Con un provvedimento a carattere generale, l'Autorità garante per la protezione dei dati personali ha deciso di fissare le linee guida per un corretto uso dei dati personali dei clienti da parte delle società che rilasciano le cosiddette 'carte di fidelizzazione'.
Quello delle carte e dei programmi di fidelizzazione è un fenomeno sempre più diffuso che coinvolge un'ampia fascia della popolazione: interessa il settore della grande distribuzione (supermercati), ma anche la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, nel noleggio.
Tramite le carte di fidelizzazione vengono attribuiti vantaggi di varia natura (sconti per l'acquisto di prodotti, premi o bonus correlati, priorità, servizi accessori, facilitazioni di pagamento), di regola in base al volume di spesa complessivo realizzato.
Il rilascio delle carte (spesso mediante compilazione di questionari) e la loro utilizzazione (con la registrazione di beni e servizi effettuati) comportano un trattamento di dati personali dei clienti e, a volte, dei loro familiari.
Accanto a dati anagrafici sono spesso raccolte ulteriore informazioni, quali ad esempio titolo di studio, professione, interessi, abitudini di consumo, modalità di acquisto etc.
Tali informazioni, tuttavia, vengono spesso utilizzate, senza che gli interessati ne abbiano piena conoscenza e possano acconsentire al loro uso, anche per monitorare in dettaglio i loro comportamenti o le loro propensioni al consumo, per creare cioè 'profili' individuali o di gruppo o per confrontare le loro abitudini di consumatori con altri clienti.
In alcuni casi vengono trattati anche dati sensibili (salute, adesioni a partiti o religioni, scelte di vita etc.) il cui trattamento, di regola, non è lecito per gli scopi legati al rilascio delle carte o per il direct marketing.
Il provvedimento del Garante interessa, in particolare, la grande distribuzione, ma i principi richiamati operano anche in altri settori (ad esempio, distributori di benzina, società di noleggio etc.).
Le regole riguardano le tre principali finalità per le quali i dati personali dei clienti vengono raccolti ed utilizzati: la fidelizzazione, che viene realizzata attribuendo vantaggi al cliente; la profilazione, mediante l'analisi delle abitudini e delle scelte di consumo; il marketing diretto.
Il primo obbligo per chi rilascia carte di fedeltà è quello di informare in maniera chiara e completa i clienti sull'uso che verrà fatto dei dati che li riguardano, tenendo conto delle diverse finalità perseguite.
L'informativa al cliente deve essere chiaramente evidenziata all'interno dei moduli di sottoscrizione ed essere agevolmente individuabile rispetto alle altre clausole del regolamento.
In particolare, deve essere posta in evidenza l'eventuale attività di profilazione o di marketing evidenziando che, per questi ultimi due usi, il conferimento dei dati e il consenso sono liberi e facoltativi. Non è lecito condizionare l'adesione al programma di fidelizzazione all'espressione del consenso anche per l'uso di dati a scopi di profilazione e marketing.
Le aziende, ha poi stabilito il Garante, devono ridurre al minimo l'uso delle informazioni personali e devono comunque utilizzare solo informazioni pertinenti e non eccedenti.
In particolare per quanto riguarda poi la fidelizzazione, viene stabilito che possono essere trattati, senza che sia necessario acquisire il consenso dell'interessato, solo dati necessari per attribuire i vantaggi connessi all'utilizzo della carta, cioè dati per consentire l'identificazione dell'intestatario e, di regola, i dati relativi al volume di spesa globale realizzato, senza riferimento al dettaglio dei singoli prodotti acquistati.
Per l'attività di profilazione, invece, occorre il consenso dell'interessato per il trattamento delle informazioni relative agli acquisti effettuati. Non è lecito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute.
Riguardo all'attività di marketing possono essere raccolti, sempre con il consenso dell'interessato, i dati necessari all'invio di materiale pubblicitario o di comunicazioni commerciali.
Per quanto riguarda il tempo di conservazione dei dati personali dei clienti, relativi al dettaglio degli acquisti, l'Autorità ha stabilito che per quelli raccolti a fini di profilazione non può superare un anno, mentre per quelli raccolti a fini di marketing non può superare i due anni.
Ë obbligatorio, infine, adottare le necessarie misure di sicurezza per evitare rischi di manomissione, furto o perdita dei dati.
Nel caso di uso dei dati a fini di profilazione è obbligatorio comunicare l'avvio del trattamento al Garante.
Fonte: Autorità garante per la protezione dei dati personali
Provvedimanto
'Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione - 24 febbraio 2005
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Esaminati i reclami e le segnalazioni pervenuti in ordine al trattamento di dati personali raccolti attraverso carte o tessere di 'fidelizzazione';
Ritenuta la necessità di prescrivere alcune misure necessarie ed opportune al fine di rendere il trattamento conforme alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali);
Vista la documentazione acquisita a seguito degli accertamenti avviati e della consultazione pubblica effettuata;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;
PREMESSO:
1. La 'fidelizzazione' nell'ambito della grande distribuzione
Il Garante ha ricevuto reclami e segnalazioni su trattamenti di dati effettuati nell'ambito della crescente utilizzazione di carte o tessere di 'fidelizzazione' volte a creare un rapporto duraturo con la clientela per acquisti e servizi.
Gli intestatari delle 'carte' usufruiscono di alcuni vantaggi per effetto della titolarità della carta, oppure del genere o volume di spesa o delle prestazioni richieste (ad es., sconti per l'acquisto di prodotti; premi o bonus correlati; priorità; servizi accessori; facilitazioni di pagamento).
Le prescrizioni contenute nel presente provvedimento riguardano in termini generali tutti i tipi di 'carte' nel settore della c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettronico, presso punti-vendita oppure on line, nominativamente ovvero assegnando un codice identificativo, accumulando o meno punti rapportati a spese e servizi.
Il fenomeno ha assunto ampia portata interessando, oltre alla commercializzazione di beni di consumo, la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, nel noleggio, ecc. I principi normativi richiamati in questa sede per la grande distribuzione hanno carattere generale e sono già applicabili in diversi ambiti.
Il Garante esamina in questa sede i profili di competenza rilevanti per il trattamento dei dati personali, senza valutare specificamente requisiti prescritti da leggi o regolamenti in altri ambiti (ad es., dal d.P.R. 26 ottobre 2001, n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte).
Il rilascio delle carte (spesso preceduto dalla compilazione di un modulo di adesione e di un questionario), e la loro utilizzazione (che determina la registrazione di acquisti di beni e servizi), comportano un trattamento dei dati personali dei clienti e, a volte, dei loro familiari.
Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.).
Tali informazioni vengono di frequente trattate unitariamente, per finalità diverse che richiedono quindi modalità differenziate; non di rado, è fornita solo un'informativa generica che descrive i trattamenti in modo non adeguatamente distinto.
Le analisi svolte sulle abitudini e scelte di consumo presentano rischi per gli interessati, anche quando i dati non sono comunicati a terzi.
Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ricevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei loro comportamenti, vengono profilati anche all'interno di specifiche banche dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne peraltro consapevoli non avendo ricevuto un'adeguata informativa.
Si definiscono anche profili individuali o di gruppo (segmenti di clientela con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo, senza che gli interessati vi abbiano potuto acconsentire sulla base di informazioni chiare e specifiche. L'acquisto di beni e di servizi può persino determinare, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame.
A ciò si aggiungono eventuali contatti diretti con la clientela per operazioni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.
Attesa la crescente diffusione del fenomeno, e a garanzia degli interessati, il Garante prescrive ai titolari del trattamento di adottare alcune misure necessarie od opportune al fine di conformare i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del Codice).
2. Necessità e proporzionalità
Le seguenti prescrizioni sono impartite tenendo conto delle distinzioni relative alle tre principali finalità indicate (fidelizzazione in senso stretto, realizzata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi di abitudini e scelte di consumo; marketing diretto), che rendono necessario diversificare le modalità del trattamento, in particolare per quanto riguarda le tipologie di dati e la loro conservazione.
I trattamenti devono svolgersi rispettando i principi di necessità, liceità, correttezza, qualità dei dati e di proporzionalità (artt. 3 e 11 del Codice).
In particolare:
· in applicazione del principio di necessità (art. 3 del Codice), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi;
· nel rispetto del principio di proporzionalità nel trattamento (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite. Come premesso, l'utilizzazione di dati sensibili (art. 4, comma 1, lett. d), del Codice) non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie (cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190).
Vanno a questo punto indicate le modalità di attuazione di questi principi in rapporto alle diverse finalità.
3. Finalità di 'fidelizzazione' in senso stretto
Possono essere trattati esclusivamente i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta.
Si tratta:
· dei dati direttamente correlati all'identificazione dell'intestatario della carta, quali le informazioni anagrafiche;
· dei dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli - e in particolare conservarli - per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di 'fidelizzazione'; nei casi particolari in cui essa è lecita, deve essere rispettato il principio di proporzionalità.
4. Finalità di 'profilazione' della clientela
L'attività di profilazione riguardante singoli individui o gruppi può essere svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (ad esempio, un codice numerico), senza una relazione tra i dati che permettono di individuare gli interessati e le indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se la finalità può essere perseguita con tali modalità (specie per quanto riguarda la profilazione della clientela per categorie omogenee), non è lecito utilizzare - e tanto meno conservare - dati personali o identificativi.
Negli altri casi, le informazioni che si intende acquisire (sia all'atto dell'adesione del cliente all'iniziativa, sia per effetto dell'eventuale registrazione di singoli beni e servizi accessori), e le modalità del loro trattamento, devono essere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o dei servizi resi.
Il principio di proporzionalità va osservato anche per quanto riguarda l'eventuale intenzione di registrare le informazioni in banche di dati, tanto più se centrali. Inoltre, queste ultime non devono essere interconnesse -o fonte di intrecci e raffronti di dati- con quelle utilizzate per la fidelizzazione in senso stretto.
Per quanto concerne i dati sensibili va rilevato, oltre a quanto già richiamato, che non è lecito utilizzare a fine di profilazione dati idonei a rivelare la stato di salute e la vita sessuale (cfr. autorizzazioni generali del Garante nn. 2 e 5/2004, in G.U. 14 agosto 2004, n. 190).
5. Finalità di 'marketing' diretto
Possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per l'invio di materiale pubblicitario -anche attraverso riviste di settore- o di comunicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati direttamente correlati all'identificazione dell'intestatario della carta o di suoi familiari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti dalla profilazione deve essere oggetto di un consenso differenziato dei diretti interessati.
6. Informativa agli interessati
Prima del conferimento dei dati e del rilascio della carta deve essere fornita al cliente un'informativa chiara e completa, al fine di consentire un'adesione pienamente consapevole alle iniziative proposte.
Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Codice), non sono consentiti comportamenti suscettibili di incidere sulle scelte libere e consapevoli del cliente nell'adesione ai 'programmi di fidelizzazione'.
Nello svolgimento delle operazioni preordinate al rilascio della 'carta', non è corretto indurre il cliente ad aderire al programma senza aver avuto le spiegazioni e il tempo necessari per essere previamente informati e maturare un consenso consapevole riguardo ai dati da fornire, specie in ordine alla profilazione o al marketing (come potrebbe ad esempio accadere sollecitando una rapida sottoscrizione mentre il cliente è in fila alla cassa senza un esame preventivo di un'informativa).
L'informativa può utilizzare formule sintetiche e colloquiali, purché chiare e inequivoche; deve contenere comunque tutti gli elementi richiesti dal Codice (art. 13, comma 1).
Non sono consentiti generici rinvii a regolamenti di servizio non acclusi per le parti di riferimento. L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine.
In particolare, devono essere poste in distinta e specifica evidenza le caratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.
Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività legate alla fidelizzazione in senso stretto.
7. Adesione al 'programma di fidelizzazione' e consenso al trattamento
Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre di regola accettare condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente della 'carta').
Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è 'necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato' non è corretto, in questo caso, sollecitare il consenso al trattamento dei dati (art. 24, comma 1, lett. b), del Codice).
Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti l'identificabilità degli interessati necessita, invece, del loro consenso specifico, informato e distinto per ciascuna di esse (art. 23 del Codice). Il consenso deve essere quantomeno documentato per iscritto a cura del titolare del trattamento, ovvero reso necessariamente per iscritto dall'interessato nel caso di dati sensibili.
L'eventuale accettazione per iscritto delle clausole del regolamento di servizio deve essere distinta dalle formule utilizzate per ciascuna di queste due manifestazioni di libero consenso. L'adesione all'iniziativa di fidelizzazione non può essere condizionata alla manifestazione di tale consenso.
Non è quindi lecito raccogliere un consenso generale ricorrendo ad una generica dichiarazione, comprendendo anche i casi in cui il consenso non è necessario o a prescindere dalle finalità perseguite.
Per alcune forme di comunicazione mediante posta elettronica, fax, sistemi automatizzati di chiamata e messaggi del tipo Mms o Sms o di altro tipo, la necessità del consenso deriva anche da apposite disposizioni in tema di comunicazioni indesiderate o di vendite a distanza, le quali prevedono, altresì, regole particolari per l'offerta di servizi analoghi tramite posta elettronica (art. 130 del Codice; art. 10 d.lg. n. 185/1999). E' opportuno che copia della documentazione attestante l'informativa fornita e il consenso eventualmente prestato sia rilasciata all'interessato, per consentirgli di verificare in ogni momento le proprie scelte e di modificarle.
8. Tempi di conservazione
In applicazione del menzionato principio di proporzionalità, va prescritta ai titolari del trattamento l'identificazione di termini massimi di conservazione dei dati da osservare presso banche dati sia centrali, sia locali.
Tale identificazione va effettuata dopo aver esaminato la possibilità di raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità sopradescritte, tenendo conto di eventuali scelte degli interessati sopravvenute.
Il principio da osservare è quello secondo cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice).
In ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice.
Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un determinato arco temporale, scadenza o restituzione della carta, deve essere individuato un termine di conservazione dei dati personali per esclusive finalità amministrative (e non anche di profilazione o di marketing), non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conservazione di documentazione contabile). Occorre specificare questi aspetti nell'informativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati (specie per la profilazione o di marketing).
9. Notificazione del trattamento e misure di sicurezza
Restano fermi, in aggiunta alle prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai titolari del trattamento.
Ci si riferisce, in particolare:
a) all'obbligo di notificazione al Garante dei trattamenti effettuati mediante l'ausilio di strumenti elettronici volti a definire profili di consumatori o ad analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma 1, lett. d), e 163 del Codice);
b) agli obblighi relativi all'adozione delle misure anche minime di sicurezza (artt. 31-35 e Allegato B) del Codice;
c) alla selezione dei soggetti che, in qualità di incaricati o responsabili del trattamento, sono autorizzati a compiere operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codice);
d) all'obbligo dei titolari del trattamento di adottare le misure necessarie per agevolare l'esercizio dei diritti degli interessati e il relativo riscontro tempestivo (art. 10, comma 1, del Codice), con particolare riferimento alle concrete notizie da fornire in caso di richiesta di spiegazioni sulle finalità e modalità del trattamento (art. 7, comma 2, lett. b)) o di opposizione al trattamento.
In questo quadro, è necessario che:
1. i dati eventualmente trattati a fini di profilazione o di ricerche di mercato siano conservati con adeguate modalità che portino a limitare l'ambito di circolazione dei dati allo stretto indispensabile, circoscrivendo qualitativamente e quantitativamente il numero di addetti aventi eventuale accesso alle informazioni;
2. sia escluso l'uso di sistemi e programmi che permettano, fuori dei casi consentiti, una ricostruzione organica di scelte, comportamenti e profili di interessati identificabili non soggetta alle previe valutazioni di questa Autorità ai sensi dell'art. 17 del Codice;
3. non si eludano, attraverso la preposizione di soggetti esterni quali responsabili del trattamento, le richiamate garanzie in tema di comunicazione e conservazione dei dati e di trasparenza nell'informativa riguardo alle finalità e ai soggetti che le perseguono;
4. si pongano a disposizione degli interessati, anche nell'informativa, specifici recapiti, anche di posta elettronica, per un agevole esercizio dei diritti.
10. Informazioni al Garante
Ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, i titolari del trattamento indicati negli atti di procedimenti pendenti presso l'Ufficio sono invitati a confermare al Garante, entro e non oltre il 15 maggio 2005, che i trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione.
TUTTO CIÒ PREMESSO, IL GARANTE
prescrive ai titolari di trattamenti di dati personali oggetto del presente provvedimento, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti.
Roma, 24 febbraio 2005
IL PRESIDENTE Rodotà
IL RELATORE Rasi
IL SEGRETARIO GENERALE Buttarelli
Fonte: Autorità garante per la protezione dei dati personali