Conservazione di dati personali riguardanti la clientela per attività di profilazione e marketing. Verifica preliminare richiesta da Costa Crociere S.p.A.

Conservazione di dati personaliriguardanti la clientela per attività di profilazione e marketing. Verificapreliminare richiesta da Costa Crociere S.p.A.

PROVVEDIMENTO DEL 12 GIUGNO 2014

Registro dei provvedimenti  n. 297 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice");

ESAMINATAla richiesta di verifica preliminare presentata da Costa Crociere S.p.A. (diseguito "Costa") rispetto al trattamento dei dati personali dellapropria clientela per finalità di profilazione, presentata ai sensi dell'art.17 del Codice;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delRegolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Trattamento di dati personali diretto allaprofilazione della clientela da parte di Costa Crociere S.p.A.

Costaha presentato al Garante, in data 10 febbraio 2014, una richiesta di verificapreliminare ai sensi dell'art. 17 del Codice, sulla base del provvedimentogenerale adottato in data 24 febbraio 2005, relativo alle carte di fidelizzazione ("'Fidelity card' e garanzie per i consumatori. Le regoledel Garante per i programmi di fidelizzazione", di seguito "provvedimento generale"). Tale provvedimento ha stabilito che chiunque voglia conservare i dati della propriaclientela per finalità di profilazione e marketing, per un periodo superiore adodici mesi, deve presentare al Garante una richiesta di verifica preliminare,ai sensi dell'art. 17 del Codice.

L'istanzaproposta da Costa riguarda la possibilità di conservare i dati della propriaclientela (passeggeri) per un periodo pari a tredici anni, per attività diprofilazione e marketing conseguente.

Inproposito, da verifiche interne effettuate, è risultato che, in data 11 luglio2012, conformemente a quanto previsto dagli artt. 37, comma 1, lett. d) e 38del Codice, Costa ha effettuato una modifica della notificazione al Garanterelativa alla profilazione e, specificamente, al "trattamento effettuatocon l'ausilio di strumenti elettronici volti a definire il profilo o lapersonalità dell'interessato, o a analizzare abitudini o scelte di consumo,ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica conl'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizimedesimi".

Intale notificazione Costa ha dichiarato che i cittadini cui si riferiscono idati sono quelli appartenenti sia a Paesi U.E. sia di Paesi extra U.E. Inoltreha dichiarato che tra le finalità per le quali intende effettuare iltrattamento vi sono anche quelle relative: all'analisi delle abitudini o sceltedi consumo, all'attività commerciale, all'attività culturali o ricreative,all'attività di marketing diretto e all'attività informativa; nonché per lacreazione di profili professionali relativi a clienti o consumatori, per lafornitura di beni e servizi, per le ricerche di mercato o altre ricerchecampionarie.

Nell'istanzacitata Costa ha dichiarato che nella banca dati clienti detenuta dalla Societàed utilizzata ai fini delle attività di marketing e profilazione sonoregistrate diverse tipologie di dati: anagrafica (nome, cognome, data e luogodi nascita, indirizzo fisico, contatti), viaggio effettuato (es. periodo,itinerario, nave da crociere), acquisti effettuati in viaggio (es. data diacquisto, prodotto ed importo speso), commenti e valutazioni del passeggero sulviaggio e specifiche informazioni personali (es. professione, titolo distudio), status del passeggero (es. aderente o meno al Costa club ed eventualelivello di appartenenza, benefici e vantaggi resi).

Loscopo della suelencata banca dati consisterebbe nella possibilità di potereffettuare una valida attività di profilazione, allo scopo di offrire ai propriclienti adeguate offerte e servizi "personalizzati" sulla base delleprecedenti scelte. Costa ha altresì rappresentato che la suddetta attività diconservazione permetterebbe alla società non solo di realizzare una compiutaattività di profilazione e markerting, ma anche di soddisfare le espresserichieste dei passeggeri tese a conservare l'elenco delle crociere effettuate ea ricevere dalla società indicazioni e suggerimenti su un servizio che siasempre più adeguato alle loro preferenze.

Iltempo di conservazione dei dati degli interessati per attività di profilazione èstato prospettato da Costa in tredici anni.

Secondole dichiarazioni rese, il tempo di conservazione richiesto è stato a lungoponderato considerando le caratteristiche dello specifico tipo di trattamentoe, soprattutto, la frequenza di acquisto di una crociera. Infatti, per potergarantire una minima attività di profilazione occorrerebbe prendere inconsiderazione un numero di crociere sostenute dallo stesso passeggero almenopari a tre, ma con un numero di cinque crociere si potrebbe raggiungere una soglia adeguata. Tuttavia Costa ha comunque rappresentato che la scelta di unasoglia minima pari a cinque crociere, seppur maggiormente adeguata ai finidell'attività di profilazione, comporterebbe un ulteriore estensione dei tempidi conservazione dei dati che la Costa stessa ha ritenuto di non volersostenere. Quindi, considerando congrua la frequenza di acquisto di almeno trecrociere per passeggero, Costa riterrebbe opportuno prendere in considerazioneun tempo di conservazione dei dati pari a tredici anni. Tale arco temporaleconsentirebbe di "tracciare" come clienti ripetitivi un numero dipasseggeri che abbiano fatto almeno tre crociere. Al riguardo, Costa haprecisato che, da proprie indagini statistiche, il richiesto termine di tredicianni collegato alla frequenza di acquisto di tre crociere sarebbe pari solo al7% del totale.

2. Necessità di richiedere l'esame preliminare aisensi dell'art. 17 del Codice.

Dall'esamedella documentazione in atti, l'attività che Costa intende svolgere sui datipersonali della propria clientela, e che viene sottoposta all'attenzione delGarante, integra un'ipotesi di trattamento di dati personali che presentarischi specifici per gli interessati, ai sensi dell'art. 17 del Codice,relativamente al tempo di conservazione.

Pertutti gli altri aspetti collegati, concernenti la profilazione e il marketing,si rimanda a quanto si dirà nei paragrafi seguenti.

Nonostanteil progetto presentato da Costa non preveda l'emissione di una "cartafedeltà", appare necessario un intervento del Garante in quanto iltrattamento dei dati personali che Costa intende effettuare (la conservazioneper il periodo suddetto dei dati personali dei suoi clienti nella banca dati)presenta in ogni caso dei rischi specifici per i diritti e le libertàfondamentali degli interessati e, pertanto, può essere ammesso solo nelrispetto di misure e accorgimenti prescritti dal Garante nell'ambito dellapresente verifica preliminare.

Iltrattamento di profilazione svolto da Costa, infatti, può presentare per gliinteressati rischi specifici che dipendono dalla durata della conservazione,nonché dalla qualità dei dati raccolti e dalle modalità tecniche utilizzate perprofilare la clientela.

3. Tipologia dei dati conservati, tempi e modalitàdi conservazione: misure ed accorgimenti prescrittivi.

Idati che Costa intende conservare nel proprio data base, in base alladocumentazione inviata, sono: l'anagrafica del cliente e i dettagli relativi aiviaggi effettuati, nonché gli acquisti effettuati in viaggio, i commenti e levalutazioni del passeggero sul viaggio e le specifiche informazioni personaliquali lo status del passeggero a seconda che abbia o meno aderito al CostaClub.

Nell'´anagraficaªdel cliente sono compresi: il nome, il cognome, la data e il luogo di nascita,l'indirizzo fisico e i contatti. Tali informazioni sono generalmente acquisitein fase contrattuale e riportate nel modulo di imbarco. Nei dati ulteriori,relativi ai singoli acquisti effettuati in viaggio e finalizzati all'attivitàdi marketing Costa intende includere: la data di acquisto, il prodotto el'importo speso. In relazione al viaggio effettuato, Costa intendeincludere: il periodo, l'itinerario e la nave da crociera, nonché i commenti ele valutazioni del passeggero sul viaggio e le specifiche informazionipersonali quali la professione e il titolo di studio con l'eventuale indicazionecirca l'avvenuta adesione del passeggero al Costa Club.

Conriguardo al Costa Club, nell'istanza viene specificato che i passeggeri hannola possibilità di aderire gratuitamente al programma "Costa Club".Con tale adesione vengono conferite una serie di vantaggi e riconoscimenti comesconti, servizi integrativi e agevolazioni sugli acquisti a bordo delle navi edurante le crociere. Il programma prevede una raccolta punti che si possonoottenere sia in ragione dei giorni trascorsi a bordo delle navi siadell'ammontare delle spese di bordo. Costa ha comunque dichiarato chel'appartenenza al suddetto Club non consente, salvo le informazioni relativealla qualifica di socio, di raccogliere e trattare per attività di profilazionedati ulteriori rispetto a quelli raccolti dalla società nell'ambito della suaordinaria attività.

Inprecedenti casi il Garante ha individuato in dodici mesi il termine massimo diconservazione dei dati per finalità di profilazione (cfr. il provvedimentosulla tv interattiva del 3 febbraio 2005- e il citato provvedimento generale relativo aiprogrammi di fidelizzazione). Tuttavia, recentemente il Garante ha adottato treprovvedimenti (a seguito di altrettante richieste di prior checking) relativialla conservazione di dati per finalità di profilazione e marketing,consentendone la conservazione per un periodo più ampio rispetto ai dodici mesiindicati (doc. web nn. 1 , 2 e 3 ).

Nelcaso in esame, il Garante ritiene che i dati personali che Costa intendeconservare riguardano prodotti e servizi particolari e, pertanto, è ragionevoleritenere che dodici mesi siano un tempo di conservazione eccessivamentelimitato, anche in considerazione del fatto che, come dichiarato nell'istanzapresentata, anche con i termini di conservazione dalla stessa richiesti per unnumero rilevante di passeggeri i viaggi registrati sarebbero o potrebberoverosimilmente essere comunque non superiori ad uno o a due.

Allaluce di quanto sopra, il Garante ritiene che i dati personali precedentementeindividuati siano conservati per un termine pari ad un massimo di dieci anni,in quanto tale arco temporale appare congruo e proporzionato sia alle finalitàche si intendono realizzare sia alla tipologia di dati personali oggetto ditrattamento.

Allascadenza del suddetto periodo di conservazione, i dati personali, oggettodell'attività di profilazione svolta da Costa, dovranno essere cancellatiautomaticamente, ovvero resi anonimi in modo permanente e non reversibile.Anche in caso dell'acquisizione di un nuovo, libero e specifico consenso, idati dovranno essere trattati, in ogni caso, per un periodo non superiore adieci anni. I dati sono conservati, in base a quanto dichiarato, suserver presenti in Italia e il titolare del trattamento è Costa CrociereS.p.A..

Comedichiarato anche da Costa, qualora la società decidesse di avvalersi disoggetti terzi per la gestione tecnica della banca dati o per la gestione erealizzazione delle attività di profilazione e di marketing, tali soggettisaranno designati responsabili del trattamento e seguiranno le istruzioniimpartite dalla società sia contrattualmente, che nella lettera di nomina aresponsabile, redatta ai sensi dell'art. 29 del Codice. Giova ricordare che incaso contrario, qualora tali soggetti fossero autonomi titolari deltrattamento, Costa dovrebbe richiedere a ciascun interessato anche unospecifico consenso per la comunicazione di dati a terzi.

Costaha tuttavia evidenziato che i dati dei passeggeri, utilizzati per finalità dimarketing e profilazione sono raccolti e trattati sia da Costa che dallefiliali (branch non aventi personalità giuridica) situate in Spagna e Germania.Si rappresenta che dall'informativa allegata all'istanza le suddette filialiagirebbero quali contitolari del trattamento.

4. Misure di sicurezza

Innanzituttoda un punto di vista tecnico, il Garante ritiene necessario richiamarel'attenzione sulla necessità di mettere in atto le misure di sicurezza, ancheminime, previste agli artt. 31-36 e dal Disciplinare tecnico di cuiall'allegato B) del Codice a tutela dei dati personali degli interessatipresenti nella banca dati: è necessario pertanto che tutti gli incaricati chehanno la possibilità di accedervi utilizzino un sistema di autenticazioneinformatica nei termini previsti dalle norme citate. Nell'istanza, infatti,viene dichiarato che l'accesso alla banca dati potrà essere effettuatoesclusivamente da soggetti che, a fronte di un atto di nomina ad incaricato deltrattamento ex art. 30 del Codice saranno formalmente autorizzati ad operaresui detti sistemi.

Unsistema di autenticazione con credenziali o dispositivi individualmenteassegnati agli incaricati per l'accesso alla banca dati sia in modalità di"consultazione", sia in modalità di "inserimento/modifica"dell'anagrafica, consentirebbe infatti una immediata identificazione delsoggetto che ha avuto accesso al sistema, unitamente alla postazione e all'oradell'accesso, garantendo così una maggiore sicurezza dei dati personali degliinteressati.

Inoltre,la società dovrà adottare ogni accorgimento utile ad effettuare il tracciamentodei log di accesso ai sistemi di profilazione in modo da poter realizzare uncontrollo analitico ex post di tutte le attività svolte.

5. Informativa.

Appareopportuno ricordare che il principio fondante su cui si basa la tutela dei datipersonali è quello dell'informativa: gli interessati, cioè, devono esseresempre resi edotti delle finalità per le quali conferiscono i propri dati. Intal modo, infatti, sono messi in grado di scegliere se conferire o meno ilconsenso per finalità ulteriori rispetto a quelle per le quali hanno rilasciatoi dati.

Nelcaso specifico, quindi, il conferimento dei propri dati per l'inserimento deglistessi nella banca dati è eventuale e ulteriore rispetto a quello relativoall'acquisto di una crociera (ad esempio, per esigenze di fatturazione) esubordinato a un consenso libero e specifico dell'interessato.

Pertanto,l'informativa da rendere rispetto al trattamento dei dati personali che Costaintende effettuare deve risultare completa degli elementi previsti dall'art. 13del Codice.

Inparticolare, Costa dovrà integrare l'attuale modulistica con riguardo all'informativarivolta agli interessati, specificando, nella parte relativa alle finalità deltrattamento, che il trattamento di profilazione della clientela, effettuatoattraverso dati personali, viene realizzato nel rispetto delle garanzie e dellemisure necessarie prescritte dal Garante.

Anchecon riguardo al periodo di conservazione dei "dati di profilazione,"la società dovrà specificare che gli stessi saranno conservati per il periodomassimo di dieci anni precedentemente indicato, così come previsto dal presenteprovvedimento e che, alla relativa scadenza, tali dati saranno cancellatiautomaticamente ovvero resi anonimi in modo permanente.

Inoltre,l'informativa dovrà comprendere una chiara indicazione che l'inserimento nellabanca dati è facoltativo e avverrà solamente previo consenso dell'interessato.Dovrà altresì specificare che l'inserimento dei dati dell'interessato nellabanca dati comporterà automaticamente la visibilità dei medesimi da parte ditutti coloro che vi hanno accesso e cioè tutti i dipendenti di Costa, designatiincaricati del trattamento. Tali indicazioni dovranno avere una autonomavisibilità nel corpo del testo dell'informativa e dovranno essere separate datutte le altre, ad esempio, inserite in un apposito paragrafo.

L'informativapredisposta da Costa dovrà, infine, richiamare i diritti che l'interessato puòesercitare in base all'art. 7 del Codice. Tali diritti devono essereevidenziati specificando che gli stessi riguardano anche l'attività diprofilazione svolta dalla società, nel rispetto delle garanzie e delle misurenecessarie prescritte dal Garante. In particolare, dovrà ricordare chiaramentela possibilità, per l'interessato, di esercitare il diritto di opposizione altrattamento dei suoi dati personali.

6. Consenso dell'interessato per l'attività diprofilazione e di marketing.

Appareopportuno ricordare che il principio generale previsto dall'art. 23 Codiceprevede la necessità, per il titolare, di acquisire uno specifico consenso daparte dell'interessato per qualunque forma di trattamento, salvi i casistabiliti dall'art. 24 del Codice, e che tale consenso non può esseresottoposto a termine, fatto salvo sempre il diritto dell'interessato di opporsial trattamento ai sensi dell'art. 7 del Codice.

PertantoCosta, oltre all'adozione delle misure e degli accorgimenti sopra descritti persvolgere l'attività di profilazione e al rilascio di un'idonea informativa dovrànecessariamente richiedere, ai sensi dell'art. 23 del Codice, un consensospecifico e distinto a ciascun interessato per il trattamento relativo allaprofilazione.

Sepoi, come dichiarato, i dati personali di ciascun interessato, potranno essereutilizzati per attività ulteriori, quali quelle di marketing, Costa dovràrichiedere, ai sensi dell'art. 23 del Codice, un consenso specifico a ciascuninteressato per tale ulteriore trattamento.

Occorreprecisare, tuttavia, che relativamente all'attività promozionale realizzatatramite posta elettronica, il consenso non è necessario quando si tratti diprodotti e servizi analoghi e l'interessato non abbia rifiutato tale uso,inizialmente o in occasione dell'invio di successive comunicazioni, ai sensidell'art. 130, comma 4, del Codice.

Sirileva, infine, che l'attività promozionale potrà essere realizzata siaattraverso marketing "generico", sia "profilato",conseguente, cioè, all'attività di profilazione e consistente nellarealizzazione di campagne mirate per una certa clientela che presentadeterminate caratteristiche.

Siricorda infine, che è solo il titolare del trattamento, e cioè Costa, a potersvolgere attività di marketing. Qualora Costa volesse effettuare, attivitàpromozionale tramite terzi, dovrebbe nominare tali soggetti responsabili deltrattamento ai sensi dell'art. 29 del Codice, impartendo, in questo caso,precise istruzioni su ogni aspetto del trattamento. Inoltre, si ricorda chequalora i soggetti terzi siano stabiliti al di fuori dall'Unione Europea,sarebbe necessario comunque anche rispettare le disposizioni relative altrasferimento dei dati all'estero (artt. 42 e ss. del Codice).

7. Qualificazione soggettiva dei soggetti chetrattano i dati: titolari, responsabili e incaricati del trattamento.

Inbase alle dichiarazioni rese da Costa, i dati personali che confluiscono nellabanca dati provengono da tutti i Paesi in cui Costa effettua la propria attività,dunque non solo all'interno dell'Unione europea.

Occorrepertanto chiarire i profili relativi alla qualificazione soggettiva di coloroche intervengono nella raccolta dei dati e ne curano l'inserimento nella bancadati.

Sulpunto, il Parere 8/2010 sul diritto applicabile (adottato il 16 dicembre 2010dal Gruppo di lavoro articolo 29 per la protezione dei dati), chiarisce ilcampo di applicazione dell'art. 4 della direttiva 95/46/CE relativamenteprincipio dello stabilimento, ovvero il diritto nazionale applicabile. Ilcitato parere chiarisce infatti che il riferimento allo"stabilimento" significa che l'applicabilità della legge di uno Statomembro sarà determinata dall'ubicazione di un suo stabilimento.

Ciòrileva, nel caso di specie, per quanto attiene alla raccolta dei dati personalieffettuata nell'Unione Europea: infatti, ciascun punto di raccolta estero deidati dei passeggeri (come ad esempio potrebbe essere un'agenzia di viaggi) dovrà applicare la propria normativa nazionale per quanto riguarda la raccoltadei dati, unitamente al rilascio di una adeguata informativa e alla richiestadi eventuali consensi per comunicazioni promozionali a livello locale. Per taleaspetto il punto di raccolta è, evidentemente, titolare del trattamento contutti gli obblighi che ne conseguono in base alla normativa di ciascun Paese,tra cui anche l'adozione di misure di sicurezza e la designazione diresponsabili e incaricati del trattamento. Alla luce di quanto detto,pertanto i singoli punti di raccolta e Costa sono contitolari del trattamento,ciascuna per gli aspetti di propria competenza (cfr. anche il citato parere8/2010, par. III.1. in cui viene descritto all'esempio n. 3 un caso del tuttoanalogo relativo ad una catena di negozi prÍt-à-porter).

Laddovei dati, invece, siano raccolti per conto di Costa, nell'ipotesi di volontariaiscrizione dell'interessato nella banca dati, come ad esempio per l'iscrizioneon-line, Costa stessa, per tale ulteriore aspetto, deve considerarsi titolaredel trattamento, rilasciare una idonea informativa e richiedere uno specificoconsenso, come indicato nei paragrafi precedenti, mentre la succursale, saràresponsabile del trattamento.

Infatti,l'attività di profilazione sui dati presenti nella banca dati, descritta neiparagrafi precedenti, viene effettuata da Costa. Per tali profili, si applicheràquindi la legge italiana e Costa dovrà rilasciare un'idonea informativa erichiedere uno specifico consenso, come descritto nei paragrafi precedenti.

Perquanto riguarda la raccolta dei dati fuori dall'Unione Europea, il Garanteritiene che il principio da applicare è il medesimo, per cui la fase dellaraccolta sarà gestita autonomamente da ciascun punto di raccolta in base allanormativa nazionale, ma l'inserimento nella banca dati, di cui Costa ètitolare, potrà avvenire solamente previo rilascio della suddetta informativa eprevio rilascio di uno specifico consenso da parte dell'interessato, secondo lanormativa italiana (sul punto cfr. il citato parere 8/2010, par. II.2.b).

Atitolo informativo si rammenta, infine, che qualunque comunicazione dei dati asoggetti terzi, facenti parte del gruppo societario (quindi società controllateo collegate) o completamente estranei al gruppo (società che effettuanoricerche o analisi di mercato) rappresenta una comunicazione di dati a terzi,per la quale è necessario che Costa acquisisca un consenso specifico, a menoche tali soggetti non rivestano il ruolo di responsabili del trattamento, seguendoquindi tutte le istruzioni e le indicazioni che Costa impartirà loro per leattività che svolgono.

8. Sanzioni

Ilmancato rispetto delle prescrizioni impartite con il presente provvedimento puòcomportare l'applicazione delle sanzioni previste dall'art. 162, comma 2 bis,Codice.

TUTTO CIO' PREMESSO IL GARANTE:

allaluce di quanto dichiarato e allo stato degli elementi forniti, ai sensidell'art. 17 del Codice, accoglie la richiesta di verifica preliminarepresentata da Costa Crociere S.p.A., con sede in Genova, Piazza Piaccapietra,48 relativa alla conservazione dei dati personali riguardanti la propriaclientela, per attività di profilazione e marketing conseguente, prescrivendoche:

1. sianoadottate, a garanzia degli interessati in conformità alle disposizioni inmateria di protezione dei dati personali, le misure e gli accorgimentinecessari nei termini di cui in motivazione, in particolare, con riguardo:

a) alle procedure di autenticazione ed autorizzazione:

i. gliaccessi alla banca dati devono avvenire mediante l'uso di un sistema diautenticazione adottato secondo i criteri stabiliti dal disciplinare tecnico inmateria di misure minime di sicurezza di cui all'allegato B) del Codice;

ii. deveessere possibile effettuare il tracciamento dei log di accesso alla banca dati,in modo da realizzare un controllo analitico ex post delle attività svolte daisingoli incaricati;

b) alperiodo di conservazione dei dati:

i. idati utilizzati per l'attività di profilazione devono essere conservati per ilperiodo individuato in motivazione;

ii. allascadenza di detto periodo, Costa Crociere S.p.A. deve provvedere allacancellazione automatica di tali dati, ovvero alla trasformazione degli stessiin forma anonima in modo permanente prevedendo che, in ogni caso, i dati nonsiano trattati per un periodo superiore;

2. vengaintegrato il testo dell'informativa da rendere agli interessati specificandoche:

CostaCrociere S.p.A. è l'unico titolare del trattamento dei dati e che le succursaliestere AIDA Cruises, con sede Rostock, Germania, e Ibero Cruceros, consede a Madrid, Spagna, agiscono per conto di Costa Crociere S.p.A. in qualitàdi responsabili del trattamento;

a) leattività di profilazione e di marketing sono solo eventuali e sarannorealizzate solamente con i consensi specifici dell'interessato, qualora decidain inserire i propri dati nella banca dati;

b)l'inserimento dei dati personali nella banca dati comporterà automaticamente lavisibilità dei medesimi da parte di tutti coloro che vi hanno accesso anchepresso ciascun punto di raccolta estero;

c) nellaparte relativa alle finalità, il trattamento di profilazione della clientelaviene effettuato nel rispetto delle garanzie e delle misure necessarieprescritte dal Garante nel presente provvedimento;

d) ilperiodo di conservazione dei "dati di profilazione" non saràsuperiore a quello individuato in motivazione e che, alla relativa scadenza,tali dati saranno cancellati automaticamente, ovvero resi anonimi in modopermanente;

e) idiritti che l'interessato può esercitare in base all'art. 7 del Codiceriguardano anche l'attività di profilazione, con particolare riferimento aldiritto di opposizione al trattamento.

3. vengadata una autonoma visibilità nel corpo del testo dell'informativa, anchegraficamente, alle prescrizioni di cui ai punti 2.a) e 2.b);

4.considerata la natura e le caratteristiche tecniche degli adempimentiprescritti, venga trasmessa al Garante entro il termine di 90 giorni dalla datadell'eventuale attivazione del sistema, copia della documentazione comprovantel'adozione delle misure individuate ai precedenti punti 1, 2 e 3.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 12 giugno 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia