dell'acquisto e importo speso. Inoltre, visto che in occasionedel programma di fidelizzazione oramai terminato venivano richiesti anche ladata di nascita e il volume della spesa globale, si ritiene che anche tali datisiano ricompresi nel CRM.

Il tempodi conservazione dei dati degli interessati per attività di profilazione èstato prospettato da Bulgari in dieci anni.

Inprecedenti casi il Garante ha individuato in dodici mesi il termine massimo diconservazione dei dati per finalità di profilazione (cfr. il provvedimentosulla tv interattiva del 3 febbraio 2005] e il citato provvedimentogenerale relativo ai programmi di fidelizzazione).

Tuttavia,nel caso specifico, il Garante ritiene che i dati personali che si intendeconservare riguardano acquisti relativi a beni particolari quali sono quelli dilusso e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo diconservazione eccessivamente limitato, anche in considerazione del fatto che,come dichiarato da Bulgari, la frequenza media annuale di acquisto, per ciascuncliente, è pari a due.

Allaluce di quanto sopra, il Garante ritiene ragionevole che i dati personaliprecedentemente indicati siano conservati per il termine massimo di dieci anniindicato dal richiedente in quanto tale arco temporale appare proporzionatoalle finalità che si intende realizzare come evidenziato dallo stessorichiedente. Il medesimo termine di conservazione non risulta altresìeccessivo in relazione ai rischi degli interessati dei cui dati si tratta.

Allascadenza del suddetto periodo di conservazione, i dati personali, oggettodell'attività di profilazione svolta da Bulgari dovranno essere cancellatiautomaticamente, ovvero resi anonimi in modo permanente.

I datisono conservati, in base a quanto dichiarato, su server presenti in Italia e iltitolare del trattamento è Bulgari. Qualora Bulgari decida di avvalersi disoggetti terzi per la gestione tecnica del CRM, tali soggetti saranno designatiresponsabili del trattamento e seguiranno le istruzioni impartite da Bulgari,ai sensi dell'art. 29 del Codice. Giova ricordare che in caso contrario,qualora tali soggetti fossero autonomi titolari del trattamento, Bulgaridovrebbe richiedere a ciascun interessato anche un consenso specifico per lacomunicazione di dati a terzi.

Lacircostanza che ciascun addetto alla vendita in qualunque negozio di Bulgarinel mondo possa accedere al CRM per creare un'"anagrafica",visualizzarla o modificarla, rende il trattamento dei dati personaliparticolarmente rischioso, anche in considerazione del fatto che la tipologiadi dati conservati riguarda una particolare tipologia di clientela.

Inragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM perinserire, visualizzare o modificare i dati personali dei clienti sianodesignati incaricati del trattamento da Bulgari, ai sensi dell'art. 30 delCodice.

Comerappresentato nell'istanza di verifica preliminare, Bulgari nominerà ciascunasocietà ´consociataª, avente sede in ciascun Paese con propri punti vendita,quale responsabile del trattamento e sarà quest'ultima (o direttamente Bulgari)a designare i propri dipendenti quali incaricati del trattamento per quantoattiene l'utilizzo del CRM.

Da unpunto di vista tecnico, il Garante ritiene necessario richiamare l'attenzionesulla necessità di mettere in atto le misure di sicurezza, anche minime,previste agli artt. 31-36 e dal Disciplinare tecnico di cui all'allegato B) delCodice a tutela dei dati personali degli interessati presenti nel CRM: ènecessario pertanto che tutti gli incaricati che hanno la possibilità diaccedervi utilizzino un sistema di autenticazione informatica nei terminiprevisti dalle norme citate.

Unsistema di autenticazione con credenziali o dispositivi individualmenteassegnati agli incaricati per l'accesso al CRM, sia in modalità di"consultazione", sia in modalità di "inserimento/modifica"dell'anagrafica. consentirebbe infatti una immediata identificazione delsoggetto che ha avuto accesso al sistema, unitamente alla postazione e all'oradell'accesso, garantendo così una maggiore sicurezza dei dati personali degliinteressati.

Inoltre,la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamentodei log di accesso ai sistemi di profilazione in modo da poter realizzare uncontrollo analitico ex post di tutte le attività svolte.

4.Informativa.

Appareopportuno ricordare che il principio fondante su cui si basa la tutela dei datipersonali è quello dell'informativa: gli interessati, cioè, devono esseresempre resi edotti delle finalità per le quali conferiscono i propri dati. Intal modo, infatti, sono messi in grado di scegliere se conferire o meno ilconsenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciatoi dati.

Nel casospecifico, quindi, il conferimento dei propri dati per l'inserimento deglistessi nel CRM è eventuale e ulteriore rispetto a quello relativo all'acquistodi un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinatoa un consenso libero e specifico dell'interessato.

Pertanto,l'informativa da rendere rispetto al trattamento dei dati personali che Bulgariintende effettuare deve risultare completa degli elementi previsti dall'art. 13del Codice.

In particolare,Bulgari dovrà modificare l'attuale modulistica con riguardo all'informativarivolta agli interessati, specificando, nella parte relativa alle finalità deltrattamento, che il trattamento di profilazione della clientela, effettuatoattraverso dati personali, viene realizzato nel rispetto delle garanzie e dellemisure necessarie prescritte dal Garante.

Anchecon riguardo al periodo di conservazione dei "dati di profilazione,"la società dovrà specificare che gli stessi saranno conservati per il periodomassimo precedentemente indicato, così come previsto dal presente provvedimentoe che, alla relativa scadenza, tali dati saranno cancellati automaticamenteovvero resi anonimi in modo permanente.

L'informativainoltre dovrà contenere anche l'indicazione delle finalità ulteriori edeventuali per le quali i dati potranno essere trattati solo qualoral'interessato rilasci uno specifico consenso e cioè l'attività di marketing(diretto o realizzato attraverso strumenti automatizzati) e quella di customercare.

Inoltre,l'informativa dovrà contenere una chiara indicazione che l'inserimento nel CRM èfacoltativo e avverrà solamente previo consenso dell'interessato. Dovrà altresìspecificare che l'inserimento dei dati dell'interessato nel CRM comporteràautomaticamente la visibilità dei medesimi da parte di tutti coloro che vihanno accesso e cioè tutti i dipendenti di Bulgari presso ciascun punto venditanel mondo, designati incaricati del trattamento. Tali indicazioni dovrannoavere una autonoma visibilità nel corpo del testo dell'informativa e dovrannoessere separate da tutte le altre, ad esempio, inserite in un appositoparagrafo.

L'informativapredisposta da Bulgari dovrà infine richiamare i diritti che l'interessato puòesercitare in base all'art. 7 del Codice. Tali diritti devono essereevidenziati specificando che gli stessi riguardano anche l'attività diprofilazione svolta dalla società, nel rispetto delle garanzie e delle misurenecessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramentela possibilità, per l'interessato, di esercitare il diritto di opposizione altrattamento dei suoi dati personali.

5.Consenso dell'interessato per l'attività di profilazione, di marketing e dicustomer care.

Appareopportuno ricordare che il principio generale previsto dall'art. 23 Codiceprevede la necessità, per il titolare, di acquisire uno specifico consenso daparte dell'interessato per qualunque forma di trattamento, salvi i casistabiliti dall'art. 24 del Codice.

PertantoBulgari, oltre all'adozione delle misure e degli accorgimenti sopra descrittiper svolgere l'attività di profilazione e al rilascio di un'idonea informativadovrà necessariamente richiedere, ai sensi dell'art. 23 del Codice, un consensospecifico e distinto a ciascun interessato per il trattamento relativo allaprofilazione.

Se poi,come dichiarato nelle note inviate al Garante, i dati personali di ciascuninteressato, potranno essere utilizzati per attività ulteriori, quali quelle dimarketing, Bulgari dovrà richiedere, ai sensi dell'art. 23 del Codice, unconsenso specifico a ciascun interessato per tale ulteriore trattamento.

Un'ulteriorefinalità che Bulgari intende perseguire è quella relativa al trattamento deidati personali dei propri clienti per l'attività di customer care, consistente,come dichiarato dalla stessa società, nell'offerta di servizi personalizzati insede di vendita, quali ad esempio personal shopper, assistenza gratuita(attraverso l'offerta di servizi di pulitura periodica, rodiatura e lucidatura)e servizi di cortesia (quali autista privato o servizi a domicilio). Talefinalità, seppur parzialmente differente rispetto a quella di marketing, puòritenersi in quest'ultima ricompresa cosicché un cliente, rilasciando ilconsenso per l'attività promozionale ai sensi dell'art. 23 del Codice, potràricevere anche le attività relative al customer care, sempreché abbia ricevutoun'idonea informativa in tal senso.

Occorreprecisare, tuttavia, che relativamente all'attività promozionale realizzatatramite posta elettronica, il consenso non è necessario quando si tratti diprodotti e servizi analoghi e l'interessato non abbia rifiutato tale uso,inizialmente o in occasione dell'invio di successive comunicazioni, ai sensidell'art. 130, comma 4, del Codice.

Sirileva, infine, che l'attività promozionale potrà essere realizzata siaattraverso marketing "generico", sia "profilato",conseguente, cioè, all'attività di profilazione e consistente nellarealizzazione di campagne mirate per una certa clientela che presentadeterminate caratteristiche (ad esempio, come dichiarato da Bulgari medesime"esperienze di acquisto" e localizzazione territoriale).

Siricorda infine, che è solo il titolare del trattamento, e cioè Bulgari, a potersvolgere attività di marketing. Qualora Bulgari volesse effettuare attivitàpromozionale tramite altri soggetti, dovrebbe richiedere agli interessati unulteriore consenso, relativo alla comunicazione dei dati a terzi. E, a lorovolta, i soggetti terzi dovrebbero acquisire un autonomo consenso per l'attivitàpromozionale. In alternativa, Bulgari potrebbe nominare tali soggettiresponsabili o incaricati del trattamento ai sensi degli artt. 29 e 30 delCodice, impartendo, in questo caso, precise istruzioni su ogni aspetto deltrattamento. Inoltre, si ricorda che qualora i soggetti terzi siano stabilitial di fuori dall'Unione Europea, sarebbe necessario comunque anche rispettarele disposizioni relative al trasferimento dei dati all'estero (artt. 42 e ss.del Codice).

6.Qualificazione soggettiva dei soggetti che trattano i dati: titolari,responsabili e incaricati del trattamento.

In basealle dichiarazioni rese da Bulgari, i dati personali che confluiscono nel CRMprovengono da tutti i Paesi in cui Bulgari ha i propri punti vendita, dunque nonsolo all'interno dell'Unione Europea.

Occorrepertanto chiarire i profili relativi alla qualificazione soggettiva di coloroche intervengono nella raccolta dei dati e alla conseguente comunicazione aBulgari, mediante inserimenti dei dati medesimi nel CRM.

Sulpunto, il Parere 8/2010 sul diritto applicabile (adottato il 16 dicembre 2010dal Gruppo di lavoro articolo 29 per la protezione dei dati), chiarisce ilcampo di applicazione dell'art. 4 della direttiva 95/46/CE relativamenteprincipio dello stabilimento, ovvero il diritto nazionale applicabile. Ilcitato parere chiarisce infatti che il riferimento allo"stabilimento" significa che l'applicabilità della legge di uno Statomembro sarà determinata dall'ubicazione di un suo stabilimento, quale, ad esempio,un punto vendita.

Ciòrileva, nel caso di specie, per quanto attiene alla raccolta dei dati personalieffettuata nell'Unione Europea: infatti, ciascun negozio dovrà applicare lapropria normativa nazionale per quanto riguarda la raccolta dei dati, unitamenteal rilascio di una adeguata informativa e alla richiesta di eventuali consensiper comunicazioni promozionali a livello locale. Per tale aspetto il negozio è,evidentemente, titolare del trattamento con tutti gli obblighi che neconseguono in base alla normativa di ciascun Paese, tra cui anche l'adozione dimisure di sicurezza e la designazione di responsabili e incaricati deltrattamento.

Allaluce di quanto detto, pertanto i singoli punti vendita e Bulgari sonocontitolari del trattamento, ciascuno per gli aspetti di propria competenza(Sul punto cfr. anche il citato parere 8/2010, par. III.1. in cui vienedescritto all'esempio n. 3 un caso del tutto analogo relativo ad una catena dinegozi prÍt-à-porter).

Laddovei dati, invece, siano raccolti per conto di Bulgari, nell'ipotesi di volontariaiscrizione dell'interessato nel CRM, Bulgari medesimo, per tale ulterioreaspetto, deve considerarsi titolare del trattamento, rilasciare una idoneainformativa e richiedere uno specifico consenso, come indicato nei paragrafiprecedenti, mentre il punto vendita, sarà responsabile del trattamento.

Infatti,l'attività di profilazione sui dati presenti nel CRM, descritta nei paragrafiprecedenti, viene effettuata da Bulgari e non dai singoli negozi. Per taliprofili, si applicherà quindi la legge italiana e Bulgari dovrà rilasciareun'idonea informativa e richiedere uno specifico consenso, come descritto neiparagrafi precedenti.

Perquanto riguarda la raccolta dei dati fuori dall'Unione Europea, il Garanteritiene che il principio da applicare è il medesimo, per cui la fase dellaraccolta sarà gestita autonomamente da ciascuna società in base alla normativanazionale, ma l'inserimento nel CRM, di cui Bulgari è titolare, potrà avveniresolamente previo rilascio della suddetta informativa e previo rilascio di unospecifico consenso da parte dell'interessato, secondo la normativa italiana(sul punto cfr. il citato parere 8/2010, par. II.2.b).

A titoloinformativo si rammenta, infine, che qualunque comunicazione dei dati asoggetti terzi, facenti parte del gruppo societario (quindi società controllateo collegate) o completamente estranei al gruppo (società che effettuanoricerche o analisi di mercato) rappresenta una comunicazione di dati a terzi,per la quale è necessario che Bulgari acquisisca un consenso specifico, a menoche tali soggetti non rivestano il ruolo di responsabili del trattamento,seguendo quindi tutte le istruzioni e le indicazioni che Bulgari impartirà loroper le attività che svolgono.

7.Sanzioni

Il mancatorispetto delle prescrizioni impartite con il presente provvedimento puòcomportare l'applicazione delle sanzioni previste dall'art. 162, comma 2-bis,Codice.

TUTTO CIO' PREMESSO IL GARANTE:

allaluce di quanto dichiarato e allo stato degli elementi forniti, ai sensidell'art. 17 del Codice, accoglie la richiesta di verifica preliminarepresentata da Bulgari S.p.A., con sede in Roma, Via dei Condotti, 11, relativaalla conservazione dei dati personali riguardanti la propria clientela, perattività di profilazione e marketing conseguente, prescrivendo che:

1. siano adottate, a garanzia degli interessati inconformità alle disposizioni in materia di protezione dei dati personali, lemisure e gli accorgimenti necessari nei termini di cui in motivazione, inparticolare, con riguardo

a) alle procedure di autenticazione edautorizzazione:

i. gli accessi al CRM devono avvenire mediante l'usodi un sistema di autenticazione adottato secondo i criteri stabiliti daldisciplinare tecnico in materia di misure minime di sicurezza di cuiall'allegato B) del Codice;

ii. deve essere possibile effettuare il tracciamentodei log di accesso al CRM, in modo da realizzare un controllo analitico ex postdelle attività svolte dai singoli incaricati;

b) al periodo di conservazione dei dati:

i. i dati utilizzati per l'attività di profilazionedevono essere conservati per il periodo individuato nelle premesse;

ii. alla scadenza di detto periodo, Bulgari deveprovvedere alla cancellazione automatica di tali dati, ovvero alla trasformazionedegli stessi in forma anonima in modo permanente.

2. venga modificato il testo dell'informativa darendere agli interessati specificando che:

a) le attività di profilazione e di marketing sonosolo eventuali e saranno realizzate solamente con il consenso specificodell'interessato, qualora decida in inserire i propri dati nel CRM;

b) l'inserimento dei dati personali nel CRM comporteràautomaticamente la visibilità dei medesimi da parte di tutti coloro che vihanno accesso e cioè tutti i dipendenti di Bulgari presso ciascun punto venditanel mondo;

c) nella parte relativa alle finalità, il trattamentodi profilazione della clientela viene effettuato nel rispetto delle garanzie edelle misure necessarie prescritte dal Garante nel presente provvedimento;

d) il periodo di conservazione dei "dati diprofilazione" non sarà superiore a quello sopra individuato e che, allarelativa scadenza, tali dati saranno cancellati automaticamente, ovvero resianonimi in modo permanente;

e) i diritti che l'interessato può esercitare in baseall'art. 7 del Codice riguardano anche l'attività di profilazione, conparticolare riferimento al diritto di opposizione al trattamento;

3. venga data una autonoma visibilità nel corpo deltesto dell'informativa, anche graficamente, alle prescrizioni di cui ai punti2.a) e 2.b);

4. siano adottate al più presto e comunque,considerata la natura e le caratteristiche tecniche degli adempimentiprescritti, entro il termine di 90 giorni dalla data di ricezione del presenteprovvedimento, le misure individuate ai precedenti punti 1, 2 e 3, trasmettendoal Garante, entro la medesima data, copia della documentazione comprovantel'adozione delle suddette misure.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 24aprile 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia