Conservazione dei dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Tod's S.p.A.

Conservazione dei dati personaliriguardanti la clientela per attività di profilazione e marketing. Verificapreliminare richiesta da Tod's S.p.A.

PROVVEDIMENTO DEL 7 NOVEMBRE 2013

Registro dei provvedimenti  n. 500 del 7 novembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice");

ESAMINATAla richiesta di verifica preliminare presentata da Tod's S.p.A. (di seguito"Tod's") rispetto al trattamento dei dati personali della propriaclientela per finalità di profilazione, presentata ai sensi dell'art. 17 delCodice;

VISTIgli elementi acquisiti anche a seguito della richiesta di informazioni echiarimenti rivolta alla società;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delRegolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Trattamento di dati personali diretto allaprofilazione della clientela da parte di Tod's S.p.A.

Tod'sha presentato al Garante, in data 17 giugno 2013, una richiesta di verificapreliminare ai sensi dell'art. 17 del Codice, sulla base del provvedimentogenerale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("'Fidelity card' e garanzie per i consumatori. Le regoledel Garante per i programmi di fidelizzazione"). Taleprovvedimento ha stabilito che chiunque voglia conservare i dati della propriaclientela per finalità di profilazione e marketing, per un periodo superiore adodici mesi, deve presentare al Garante una richiesta di verifica preliminare,ai sensi dell'art. 17 del Codice.

L'istanzaproposta da Tod's riguarda la possibilità di conservare i dati della propriaclientela per un periodo pari a dieci anni, per attività di profilazione emarketing conseguente.

Giàin precedenza, conformemente a quanto previsto dagli artt. 37, comma 1, lett.d) e 38 del Codice, in data 9 marzo 2012, Tod's aveva effettuato la primanotificazione al Garante (modificata successivamente il 24 luglio 2013)relativa alla profilazione e, specificamente, al "trattamento effettuatocon l'ausilio di strumenti elettronici volti a definire il profilo o lapersonalità dell'interessato, o a analizzare abitudini o scelte di consumo,ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica conl'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizimedesimi".

Intale notificazione Tod's ha dichiarato che i cittadini cui si riferiscono idati sono quelli di Paesi appartenenti all'Unione Europea e di Paesi nonappartenenti all'Unione Europea. Inoltre ha dichiarato che le finalità per lequali intende effettuare il trattamento sono quelle relative: all'analisi delleabitudini o scelte di consumo, all'attività commerciale, all'attività dimarketing diretto e all'attività informativa; nonché per la fornitura di beni eservizi, per la ricerca statistica e per ricerche di mercato o altre ricerchecampionarie; ha altresì dichiarato che i server utilizzati per tali attività sitrovano in Italia.

Nell'istanzacitata Tod's ha dichiarato che intende procedere a tale profilazione mediantela creazione di un sistema di Customer Relationship Management (di seguito"CRM") contenente i dati personali dei clienti, attualmente in corsodi implementazione.

Tod's,tra l'altro, è stata oggetto di accertamento ispettivo in data 10 aprile 2013,da parte del Nucleo Speciale Privacy. L'ispezione ha avuto ad oggetto itrattamenti di dati personali effettuati dalla società per finalità diprofilazione, realizzati attraverso il predetto CRM che, infatti, all'epocadell'ispezione, era in fase di realizzazione. Nel corso dell'accertamento èstata acquisita copiosa documentazione relativa a tale attività e Tod's haprovveduto anche ad inviare una nota integrativa a scioglimento delle riserveformulate in sede ispettiva (nota datata 24 aprile 2013 e pervenuta al NucleoSpeciale Privacy il 3 maggio 2013).

Secondoil progetto presentato da Tod's, in tale CRM dovrebbero confluire i datipersonali dei clienti: anagrafica (nome, cognome, email, indirizzo fisico,cellulare, telefono e compleanno) e dettaglio degli acquisti (data e luogodell'acquisto, prodotti acquistati e relativi prezzi). Tali dati, presenti nelCRM, sarebbero ´accessibiliª a tutti i punti vendita per offrire, in boutique,un servizio personalizzato, anche sulla base dei precedenti acquistieffettuati.

Loscopo del CRM consiste nella profilazione dei clienti in base agli acquistieffettuati e nella conseguente offerta di campagne di marketing mirate nei loroconfronti, nonché per svolgere ricerche di mercato e studi rispetto al propriosettore di produzione.

Iltempo di conservazione dei dati presenti nel CRM prospettato da Tod's è didieci anni.

Secondole dichiarazioni rese, l'indicazione di tale periodo di conservazionenascerebbe dalla considerazione che Tod's offre beni di lusso, la cui frequenzamedia di acquisto da parte di un cliente è pari a due all'anno, in concomitanzadei periodi delle collezioni primavera-estate e autunno-inverno. Pertanto,qualora si considerasse un tempo inferiore di conservazione, la profilazionenon sarebbe utile, anche in considerazione di uno studio di settore, allegatoall'istanza, secondo cui nell'anno 2012 il mercato del lusso ha registrato unaumento dello scontrino medio per cliente, a fronte di un rallentamento dellafrequenza di acquisto.

2. Necessità di richiedere l'esame preliminare aisensi dell'art. 17 del Codice.

Dall'esamedella documentazione in atti, l'attività che Tod's intende svolgere sui datipersonali della propria clientela, e che viene sottoposta all'attenzione delGarante, integra un'ipotesi di trattamento di dati personali che presentarischi specifici per gli interessati, ai sensi dell'art. 17 del Codice,relativamente al tempo di conservazione.

Pertutti gli altri aspetti collegati, concernenti la profilazione e il marketing,si rimanda a quanto si dirà nei paragrafi seguenti.

Nonostanteil progetto presentato da Tod's non preveda l'emissione di una "cartafedeltà", appare necessario un intervento del Garante in quanto iltrattamento dei dati personali che Tod's intende effettuare (la conservazioneper il periodo suddetto dei dati personali dei suoi clienti nel CRM) presentain ogni caso dei rischi specifici per i diritti e le libertà fondamentali degliinteressati e, pertanto, può essere ammesso solo nel rispetto di misure eaccorgimenti prescritti dal Garante nell'ambito della presente verificapreliminare.

Iltrattamento di profilazione svolto da Tod's, infatti, può presentare per gliinteressati rischi specifici che dipendono dalla durata della conservazione,nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate perprofilare la clientela.

3. Tipologia dei dati conservati, tempi e modalitàdi conservazione: misure ed accorgimenti prescrittivi.

Idati che Tod's intende conservare nel CRM, in base alla documentazione inviata,sono: l'anagrafica del cliente e i dettagli relativi ai singoli acquisti.

Nell'´anagraficaªdel cliente sono compresi: il nome e il cognome, l'email, l'indirizzo, ilnumero di cellulare, di telefono e la data del compleanno. Nei dati ulteriori,relativi ai singoli acquisti e finalizzati all'attività di profilazione emarketing, Tod's intende includere: data e luogo dell'acquisto, prodottoacquistato (con l'indicazione di modello, stagione autunno/inverno oprimavera/estate, materiale, colore e taglia) e prezzo dei prodotti acquistati(inclusi eventuali sconti sul listino, valuta di pagamento e relativo mezzo dipagamento). Il tempo di conservazione dei dati degli interessati per attivitàdi profilazione è stato prospettato da Tod's in dieci anni.

Inprecedenti casi il Garante ha individuato in dodici mesi il termine massimo diconservazione dei dati per finalità di profilazione (cfr. il provvedimentosulla tv interattiva del 3 febbraio 2005- e il citato provvedimento generale relativo aiprogrammi di fidelizzazione). Recentemente inoltre il Garante ha adottato dueprovvedimenti (a seguito di altrettante richieste di prior checking) relativialla conservazione di dati per finalità di profilazione e marketing,consentendone la conservazione per un periodo più ampio rispetto ai dodici mesiindicati (doc. nn. 1 e 2).

Nelcaso in esame, il Garante ritiene che i dati personali che Tod's intendeconservare riguardano acquisti relativi a beni particolari di cd. "fasciaalta" e, pertanto, è ragionevole ritenere che dodici mesi siano un tempodi conservazione eccessivamente limitato, anche in considerazione del fattoche, come dichiarato nell'istanza presentata, la frequenza media annuale diacquisto, per ciascun cliente, è pari a due.

Tuttavia,in base al principio di necessità previsto dall'art. 3 del Codice, occorrerilevare che alcuni dati relativi al dettaglio dell'acquisto siano eccessivirispetto alla finalità di profilazione che la società intende perseguire, conparticolare riferimento al prezzo dei prodotti. Il Garante, pertanto,ritenendoli eccedenti rispetto alla predetta finalità, ritiene di doverlilimitare al solo prezzo dei singoli prodotti acquistati, comprensivo dieventuali sconti sul listino, escludendo l'indicazione della valuta dipagamento e del relativo mezzo di pagamento.

Allaluce di quanto sopra, pertanto, oltre quelli relativi all'anagrafica, i"dati di profilazione" che potranno essere inseriti nel CRM sarannoquelli relativi alla data e al luogo dell'acquisto, al numero dei prodottiacquistati, con la relativa indicazione con l'indicazione di modello, stagioneautunno/inverno o primavera/estate, materiale, colore e taglia del prodottoacquistato e quelli relativi al prezzo, con la sola indicazione degli eventualisconti sul listino.

Allaluce di quanto sopra, il Garante ritiene che i dati personali precedentementeindividuati, con le esclusioni indicate, siano conservati per un termine pariad un massimo di sette anni, in quanto tale arco temporale appare congruo e proporzionatosia alle finalità che si intendono realizzare sia alla tipologia di datipersonali oggetto di trattamento. Il medesimo termine di conservazione risultaaltresì adeguato in relazione ai rischi degli interessati dei cui dati sitratta, in quanto nonostante i beni acquistati riguardino un genereparticolare, di "fascia alta", i singoli prezzi variano a secondadella tipologia di prodotto, partendo da importi, per una vasta categoria diarticoli, non particolarmente elevati.

Allascadenza del suddetto periodo di conservazione, i dati personali, oggettodell'attività di profilazione svolta da Tod's, dovranno essere cancellatiautomaticamente, ovvero resi anonimi in modo permanente e non reversibile.Anche in caso dell'acquisizione di un nuovo, libero e specifico consenso, idati dovranno essere trattati, in ogni caso, per un periodo non superiore asette anni.

Idati sono conservati, in base a quanto dichiarato, su server presenti in Italiae il titolare del trattamento è Tod's.

Lacircostanza che ciascun addetto alla vendita in qualunque negozio di Tod's nelmondo possa accedere al CRM per creare un'"anagrafica", visualizzarlao modificarla, rende il trattamento dei dati personali particolarmenterischioso, anche in considerazione del fatto che la tipologia di daticonservati riguarda una particolare tipologia di clientela.

Inragione di ciò, si ritiene che tutti coloro che accedono al sistema CRM perinserire, visualizzare o modificare i dati personali dei clienti siano designatiincaricati del trattamento da Tod's, ai sensi dell'art. 30 del Codice,comprendendo quindi sia i direttori di negozio sia tutti gli altri dipendentiche hanno accesso al CRM.

Daun punto di vista tecnico, il Garante ritiene necessario richiamare l'attenzionesulla necessità di mettere in atto le misure di sicurezza, anche minime,previste agli artt. 31-36 e dal Disciplinare tecnico di cui all'allegato B) delCodice a tutela dei dati personali degli interessati presenti nel CRM: ènecessario pertanto che tutti gli incaricati che hanno la possibilità diaccedervi utilizzino un sistema di autenticazione informatica nei terminiprevisti dalle norme citate.

Unsistema di autenticazione con credenziali o dispositivi individualmenteassegnati agli incaricati per l'accesso al CRM, sia in modalità di"consultazione", sia in modalità di "inserimento/modifica"dell'anagrafica, consentirebbe infatti una immediata identificazione delsoggetto che ha avuto accesso al sistema, unitamente alla postazione e all'oradell'accesso, garantendo così una maggiore sicurezza dei dati personali degliinteressati.

Inoltre,la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamentodei log di accesso ai sistemi di profilazione in modo da poter realizzare uncontrollo analitico ex post di tutte le attività svolte.

4. Informativa.

Appareopportuno ricordare che il principio fondante su cui si basa la tutela dei datipersonali è quello dell'informativa: gli interessati, cioè, devono esseresempre resi edotti delle finalità per le quali conferiscono i propri dati. Intal modo, infatti, sono messi in grado di scegliere se conferire o meno ilconsenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciatoi dati.

Nelcaso specifico, quindi, il conferimento dei propri dati per l'inserimento deglistessi nel CRM è eventuale e ulteriore rispetto a quello relativo all'acquistodi un singolo prodotto (ad esempio, per esigenze di fatturazione) e subordinatoa un consenso libero e specifico dell'interessato.

Pertanto,l'informativa da rendere rispetto al trattamento dei dati personali che Tod'sintende effettuare deve risultare completa degli elementi previsti dall'art. 13del Codice.

Inparticolare, Tod's dovrà integrare l'attuale modulistica con riguardo all'informativarivolta agli interessati, specificando, nella parte relativa alle finalità deltrattamento, che il trattamento di profilazione della clientela, effettuatoattraverso dati personali, viene realizzato nel rispetto delle garanzie e dellemisure necessarie prescritte dal Garante.

Anchecon riguardo al periodo di conservazione dei "dati di profilazione,"la società dovrà specificare che gli stessi saranno conservati per il periodomassimo di sette anni precedentemente indicato, così come previsto dal presenteprovvedimento e che, alla relativa scadenza, tali dati saranno cancellatiautomaticamente ovvero resi anonimi in modo permanente.

Inoltre,l'informativa dovrà comprendere una chiara indicazione che l'inserimento nelCRM è facoltativo e avverrà solamente previo consenso dell'interessato. Dovràaltresì specificare che l'inserimento dei dati dell'interessato nel CRMcomporterà automaticamente la visibilità dei medesimi da parte di tutti coloroche vi hanno accesso e cioè tutti i dipendenti di Tod's presso ciascun puntovendita nel mondo, designati incaricati del trattamento. Tali indicazionidovranno avere una autonoma visibilità nel corpo del testo dell'informativa edovranno essere separate da tutte le altre, ad esempio, inserite in un appositoparagrafo.

L'informativapredisposta da Tod's dovrà, infine, richiamare i diritti che l'interessato puòesercitare in base all'art. 7 del Codice. Tali diritti devono essereevidenziati specificando che gli stessi riguardano anche l'attività diprofilazione svolta dalla società, nel rispetto delle garanzie e delle misurenecessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramentela possibilità, per l'interessato, di esercitare il diritto di opposizione altrattamento dei suoi dati personali.

5. Consenso dell'interessato per l'attività diprofilazione e di marketing.

Appareopportuno ricordare che il principio generale previsto dall'art. 23 Codiceprevede la necessità, per il titolare, di acquisire uno specifico consenso daparte dell'interessato per qualunque forma di trattamento, salvi i casistabiliti dall'art. 24 del Codice, e che tale consenso non può esseresottoposto a termine, fatto salvo sempre il diritto dell'interessato di opporsial trattamento ai sensi dell'art. 7 del Codice.

PertantoTod's, oltre all'adozione delle misure e degli accorgimenti sopra descritti persvolgere l'attività di profilazione e al rilascio di un'idonea informativa dovrànecessariamente richiedere, ai sensi dell'art. 23 del Codice, un consensospecifico e distinto a ciascun interessato per il trattamento relativo allaprofilazione.

Sepoi, come dichiarato, i dati personali di ciascun interessato, potranno essereutilizzati per attività ulteriori, quali quelle di marketing, Tod's dovrà richiedere,ai sensi dell'art. 23 del Codice, un consenso specifico a ciascun interessatoper tale ulteriore trattamento.

Occorreprecisare, tuttavia, che relativamente all'attività promozionale realizzatatramite posta elettronica, il consenso non è necessario quando si tratti diprodotti e servizi analoghi e l'interessato non abbia rifiutato tale uso,inizialmente o in occasione dell'invio di successive comunicazioni, ai sensidell'art. 130, comma 4, del Codice, così come risulta anche dall'informativa giàpredisposta da Tod's. Si rileva, infine, che l'attività promozionale potràessere realizzata sia attraverso marketing "generico", sia"profilato", conseguente, cioè, all'attività di profilazione econsistente nella realizzazione di campagne mirate per una certa clientela chepresenta determinate caratteristiche.

6. Qualificazione soggettiva dei soggetti chetrattano i dati: titolari, responsabili e incaricati del trattamento.

Inbase alle dichiarazioni rese da Tod's, i dati personali che confluiscono nel CRMprovengono da tutti i Paesi in cui Tod's ha i propri punti vendita, dunque nonsolo all'interno dell'Unione europea.

Sottotale profilo, Tod's ha chiarito (nella nota del 24 aprile 2013) di esserel'unico titolare del trattamento e, conseguentemente, ritiene, a ragione, chela normativa applicabile sia quella nazionale. Alla luce di ciò ha provvedutocorrettamente a designare ciascun negozio quale responsabile esterno deltrattamento, ai sensi dell'art. 29 del Codice e ciascun direttore di negozioquale incaricato del trattamento ai sensi dell'art. 30 del Codice.

7. Sanzioni

Ilmancato rispetto delle prescrizioni impartite con il presente provvedimento puòcomportare l'applicazione delle sanzioni previste dall'art. 162, comma 2 bis,Codice.

TUTTO CIO' PREMESSO IL GARANTE:

allaluce di quanto dichiarato e allo stato degli elementi forniti, ai sensidell'art. 17 del Codice, accoglie la richiesta di verifica preliminarepresentata da Tod's S.p.A., con sede in Sant'Elpidio a Mare (FM), Via FilippoDella Valle n. 1 relativa alla conservazione dei dati personali riguardanti lapropria clientela, per attività di profilazione e marketing conseguente,prescrivendo che:

1. sianoadottate, a garanzia degli interessati in conformità alle disposizioni inmateria di protezione dei dati personali, le misure e gli accorgimentinecessari nei termini di cui in motivazione, in particolare, con riguardo:

a) allatipologia di "dati di profilazione", conservando nel CRM solo iseguenti dati relativi al dettaglio dell'acquisto: data e luogo dell'acquisto,numero dei prodotti acquistati (con la relativa indicazione di modello,stagione autunno/inverno o primavera/estate, materiale, colore e taglia) prezzodei singoli prodotti (con la sola indicazione degli eventuali sconti sullistino);

b) alleprocedure di autenticazione ed autorizzazione:

i. gliaccessi al CRM devono avvenire mediante l'uso di un sistema di autenticazioneadottato secondo i criteri stabiliti dal disciplinare tecnico in materia dimisure minime di sicurezza di cui all'allegato B) del Codice;

ii. deveessere possibile effettuare il tracciamento dei log di accesso al CRM, in mododa realizzare un controllo analitico ex post delle attività svolte dai singoliincaricati;

c) alperiodo di conservazione dei dati:

i. idati utilizzati per l'attività di profilazione devono essere conservati per ilperiodo individuato in motivazione;

ii. allascadenza di detto periodo, Tod's deve provvedere alla cancellazione automaticadi tali dati, ovvero alla trasformazione degli stessi in forma anonima in modopermanente prevedendo che, in ogni caso, i dati non siano trattati per unperiodo superiore;

2. vengaintegrato il testo dell'informativa da rendere agli interessati specificandoche:

a) leattività di profilazione e di marketing sono solo eventuali e sarannorealizzate solamente con i consensi specifici dell'interessato, qualora decidain inserire i propri dati nel CRM;

b)l'inserimento dei dati personali nel CRM comporterà automaticamente lavisibilità dei medesimi da parte di tutti coloro che vi hanno accesso e cioètutti i dipendenti di Tod's presso ciascun punto vendita nel mondo;

c) nellaparte relativa alle finalità, il trattamento di profilazione della clientelaviene effettuato nel rispetto delle garanzie e delle misure necessarieprescritte dal Garante nel presente provvedimento;

d) ilperiodo di conservazione dei "dati di profilazione" non saràsuperiore a quello individuato in motivazione e che, alla relativa scadenza,tali dati saranno cancellati automaticamente, ovvero resi anonimi in modopermanente;

e) idiritti che l'interessato può esercitare in base all'art. 7 del Codiceriguardano anche l'attività di profilazione, con particolare riferimento aldiritto di opposizione al trattamento.

3. vengadata una autonoma visibilità nel corpo del testo dell'informativa, anchegraficamente, alle prescrizioni di cui ai punti 2.a) e 2.b);

4.considerata la natura e le caratteristiche tecniche degli adempimentiprescritti, venga trasmessa al Garante entro il termine di 60 giorni dalla datadell'eventuale attivazione del sistema, copia della documentazione comprovantel'adozione delle misure individuate ai precedenti punti 1, 2 e 3.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 7 novembre 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia