| Garante per la protezione dei dati personali Trattamento dei dati personali dellaclientela per finalità di profilazione e marketing. Verifica preliminarepresentata da Salvatore Ferragamo S.p.A. PROVVEDIMENTO DEL 30 MAGGIO 2013 Registro dei provvedimenti n. 263 del 30 maggio 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice"); ESAMINATAla richiesta di verifica preliminare presentata da Salvatore Ferragamo S.p.A.(di seguito "Ferragamo") rispetto al trattamento dei dati personalidella propria clientela per finalità di profilazione, presentata ai sensidell'art. 17 del Codice; VISTIgli elementi acquisiti anche a seguito della richiesta di informazioni echiarimenti rivolta alla società; VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delRegolamento del Garante n. 1/2000; Relatorela dottoressa Augusta Iannini; PREMESSO Ferragamoha presentato al Garante, in data 30 agosto 2010, una richiesta di verificapreliminare ai sensi dell'art. 17 del Codice, sulla base del provvedimentogenerale adottato in data 24 febbraio 2005, relativo alle carte difidelizzazione ("'Fidelity card' e garanzie per i consumatori. Le regoledel Garante per i programmi di fidelizzazione", di seguito "provvedimento generale"). Taleprovvedimento ha stabilito che chiunque voglia conservare i dati della propriaclientela per finalità di profilazione e marketing, per un periodo superiore adodici mesi, deve presentare al Garante una richiesta di verifica preliminare,ai sensi dell'art. 17 del Codice. L'istanzaproposta da Ferragamo riguarda la possibilità di conservare i dati dellapropria clientela per un periodo pari a dieci anni, per attività diprofilazione e marketing conseguente. Giàin precedenza, conformemente a quanto previsto dagli artt. 37, comma 1, lett.d) e 38 del Codice, in data 15 aprile 2004, Ferragamo aveva effettuato la primanotificazione al Garante (modificata successivamente per aggiornare alcuni datiil 4 marzo 2010 e il 27 aprile 2011) relativa alla profilazione e,specificamente, al "trattamento effettuato con l'ausilio di strumentielettronici volti a definire il profilo o la personalità dell'interessato, o aanalizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo diservizi di comunicazione elettronica con l'esclusione dei trattamentitecnicamente indispensabili per fornire i servizi medesimi". Intale notificazione Ferragamo ha dichiarato che i cittadini cui si riferiscono idati sono quelli di Paesi appartenenti all'Unione Europea e di Paesi nonappartenenti all'Unione Europea. Inoltre ha dichiarato che le finalità per lequali intende effettuare il trattamento sono quelle relative: all'analisi delleabitudini o scelte di consumo, all'attività commerciale, all'attività dimarketing diretto e all'attività informativa; nonché per la fornitura di beni eservizi; ha altresì dichiarato che i server utilizzati per tali attività sitrovano in Italia. Nell'istanzacitata e nella successiva nota integrativa, inviata al Garante il 29 novembre2012 (a seguito di una richiesta di informazioni formulata nel maggio 2011),Ferragamo ha descritto le modalità attraverso le quali intende procedere a taleprofilazione e cioè mediante la creazione di un sistema di Custom RelationManagement (di seguito "CRM") contenente i dati personali dei clientiche hanno la possibilità di registrarsi presso un negozio fisico o tramite ilportale di Ferragamo. Secondoil progetto presentato da Ferragamo, in tale CRM dovrebbero confluire i datipersonali dei clienti: anagrafica, professione, taglia abiti e misura scarpe eregistrazione dei singoli acquisti. Tali dati, presenti nel CRM, sarebbero «accessibili»a tutte le società «consociate», nonché ai negozi distribuiti nelle zone delmondo in cui Ferragamo ha i propri punti vendita e cioè in Europa, America,Asia e Oceania. Loscopo del CRM consiste nella profilazione dei clienti in base agli acquistieffettuati e nella conseguente offerta di campagne di marketing mirate nei loroconfronti. Iltempo di conservazione dei dati presenti nel CRM prospettato da Ferragamo è didieci anni. Secondole dichiarazioni rese, l'indicazione di tale periodo di conservazionenascerebbe dalla considerazione che Ferragamo offre beni di lusso, la cuifrequenza media di acquisto da parte di un cliente è pari a due all'anno, inconcomitanza dei periodi delle collezioni primavera-estate e autunno-inverno.Pertanto, qualora si considerasse un tempo inferiore di conservazione, laprofilazione non sarebbe utile. Dall'esamedella documentazione in atti, l'attività che Ferragamo intende svolgere suidati personali della propria clientela, e che viene sottoposta all'attenzionedel Garante, integra un'ipotesi di trattamento di dati personali che presentarischi specifici per gli interessati, ai sensi dell'art. 17 del Codice,relativamente al tempo di conservazione. Pertutti gli altri aspetti collegati, concernenti la profilazione e il marketing,si rimanda a quanto si dirà nei paragrafi seguenti. Nonostanteil progetto presentato da Ferragamo non preveda l'emissione di una "cartafedeltà", appare necessario un intervento del Garante in quanto iltrattamento dei dati personali che Ferragamo intende effettuare (laconservazione per il periodo suddetto dei dati personali suoi clienti nel CRM)presenta in ogni caso dei rischi specifici per i diritti e le libertàfondamentali degli interessati e, pertanto, può essere ammesso solo nelrispetto di misure e accorgimenti prescritti dal Garante nell'ambito dellapresente verifica preliminare. Iltrattamento di profilazione svolto da Ferragamo, infatti, può presentare pergli interessati rischi specifici che dipendono dalla durata dellaconservazione, nonché dalla qualità dei dati raccolti e dalle modalità tecnicheutilizzate per profilare la clientela. Idati che Ferragamo intende conservare nel CRM, in base alla documentazioneinviata, sono: l'anagrafica del cliente, la sua professione, la taglia degliabiti e la misura delle scarpe e la registrazione dei singoli acquisti. Nell'"anagrafica"del cliente, pur non essendo stato esplicitato nell'istanza citata, devonoessere presumibilmente ricompresi (in base alle finalità ulteriori cheFerragamo intende perseguire e al modello di iscrizione presente sul sito diFerragamo che prevede diversi campi da compilare), il nome e il cognome, lauser id e la password, l'indirizzo fisico, il telefono, il fax, l'email e lanazionalità e nella "registrazione dei singoli acquisti" anche latipologia di prodotto acquistato, la data dell'acquisto e l'importo speso. Iltempo di conservazione dei dati degli interessati per attività di profilazione èstato prospettato da Ferragamo in dieci anni. Inprecedenti casi il Garante ha individuato in dodici mesi il termine massimo diconservazione dei dati per finalità di profilazione (cfr. il provvedimentosulla tv interattiva del Nelcaso in esame, il Garante ritiene che i dati personali che Ferragamo intende conservareriguardano acquisti relativi a beni particolari di cd "fascia alta"e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo diconservazione eccessivamente limitato, anche in considerazione del fatto che,come dichiarato nell'istanza presentata, la frequenza media annuale diacquisto, per ciascun cliente, è pari a due. Allaluce di quanto sopra, il Garante ritiene che i dati personali precedentementeindicati siano conservati per un termine pari ad un massimo di sette anni, inquanto tale arco temporale appare congruo e proporzionato sia alle finalità chesi intendono realizzare sia alla tipologia di dati personali oggetto ditrattamento che riguardano anagrafica, professione, taglia abiti e misurascarpe e registrazione dei singoli acquisti e, presumibilmente, nome e cognome,user id e password, indirizzo fisico, telefono, fax, e-mail e nazionalità nonché"registrazione dei singoli acquisti", tipologia di prodottoacquistato, data di acquisto e importo speso. Il medesimo termine di conservazionerisulta altresì adeguato in relazione ai rischi degli interessati dei cui datisi tratta, in quanto nonostante i beni acquistati riguardino un genereparticolare, di "fascia alta", i singoli prezzi variano a secondadella tipologia di prodotto, partendo da importi, per una vasta categoria diarticoli, non particolarmente elevati. Allascadenza del suddetto periodo di conservazione, i dati personali, oggettodell'attività di profilazione svolta da Ferragamo, dovranno essere cancellatiautomaticamente, ovvero resi anonimi in modo permanente. Idati sono conservati, in base a quanto dichiarato, su server presenti in Italiae il titolare del trattamento è Ferragamo. Qualora Ferragamo decida diavvalersi di soggetti terzi per la gestione tecnica del CRM, tali soggettisaranno designati responsabili del trattamento e seguiranno le istruzioniimpartite da Ferragamo, ai sensi dell'art. 29 del Codice. Giova ricordare chein caso contrario, qualora tali soggetti fossero autonomi titolari deltrattamento, Ferragamo dovrebbe richiedere a ciascun interessato anche unconsenso specifico per la comunicazione di dati a terzi. Lacircostanza che ciascun addetto alla vendita in qualunque negozio di Ferragamonel mondo possa accedere al CRM per creare un'"anagrafica",visualizzarla o modificarla, rende il trattamento dei dati personaliparticolarmente rischioso, anche in considerazione del fatto che la tipologiadi dati conservati riguarda una particolare tipologia di clientela. Inragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM perinserire, visualizzare o modificare i dati personali dei clienti sianodesignati incaricati del trattamento da Ferragamo, ai sensi dell'art. 30 delCodice. Comerappresentato nell'istanza di verifica preliminare, Ferragamo nominerà ciascunasocietà «consociata», avente sede in ciascun Paese con propri punti vendita,quale responsabile del trattamento e sarà quest'ultima (o direttamenteFerragamo) a designare i propri dipendenti quali incaricati del trattamento perquanto attiene l'utilizzo del CRM. Daun punto di vista tecnico, il Garante ritiene necessario richiamarel'attenzione sulla necessità di mettere in atto le misure di sicurezza, ancheminime, previste agli artt. 31-36 e dal Disciplinare tecnico di cuiall'allegato B) del Codice a tutela dei dati personali degli interessatipresenti nel CRM: è necessario pertanto che tutti gli incaricati che hanno lapossibilità di accedervi utilizzino un sistema di autenticazione informaticanei termini previsti dalle norme citate. Unsistema di autenticazione con credenziali o dispositivi individualmenteassegnati agli incaricati per l'accesso al CRM, sia in modalità di"consultazione", sia in modalità di "inserimento/modifica"dell'anagrafica, consentirebbe infatti una immediata identificazione delsoggetto che ha avuto accesso al sistema, unitamente alla postazione e all'oradell'accesso, garantendo così una maggiore sicurezza dei dati personali degliinteressati. Inoltre,la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamentodei log di accesso ai sistemi di profilazione in modo da poter realizzare uncontrollo analitico ex post di tutte le attività svolte. Appareopportuno ricordare che il principio fondante su cui si basa la tutela dei datipersonali è quello dell'informativa: gli interessati, cioè, devono esseresempre resi edotti delle finalità per le quali conferiscono i propri dati. Intal modo, infatti, sono messi in grado di scegliere se conferire o meno ilconsenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciatoi dati. Nelcaso specifico, quindi, il conferimento dei propri dati per l'inserimento deglistessi nel CRM è eventuale e ulteriore rispetto a quello relativo all'acquistodi un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinatoa un consenso libero e specifico dell'interessato. Pertanto,l'informativa da rendere rispetto al trattamento dei dati personali cheFerragamo intende effettuare deve risultare completa degli elementi previstidall'art. 13 del Codice. Inparticolare, Ferragamo dovrà modificare l'attuale modulistica con riguardoall'informativa rivolta agli interessati, specificando, nella parte relativaalle finalità del trattamento, che il trattamento di profilazione dellaclientela, effettuato attraverso dati personali, viene realizzato nel rispettodelle garanzie e delle misure necessarie prescritte dal Garante. Anchecon riguardo al periodo di conservazione dei "dati di profilazione,"la società dovrà specificare che gli stessi saranno conservati per il periodomassimo di sette anni precedentemente indicato, così come previsto dal presenteprovvedimento e che, alla relativa scadenza, tali dati saranno cancellatiautomaticamente ovvero resi anonimi in modo permanente. L'informativainoltre dovrà contenere anche l'indicazione delle finalità ulteriori edeventuali per le quali i dati potranno essere trattati solo qualoral'interessato rilasci uno specifico consenso e cioè l'attività di marketing,diretto o realizzato attraverso strumenti automatizzati. Inoltre,l'informativa dovrà comprendere una chiara indicazione che l'inserimento nelCRM è facoltativo e avverrà solamente previo consenso dell'interessato. Dovràaltresì specificare che l'inserimento dei dati dell'interessato nel CRMcomporterà automaticamente la visibilità dei medesimi da parte di tutti coloroche vi hanno accesso e cioè tutti i dipendenti di Ferragamo presso ciascunpunto vendita nel mondo, designati incaricati del trattamento. Tali indicazionidovranno avere una autonoma visibilità nel corpo del testo dell'informativa edovranno essere separate da tutte le altre, ad esempio, inserite in un appositoparagrafo. L'informativapredisposta da Ferragamo dovrà, infine, richiamare i diritti che l'interessatopuò esercitare in base all'art. 7 del Codice. Tali diritti devono essereevidenziati specificando che gli stessi riguardano anche l'attività diprofilazione svolta dalla società, nel rispetto delle garanzie e delle misurenecessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramentela possibilità, per l'interessato, di esercitare il diritto di opposizione altrattamento dei suoi dati personali. Appareopportuno ricordare che il principio generale previsto dall'art. 23 Codiceprevede la necessità, per il titolare, di acquisire uno specifico consenso daparte dell'interessato per qualunque forma di trattamento, salvi i casistabiliti dall'art. 24 del Codice. PertantoFerragamo, oltre all'adozione delle misure e degli accorgimenti sopra descrittiper svolgere l'attività di profilazione e al rilascio di un'idonea informativadovrà necessariamente richiedere, ai sensi dell'art. 23 del Codice, un consensospecifico e distinto a ciascun interessato per il trattamento relativo allaprofilazione. Sepoi, come dichiarato nelle note inviate al Garante, i dati personali di ciascuninteressato, potranno essere utilizzati per attività ulteriori, quali quelle dimarketing, Ferragamo dovrà richiedere, ai sensi dell'art. 23 del Codice, unconsenso specifico a ciascun interessato per tale ulteriore trattamento. Occorreprecisare, tuttavia, che relativamente all'attività promozionale realizzatatramite posta elettronica, il consenso non è necessario quando si tratti diprodotti e servizi analoghi e l'interessato non abbia rifiutato tale uso,inizialmente o in occasione dell'invio di successive comunicazioni, ai sensi dell'art.130, comma 4, del Codice. Sirileva, infine, che l'attività promozionale potrà essere realizzata siaattraverso marketing "generico", sia "profilato",conseguente, cioè, all'attività di profilazione e consistente nellarealizzazione di campagne mirate per una certa clientela che presentadeterminate caratteristiche. Siricorda infine, che è solo il titolare del trattamento, e cioè Ferragamo, apoter svolgere attività di marketing. Qualora Ferragamo volesse effettuareattività promozionale tramite altri soggetti, dovrebbe richiedere agliinteressati un ulteriore consenso, relativo alla comunicazione dei dati aterzi. E, a loro volta, i soggetti terzi dovrebbero acquisire un autonomoconsenso per l'attività promozionale. In alternativa, Ferragamo potrebbenominare tali soggetti responsabili o incaricati del trattamento ai sensi degliartt. 29 e 30 del Codice, impartendo, in questo caso, precise istruzioni suogni aspetto del trattamento. Inoltre, si ricorda che qualora i soggetti terzisiano stabiliti al di fuori dall'Unione Europea, sarebbe necessario comunqueanche rispettare le disposizioni relative al trasferimento dei dati all'estero(artt. 42 e ss. del Codice). Inbase alle dichiarazioni rese da Ferragamo, i dati personali che confluiscononel CRM provengono da tutti i Paesi in cui Ferragamo ha i propri punti vendita,dunque non solo all'interno dell'Unione europea. Occorrepertanto chiarire i profili relativi alla qualificazione soggettiva di coloroche intervengono nella raccolta dei dati e alla conseguente comunicazione aFerragamo, mediante inserimenti dei dati medesimi nel CRM. Sulpunto, il Parere 8/2010 sul diritto applicabile (adottato il 16 dicembre 2010dal Gruppo di lavoro articolo 29 per la protezione dei dati) chiarisce il campodi applicazione dell'art. 4 della direttiva 95/46/CE relativamente principiodello stabilimento, ovvero il diritto nazionale applicabile. Il citato parerechiarisce infatti che il riferimento allo "stabilimento" significache l'applicabilità della legge di uno Stato membro sarà determinatadall'ubicazione di un suo stabilimento, quale, ad esempio, un punto vendita. Ciòrileva, nel caso di specie, per quanto attiene alla raccolta dei dati personalieffettuata nell'Unione Europea: infatti, ciascun negozio dovrà applicare lapropria normativa nazionale per quanto riguarda la raccolta dei dati,unitamente al rilascio di una adeguata informativa e alla richiesta dieventuali consensi per comunicazioni promozionali a livello locale. Per taleaspetto il negozio è, evidentemente, titolare del trattamento con tutti gliobblighi che ne conseguono in base alla normativa di ciascun Paese, tra cuianche l'adozione di misure di sicurezza e la designazione di responsabili eincaricati del trattamento. Allaluce di quanto detto, pertanto i singoli punti vendita e Ferragamo sonocontitolari del trattamento, ciascuno per gli aspetti di propria competenza(Sul punto cfr. anche il citato parere 8/2010, par. III.1. in cui vienedescritto all'esempio n. 3 un caso del tutto analogo relativo ad una catena dinegozi prêt-à-porter). Laddovei dati, invece, siano raccolti per conto di Ferragamo, nell'ipotesi divolontaria iscrizione dell'interessato nel CRM, è Ferragamo stessa che, pertale ulteriore aspetto, deve considerarsi titolare del trattamento, rilasciareuna idonea informativa e richiedere uno specifico consenso, come indicato inprecedenza, mentre il punto vendita, sarà responsabile del trattamento. Infatti,l'attività di profilazione sui dati presenti nel CRM, descritta nei paragrafiprecedenti, viene effettuata da Ferragamo e non dai singoli negozi. Per taliprofili, si applicherà quindi la legge italiana e Ferragamo dovrà rilasciareun'idonea informativa e richiedere uno specifico consenso. Perquanto riguarda la raccolta dei dati fuori dall'Unione europea, il Garanteritiene che il principio da applicare è il medesimo, per cui la fase dellaraccolta sarà gestita autonomamente da ciascuna società in base alla normativanazionale, ma l'inserimento nel CRM, di cui Ferragamo è titolare, potràavvenire solamente previo rilascio della suddetta informativa e previo rilasciodi uno specifico consenso da parte dell'interessato, secondo la normativaitaliana (sul punto cfr. il citato parere 8/2010, par. II.2.b). Atitolo informativo si rammenta, infine, che qualunque comunicazione dei dati asoggetti terzi, facenti parte del gruppo societario (quindi società controllateo collegate) o completamente estranei al gruppo (società che effettuanoricerche o analisi di mercato) rappresenta una comunicazione di dati a terzi,per la quale è necessario che Ferragamo acquisisca un consenso specifico, ameno che tali soggetti non rivestano il ruolo di responsabili del trattamento,seguendo quindi tutte le istruzioni e le indicazioni che Ferragamo impartiràloro per le attività che svolgono. Ilmancato rispetto delle prescrizioni impartite con il presente provvedimento puòcomportare l'applicazione delle sanzioni previste dall'art. 162, comma 2 bis,Codice. TUTTO CIO' PREMESSO IL GARANTE: allaluce di quanto dichiarato e allo stato degli elementi forniti, ai sensidell'art. 17 del Codice, accoglie la richiesta di verifica preliminarepresentata da Salvatore Ferragamo S.p.A., con sede in Firenze, Via Tornabuoni,2, relativa alla conservazione dei dati personali riguardanti la propriaclientela, per attività di profilazione e marketing conseguente, prescrivendoche: 1.siano adottate, a garanzia degli interessati in conformità alle disposizioni inmateria di protezione dei dati personali, le misure e gli accorgimentinecessari nei termini di cui in motivazione, in particolare, con riguardo 2.venga modificato il testo dell'informativa da rendere agli interessatispecificando che: 3.venga data una autonoma visibilità nel corpo del testo dell'informativa, anchegraficamente, alle prescrizioni di cui ai punti 2.a) e 2.b); 4. considerata la natura e le caratteristiche tecniche degli adempimenti prescritti,venga trasmessa al Garante entro il termine di 60 giorni dalla datadell'eventuale attivazione del sistema, copia della documentazione comprovantel'adozione delle misure individuate ai precedenti punti 1, 2 e 3. Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. Roma, 30 maggio 2013
|