Carte fedeltà: gli obblighi informativi dell’impresa alla luce della normativa vigente e dei provvedimenti del Garante privacy

Una strategia di marketing che attualmente gode di grande fortuna, specie nella grande distribuzione (per i noti profili di consumo di massa a cui si indirizza questo settore commerciale) consiste nell’utilizzo delle cosiddette carte fedeltà o tessere di fidelizzazione della clientela.

Si tratta di tessere (per lo più gratuite) rilasciate ai consumatori presso punti vendita, centri o esercizi commerciali, che comportano l’adesione del cliente ad un regolamento il cui contenuto appare il più vario nella prassi e nella fantasia degli operatori commerciali ma il cui scopo consiste sempre nell’attribuzione di vantaggi (sconti o premi) al cliente.

Il consumatore presta il proprio consenso al programma di attribuzione di un punteggio (calcolato sulla base del volume di spesa) che gli consentirà, una volta accumulati i punti stabiliti, di avvalersi del premio prescelto o di usufruire di uno sconto per la spesa successiva.

Dal canto proprio, le società commerciali che offrono tali carte o tessere elettroniche conseguono il vantaggio di apprendere svariate informazioni dalla propria clientela.

Sono i numerosi dati personali che vengono acquisiti attraverso la sottoscrizione dei moduli di adesione al programma contestualmente alla consegna della “tessera-fedeltà”.

Ulteriori dati relativi ai volumi di spesa, alla tipologia, alla quantità e al prezzo dei prodotti acquistati, agli sconti o buoni utilizzati, ai premi corrisposti ed ai punti accumulati sono non di rado acquisiti da parte delle stesse società o tramite terzi in relazione ai singoli acquisti effettuati.

Attraverso la valutazione incrociata dei dati acquisiti l’operatore commerciale è in condizione di comporre un vero e proprio profilo della propria clientela, mediante lo studio analitico delle abitudini e delle scelte di consumo degli interessati e dei loro gruppi familiari, in relazione – ad esempio - all’età, al luogo di residenza, al titolo di studio, alla professione esercitata.

Il vantaggio che consegue l’impresa distributrice è quindi strettamente connesso alla pianificazione delle proprie scelte promozionali: la mappatura del profilo dei consumatori rende possibile lo studio e la definizione di categorie o gruppi di consumatori per orientare opportunamente le strategie commerciali e di distribuzione dei prodotti, ed altresì per indirizzare l’invio di messaggi pubblicitari ad hoc.

Vi è inoltre il non secondario profilo che attiene alla costruzione di una strategia commerciale basata sull’instaurazione di relazioni fiduciarie con i clienti: in un contesto concorrenziale che evolve verso una progressiva saturazione del mercato, la relazione fiduciaria consente all’impresa una migliore pianificazione aziendale ed una maggiore competitività.

Ad esempio, è certamente meno costosa la relazione commerciale con il cliente già acquisito rispetto a quella riguardante il cliente da acquisire. Inoltre l’esistenza di un rapporto fiduciario consente di estendere il business a settori di attività ulteriori rispetto a quello per il quale il cliente è stato precedentemente acquisito.

In un contesto di globalizzazione del mercato, i consumatori ricercano partner commerciali che rivestano il ruolo di intermediari di fiducia, capaci di comprendere ed interpretare l’evoluzione dei propri comportamenti e delle abitudini di acquisto.

Le “carte fedeltà” rappresentano dunque una componente importante in questo tipo di operazioni, perché attraverso la soddisfazione della clientela (mediante incentivi, premi o sconti) consentono alle imprese di agire sulla dimensione comportamentale dei consumatori, mediante interventi che incidono ed orientano le scelte della clientela, di cui (grazie a quest’opera di profilazione) sono stati preventivamente individuate esigenze, ampiezza e tipologia.

Simili iniziative sono naturalmente lecite, ma poiché si fondano sul trattamento di una notevole quantità di informazioni di carattere personale, non possono prescindere dal rispetto delle norme dettate dal Codice in materia di protezione dei dati personali (decreto legislativo 196/2003).

Accanto a dati anagrafici e recapiti, al momento della consegna della tessera di fidelizzazione il cliente viene spesso invitato a fornire un corredo di informazioni supplementari relative alla propria persona ed al proprio stile di vita, al suo gruppo familiare o all’ambiente di lavoro; si tratta sovente di notizie non strettamente necessarie per attribuire i vantaggi connessi al possesso o all’utilizzo della carta.

E’ il caso, ad esempio, delle informazioni relative al titolo di studio, alla professione esercitata, agli interessi, alle modalità di impiego del tempo libero, alle preferenze, alle modalità di acquisto.

Consumatori, relativi nuclei familiari ed altre persone indicate come eventuali beneficiari dei vantaggi legati alla fidelizzazione sono quindi assoggettati ad un vero e proprio monitoraggio dettagliato.

Le notizie così acquisite vengono inserite all’interno di banche dati, e spesso raffrontate con i dati di altri clienti (ad esempio coloro che risiedono nel medesimo territorio, che rientrano in una determinata fascia d’età o che godono di un certo livello d’istruzione).

Le informazioni ottenute attraverso il monitoraggio delle modalità di acquisto (effettuato dal consumatore mediante l’utilizzo della carta fedeltà) consentono la definizione di profili individuali o di gruppo, con individuazione di segmenti di clientela aventi caratteristiche omogenee, di cui sono analizzate le propensioni al consumo.

A queste operazioni si aggiungono eventuali contatti diretti con la clientela per le attività di marketing, comunicazioni pubblicitarie, vendite dirette, indagini di mercato effettuate dal soggetto che rilascia la carta o, addirittura, da terzi.

In alcuni casi, l’acquisto di determinati beni o servizi può persino condurre alla raccolta di dati di natura sensibile, il cui trattamento non è neppure consentito per le finalità commerciali in questione.

I dati sensibili sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, le adesioni a partiti, sindacati, associazioni o organizzazioni a carattere religioso, i dati giudiziari, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

La raccolta delle informazioni relative al luogo di nascita di una persona potrebbe essere di per sé idonea a rivelarne l’origine etnica, la sottoscrizione di un abbonamento ad una rivista potrebbe far presumere l’orientamento politico o ideologico del cliente, persino la preferenza nell’acquisto di un particolari tipologie di alimenti potrebbe rivelare che l’acquirente soffre di determinate patologie.

Affinché la raccolta ed il trattamento dei dati personali sia svolto lecitamente, è necessario che queste attività siano svolte previa acquisizione del consenso dell’interessato: quest’ultimo deve essere pienamente ed agevolmente consapevole del concreto uso dei dati che lo riguardano e degli strumenti posti a difesa dei suoi diritti.

Spesso infatti le informazioni relative ai consumatori vengono trattate unitariamente, per finalità molto diverse tra loro che richiedono quindi modalità eterogenee di trattamento e conservazione.

Nella prassi commerciale, al contrario, la raccolta è spesso preceduta da un’informativa generica che descrive il relativo trattamento in modo superficiale e non adeguatamente distinto in relazione alla natura ed alla tipologia dei diversi dati raccolti.

L’articolo 23 del decreto legislativo 196/2003 stabilisce che il trattamento dei dati personali è consentito solo con il consenso espresso dell’interessato.

Il legislatore ha dunque inteso conferire validità all’operazione di raccolta e di trattamento dei dati personali solo in dipendenza di una manifestazione di volontà esplicita ed evidente da parte dell’interessato: il mero spontaneo conferimento dei dati personali non è quindi sufficiente ad avvalorare alcun consenso, potendo semmai valere come consenso implicito, considerato di per sé non idoneo dalla norma.

Valorizzando la portata ed il significato di questo principio, con provvedimento del 24 febbraio 2005 il Garante per la protezione dei dati personali ha tracciato le linee guida per un corretto uso dei dati personali dei clienti da parte delle società che rilasciano le c.d. “fidelity cards”.

In quel provvedimento l’Autorità Garante ribadì che il trattamento dei dati personali deve essere svolto in ossequio ai principi di necessità, liceità, correttezza, qualità dei dati, proporzionalità.

In applicazione del principio di necessità (articolo 3 Codice in materia di protezione dei dati personali), osserva il Garante, “i sistemi informativi e i programmi informatici devono essere configurati in modo da ridurre al minimo l’utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi”.

L’autorità Garante ha quindi individuato nell’attività di profilazione della clientela una potenziale invasività nella sfera della riservatezza del consumatore: le imprese sono dunque tenute ad adottare comportamenti che, nel perseguimento del fine di analisi e valutazione commerciale, escludano per quanto possibile l’eventualità di risalire all’identificazione del singolo cliente.

Ad esempio, la rilevazione statistica circa il gradimento di una determinata linea di prodotti presso il pubblico può essere utilmente svolta senza necessità di conoscere individualmente i singoli acquirenti.

Nel rispetto del principio di proporzionalità del trattamento, il legislatore richiede infatti che tutti i dati personali e le modalità del loro trattamento siano pertinenti e non eccedenti rispetto alle finalità perseguite (articolo 11 Codice in materia di protezione dei dati personali).

L’utilizzazione dei dati sensibili è inoltre considerata inammissibile per le finalità commerciali connesse con il rilascio delle carte fedeltà, fatta salva l’ipotesi in cui il trattamento dei dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato previamente autorizzato dal Garante, oltre che espressamente acconsentito per iscritto dall’interessato (si veda l’autorizzazione generale del Garante n. 5/2004 in Gazzetta Ufficiale n. 190 del 14 agosto 2004).

Accanto a queste linee di condotta esplicitamente indicate dall’autorità Garante, l’impresa commerciale che tratta i dati personali ai fini del rilascio delle carte fedeltà è tenuta ad uniformarsi ad un altro importante principio, sotteso all’articolo 13 del Codice in materia di protezione dei dati personali, ed afferente alla tipologia delle informazioni che l’interessato deve conoscere al momento in cui egli decide se prestare il proprio consenso al raccolta ed al trattamento dei dati personali.

Si tratta del principio di trasparenza.

Il legislatore ha infatti inteso assicurare che l’interessato sia reso edotto di una serie di informazioni che riguardano il trattamento dei dati da lui forniti, intendendosi per trattamento l’operazione di acquisizione, raccolta e conservazione dei dati personali.

Sulla base di quanto appreso dall’informativa rilasciatagli, l’interessato sarà dunque nella condizione di scegliere se conferire o meno i propri dati.

Il consumatore deve essere posto nella condizione di identificare chiaramente il soggetto che tratta i dati: se si tratta di persona giuridica, l’informativa dovrà contenere la denominazione completa e corretta dell’impresa che effettua il trattamento, l’identificazione della sede legale (e delle eventuali sedi operative), nonché ogni altro dato utile ad identificare il soggetto (codice fiscale o partita I.v.a.).

Deve essere inoltre specificato l’obiettivo perseguito con la raccolta dei dati, ossia la motivazione per la quale i dati sono raccolti.

Alcuni esempi di finalità di trattamento, ricavabili dalla pratica, possono essere i seguenti: oltre al rilascio di tessere fedeltà, evasione degli ordini ed emissione dei relativi documenti fiscali, invio di omaggi richiesti dal consumatore mediante raccolta di prove d’acquisto, invio di materiale pubblicitario o promozionale, in tal caso mediante specificazione delle modalità con cui verrà eseguito l’invio.

Il sottoscrittore della carta fedeltà deve essere inoltre informato in merito alle modalità con cui viene eseguito il trattamento dei propri dati, intendendosi per modalità non solo lo svolgimento delle concrete operazioni di raccolta e conservazione (ad esempio: registrazione su supporto magnetico o cartaceo, tempi di conservazione ed archiviazione) ma anche le eventuali attività di elaborazione (ad esempio, “incroci” ed aggregazioni di dati per la creazione di profili del consumatore e per fini statistici, elaborazione da parte di terzi).

Qualora i medesimi dati personali siano raccolti ed utilizzati per diverse finalità o siano sottoposti a diverse modalità di trattamento, tutte le diverse modalità di trattamento e le diverse finalità devono essere elencate e ben evidenziate nell’informativa per consentire all’interessato di scegliere se prestare il proprio consenso a tutti i trattamenti e per tutte le finalità o solo ad alcuni trattamenti o a parte delle operazioni di trattamento.

Infatti l’informativa non comporta alcun vincolo per il consumatore, il quale potrà anche decidere di non fornire i dati richiesti pur intendendo avvalersi dei vantaggi connessi all’utilizzo della carta fedeltà.

Sarà cura del soggetto predisponente l’informativa (ossia l’impresa distributrice) specificare se il conferimento dei dati sia o meno necessario per il perseguimento della finalità per la quale i dati sono raccolti.

Ai fini dell’acquisizione della “carta fedeltà”, nessun dato personale è obbligatorio.

Esistono invece dati qualificabili come necessari, perché dalla mancata acquisizione degli stessi discende l’impossibilità per l’impresa titolare del trattamento di raggiungere la finalità a cui il trattamento è preordinato.

L’informativa dovrà quindi contenere la descrizione dei dati necessari, e di quelli meramente facoltativi, intendendosi per dati facoltativi i dati che possono essere conferiti discrezionalmente dall’interessato.

Quest’indicazione permette al consumatore di valutare consapevolmente l’ampiezza del proprio consenso.

Ad esempio, se accanto ai dati anagrafici (necessari per l’evasione di un ordine e la consegna a domicilio della merce acquistata) venissero richieste informazioni in merito al titolo di studio o alla composizione del nucleo familiare, l’informativa dovrebbe specificare che questi ultimi dati non sono essenziali per ottenere la consegna a domicilio del prodotto acquistato, ma per altra finalità commerciale (che deve essere comunque specificata), quale la promozione di un nuovo prodotto.

In tal modo, l’interessato sarà posto nella condizione di esercitare la propria scelta circa la prestazione del consenso al trattamento dei dati “facoltativi”.

L’opzione esercitata dal consumatore muoverà anche dalla conoscenza delle conseguenze che comporta il rifiuto di rispondere o di fornire i propri dati.

Quest’indicazione (a cui è ulteriormente tenuto il soggetto che svolge il trattamento dei dati personali) è connessa alla natura necessaria o facoltativa dei dati raccolti.

Nell’ipotesi di conferimento necessario, il rifiuto avrà come conseguenza l’impossibilità di raggiungere la finalità del trattamento che, concretamente, potrebbe coincidere con la stessa espletazione del servizio richiesto dall’interessato (nell’esempio che si è riferito, l’impossibilità di procedere alla consegna a domicilio del prodotto acquistato).

Nel caso di raccolta di informazioni il cui conferimento è facoltativo e funzionale a mere finalità di marketing (nell’esempio sopra riportato, il titolo di studio o la composizione del nucleo familiare), la mancata indicazione di questi dati non comporterà normalmente alcuna conseguenza, quanto alle finalità a cui è preordinato l’utilizzo della “carta fedeltà”.

La mancata raccolta di questi dati non permetterà all’impresa titolare del trattamento di procedere ad un’analisi delle caratteristiche dei propri clienti, ma si pone come indifferente per il consumatore, il quale manterrà il diritto ad ottenere i servizi richiesti e connessi al possesso della carta di fidelizzazione.

L’inesistenza di conseguenze per il mancato conferimento dei dati facoltativi deve essere chiaramente illustrata nell’informativa da sottoporre all’interessato, il quale potrà decidere anche sulla base di queste indicazioni se prestare o meno il proprio consenso ed in quali limiti.

Il cliente potrebbe astrattamente ritenere più vantaggioso rinunciare alla propria riservatezza, ottenendone in cambio dall’impresa una pronta e sollecita informativa circa eventuali promozioni accordate in relazione ai prodotti prevalentemente acquistati.

Nella pratica commerciale si sono registrate diverse irregolarità nelle informative sottoscritte dai consumatori al momento del rilascio di “carte fedeltà”: la mancata trasparenza ha riguardato l’eccesso di dati raccolti rispetto alla finalità perseguita e l’incompletezza delle informazioni con conseguente impossibilità per il consumatore di esprimere liberamente il proprio consenso.

In due recenti interventi, l’Autorità Garante per la protezione dei dati personali ha inibito questo illecito trattamento.

Nel primo caso (Garante per la protezione dei dati personali, newsletter 5 febbraio 2008 n. 300), quattro società commerciali avevano distribuito “carte fedeltà” previa acquisizione di dati (quali titolo di studio, e-mail, professione esercitata, componenti del nucleo familiare) ritenuti non pertinenti ed eccedenti rispetto alla finalità cui era preordinata la carta fedeltà, ossia sconti, premi o bonus connessi al possesso ed all’utilizzo della carta.

L’Autorità Garante ne vietò quindi l’uso, ordinando alle società di cancellarli o renderli anonimi.

Altre irregolarità erano state riscontrate nelle informative fornite ai consumatori e nella raccolta del consenso.

Gli operatori commerciali furono invitati a riformulare l’informativa, sia nella forma cartacea che telematica, specificando in particolare quali dati fossero da considerarsi “obbligatori al momento dell’adesione al progetto” (cioè necessari ai fini dell’ottenimento dei servizi connessi all’utilizzo della carta) e quali facoltativi, nonché a chiarire il carattere discrezionale del consenso per l’autorizzazione all’uso dei dati per altre finalità (marketing, profilazione) ed infine precisare il contenuto dei diritti riconosciuti dalla normativa a favore del consumatore (accesso, rettifica, cancellazione).

In particolare, il Garante censurò le informative che non avrebbero consentito al consumatore di esprimere il proprio consenso in modo libero e consapevole: nei moduli esaminati, con un’unica firma il cliente aderiva al programma di fidelizzazione ma autorizzava l’utilizzo dei propri dati anche per finalità ulteriori (marketing e statistiche) rispetto a quelle a cui era connesso l’utilizzo della carta.

In una seconda occasione (Garante per la protezione dei dati personali, newsletter N. 306 del 21 maggio 2008) il Garante applicò molto severamente le sanzioni previste per il mancato rispetto delle norme che disciplinano il trattamento dei dati personali, infliggendo una sanzione pecuniaria nei riguardi di una nota catena di supermercati.

A quest’ultima fu inibito l’utilizzo dei dati già raccolti con le “fidelity card” offerte ai clienti, che avevano consentito di “scrutare il contenuto dei carrelli della spesa”, profilare consumatori inconsapevoli e sulla base dei loro gusti, scelte e volumi di spesa ed inviare, senza consenso, pubblicità per posta, e-mail o sms.

L’informativa distribuita ai clienti non precisava a quale uso sarebbero stati destinati i dati forniti al momento dell’adesione al programma di fidelizzazione: in particolare in essa non veniva specificato che i dati personali raccolti sarebbero stati utilizzati anche a fini di analisi delle abitudini, scelte di consumo e strategie di marketing.

In concreto, la società raccoglieva e elaborava, all’insaputa dei clienti, oltre a nome, cognome e volumi di spesa, anche professione, indirizzo mail, numero di cellulare, numero degli scontrini emessi, dettagli dei prodotti e l’esercizio dove erano stati acquistati.

Questa massa di informazioni permetteva all’impresa di costruire un profilo dettagliatissimo dei clienti, valutarne il grado di "fidelizzazione", classificarli in base ad un punteggio e verificare anche il loro posizionamento geografico presso i singoli punti vendita del territorio nazionale allo scopo di programmare campagne promozionali o inviare comunicazioni commerciali mirate.

Nel corso del procedimento svoltosi dinanzi all’autorità Garante, la società commerciale modificò il contenuto dell’informativa per la raccolta dei dati; ciò non le consentì di evitare comunque la sanzione, perché anche il nuovo modello predisposto fu giudicato irregolare in quanto non consentiva al cliente di esprimere liberamente un consenso separato per i diversi usi dei dati, condizionandoli all’apposizione di un’unica firma.

L’acquisizione di dati personali e l’attività di profilazione della clientela per finalità commerciali e di marketing non sono di per sé operazioni vietate dall’ordinamento: esse rappresentano infatti una delle possibili manifestazioni dell’attività d’impresa.

Ciò che l’ordinamento intende vietare è l’abusivo sfruttamento delle informazioni relative ai dati personali della clientela.

Tale abuso si verifica qualora il consumatore non abbia scelto liberamente e consapevolmente quali dati conferire e per quali finalità.

Il consenso “informato” del cliente si pone quindi come elemento discriminante in assenza del quale ogni attività connessa alla raccolta, all’elaborazione ed alla conservazione dei dati personali diviene illecita.

Tanto più ampio è l’utilizzo dei dati personali, tanto più accurata e specifica deve essere l’informazione fornita al cliente – consumatore.

Una strategia di marketing che attualmente gode di grande fortuna, specie nella grande distribuzione (per i noti profili di consumo di massa a cui si indirizza questo settore commerciale) consiste nell’utilizzo delle cosiddette carte fedeltà o tessere di fidelizzazione della clientela.

Si tratta di tessere (per lo più gratuite) rilasciate ai consumatori presso punti vendita, centri o esercizi commerciali, che comportano l’adesione del cliente ad un regolamento il cui contenuto appare il più vario nella prassi e nella fantasia degli operatori commerciali ma il cui scopo consiste sempre nell’attribuzione di vantaggi (sconti o premi) al cliente.

Il consumatore presta il proprio consenso al programma di attribuzione di un punteggio (calcolato sulla base del volume di spesa) che gli consentirà, una volta accumulati i punti stabiliti, di avvalersi del premio prescelto o di usufruire di uno sconto per la spesa successiva.

Dal canto proprio, le società commerciali che offrono tali carte o tessere elettroniche conseguono il vantaggio di apprendere svariate informazioni dalla propria clientela.

Sono i numerosi dati personali che vengono acquisiti attraverso la sottoscrizione dei moduli di adesione al programma contestualmente alla consegna della “tessera-fedeltà”.

Ulteriori dati relativi ai volumi di spesa, alla tipologia, alla quantità e al prezzo dei prodotti acquistati, agli sconti o buoni utilizzati, ai premi corrisposti ed ai punti accumulati sono non di rado acquisiti da parte delle stesse società o tramite terzi in relazione ai singoli acquisti effettuati.

Attraverso la valutazione incrociata dei dati acquisiti l’operatore commerciale è in condizione di comporre un vero e proprio profilo della propria clientela, mediante lo studio analitico delle abitudini e delle scelte di consumo degli interessati e dei loro gruppi familiari, in relazione – ad esempio - all’età, al luogo di residenza, al titolo di studio, alla professione esercitata.

Il vantaggio che consegue l’impresa distributrice è quindi strettamente connesso alla pianificazione delle proprie scelte promozionali: la mappatura del profilo dei consumatori rende possibile lo studio e la definizione di categorie o gruppi di consumatori per orientare opportunamente le strategie commerciali e di distribuzione dei prodotti, ed altresì per indirizzare l’invio di messaggi pubblicitari ad hoc.

Vi è inoltre il non secondario profilo che attiene alla costruzione di una strategia commerciale basata sull’instaurazione di relazioni fiduciarie con i clienti: in un contesto concorrenziale che evolve verso una progressiva saturazione del mercato, la relazione fiduciaria consente all’impresa una migliore pianificazione aziendale ed una maggiore competitività.

Ad esempio, è certamente meno costosa la relazione commerciale con il cliente già acquisito rispetto a quella riguardante il cliente da acquisire. Inoltre l’esistenza di un rapporto fiduciario consente di estendere il business a settori di attività ulteriori rispetto a quello per il quale il cliente è stato precedentemente acquisito.

In un contesto di globalizzazione del mercato, i consumatori ricercano partner commerciali che rivestano il ruolo di intermediari di fiducia, capaci di comprendere ed interpretare l’evoluzione dei propri comportamenti e delle abitudini di acquisto.

Le “carte fedeltà” rappresentano dunque una componente importante in questo tipo di operazioni, perché attraverso la soddisfazione della clientela (mediante incentivi, premi o sconti) consentono alle imprese di agire sulla dimensione comportamentale dei consumatori, mediante interventi che incidono ed orientano le scelte della clientela, di cui (grazie a quest’opera di profilazione) sono stati preventivamente individuate esigenze, ampiezza e tipologia.

Simili iniziative sono naturalmente lecite, ma poiché si fondano sul trattamento di una notevole quantità di informazioni di carattere personale, non possono prescindere dal rispetto delle norme dettate dal Codice in materia di protezione dei dati personali (decreto legislativo 196/2003).

Accanto a dati anagrafici e recapiti, al momento della consegna della tessera di fidelizzazione il cliente viene spesso invitato a fornire un corredo di informazioni supplementari relative alla propria persona ed al proprio stile di vita, al suo gruppo familiare o all’ambiente di lavoro; si tratta sovente di notizie non strettamente necessarie per attribuire i vantaggi connessi al possesso o all’utilizzo della carta.

E’ il caso, ad esempio, delle informazioni relative al titolo di studio, alla professione esercitata, agli interessi, alle modalità di impiego del tempo libero, alle preferenze, alle modalità di acquisto.

Consumatori, relativi nuclei familiari ed altre persone indicate come eventuali beneficiari dei vantaggi legati alla fidelizzazione sono quindi assoggettati ad un vero e proprio monitoraggio dettagliato.

Le notizie così acquisite vengono inserite all’interno di banche dati, e spesso raffrontate con i dati di altri clienti (ad esempio coloro che risiedono nel medesimo territorio, che rientrano in una determinata fascia d’età o che godono di un certo livello d’istruzione).

Le informazioni ottenute attraverso il monitoraggio delle modalità di acquisto (effettuato dal consumatore mediante l’utilizzo della carta fedeltà) consentono la definizione di profili individuali o di gruppo, con individuazione di segmenti di clientela aventi caratteristiche omogenee, di cui sono analizzate le propensioni al consumo.

A queste operazioni si aggiungono eventuali contatti diretti con la clientela per le attività di marketing, comunicazioni pubblicitarie, vendite dirette, indagini di mercato effettuate dal soggetto che rilascia la carta o, addirittura, da terzi.

In alcuni casi, l’acquisto di determinati beni o servizi può persino condurre alla raccolta di dati di natura sensibile, il cui trattamento non è neppure consentito per le finalità commerciali in questione.

I dati sensibili sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, le adesioni a partiti, sindacati, associazioni o organizzazioni a carattere religioso, i dati giudiziari, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

La raccolta delle informazioni relative al luogo di nascita di una persona potrebbe essere di per sé idonea a rivelarne l’origine etnica, la sottoscrizione di un abbonamento ad una rivista potrebbe far presumere l’orientamento politico o ideologico del cliente, persino la preferenza nell’acquisto di un particolari tipologie di alimenti potrebbe rivelare che l’acquirente soffre di determinate patologie.

Affinché la raccolta ed il trattamento dei dati personali sia svolto lecitamente, è necessario che queste attività siano svolte previa acquisizione del consenso dell’interessato: quest’ultimo deve essere pienamente ed agevolmente consapevole del concreto uso dei dati che lo riguardano e degli strumenti posti a difesa dei suoi diritti.

Spesso infatti le informazioni relative ai consumatori vengono trattate unitariamente, per finalità molto diverse tra loro che richiedono quindi modalità eterogenee di trattamento e conservazione.

Nella prassi commerciale, al contrario, la raccolta è spesso preceduta da un’informativa generica che descrive il relativo trattamento in modo superficiale e non adeguatamente distinto in relazione alla natura ed alla tipologia dei diversi dati raccolti.

L’articolo 23 del decreto legislativo 196/2003 stabilisce che il trattamento dei dati personali è consentito solo con il consenso espresso dell’interessato.

Il legislatore ha dunque inteso conferire validità all’operazione di raccolta e di trattamento dei dati personali solo in dipendenza di una manifestazione di volontà esplicita ed evidente da parte dell’interessato: il mero spontaneo conferimento dei dati personali non è quindi sufficiente ad avvalorare alcun consenso, potendo semmai valere come consenso implicito, considerato di per sé non idoneo dalla norma.

Valorizzando la portata ed il significato di questo principio, con provvedimento del 24 febbraio 2005 il Garante per la protezione dei dati personali ha tracciato le linee guida per un corretto uso dei dati personali dei clienti da parte delle società che rilasciano le c.d. “fidelity cards”.

In quel provvedimento l’Autorità Garante ribadì che il trattamento dei dati personali deve essere svolto in ossequio ai principi di necessità, liceità, correttezza, qualità dei dati, proporzionalità.

In applicazione del principio di necessità (articolo 3 Codice in materia di protezione dei dati personali), osserva il Garante, “i sistemi informativi e i programmi informatici devono essere configurati in modo da ridurre al minimo l’utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi”.

L’autorità Garante ha quindi individuato nell’attività di profilazione della clientela una potenziale invasività nella sfera della riservatezza del consumatore: le imprese sono dunque tenute ad adottare comportamenti che, nel perseguimento del fine di analisi e valutazione commerciale, escludano per quanto possibile l’eventualità di risalire all’identificazione del singolo cliente.

Ad esempio, la rilevazione statistica circa il gradimento di una determinata linea di prodotti presso il pubblico può essere utilmente svolta senza necessità di conoscere individualmente i singoli acquirenti.

Nel rispetto del principio di proporzionalità del trattamento, il legislatore richiede infatti che tutti i dati personali e le modalità del loro trattamento siano pertinenti e non eccedenti rispetto alle finalità perseguite (articolo 11 Codice in materia di protezione dei dati personali).

L’utilizzazione dei dati sensibili è inoltre considerata inammissibile per le finalità commerciali connesse con il rilascio delle carte fedeltà, fatta salva l’ipotesi in cui il trattamento dei dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato previamente autorizzato dal Garante, oltre che espressamente acconsentito per iscritto dall’interessato (si veda l’autorizzazione generale del Garante n. 5/2004 in Gazzetta Ufficiale n. 190 del 14 agosto 2004).

Accanto a queste linee di condotta esplicitamente indicate dall’autorità Garante, l’impresa commerciale che tratta i dati personali ai fini del rilascio delle carte fedeltà è tenuta ad uniformarsi ad un altro importante principio, sotteso all’articolo 13 del Codice in materia di protezione dei dati personali, ed afferente alla tipologia delle informazioni che l’interessato deve conoscere al momento in cui egli decide se prestare il proprio consenso al raccolta ed al trattamento dei dati personali.

Si tratta del principio di trasparenza.

Il legislatore ha infatti inteso assicurare che l’interessato sia reso edotto di una serie di informazioni che riguardano il trattamento dei dati da lui forniti, intendendosi per trattamento l’operazione di acquisizione, raccolta e conservazione dei dati personali.

Sulla base di quanto appreso dall’informativa rilasciatagli, l’interessato sarà dunque nella condizione di scegliere se conferire o meno i propri dati.

Il consumatore deve essere posto nella condizione di identificare chiaramente il soggetto che tratta i dati: se si tratta di persona giuridica, l’informativa dovrà contenere la denominazione completa e corretta dell’impresa che effettua il trattamento, l’identificazione della sede legale (e delle eventuali sedi operative), nonché ogni altro dato utile ad identificare il soggetto (codice fiscale o partita I.v.a.).

Deve essere inoltre specificato l’obiettivo perseguito con la raccolta dei dati, ossia la motivazione per la quale i dati sono raccolti.

Alcuni esempi di finalità di trattamento, ricavabili dalla pratica, possono essere i seguenti: oltre al rilascio di tessere fedeltà, evasione degli ordini ed emissione dei relativi documenti fiscali, invio di omaggi richiesti dal consumatore mediante raccolta di prove d’acquisto, invio di materiale pubblicitario o promozionale, in tal caso mediante specificazione delle modalità con cui verrà eseguito l’invio.

Il sottoscrittore della carta fedeltà deve essere inoltre informato in merito alle modalità con cui viene eseguito il trattamento dei propri dati, intendendosi per modalità non solo lo svolgimento delle concrete operazioni di raccolta e conservazione (ad esempio: registrazione su supporto magnetico o cartaceo, tempi di conservazione ed archiviazione) ma anche le eventuali attività di elaborazione (ad esempio, “incroci” ed aggregazioni di dati per la creazione di profili del consumatore e per fini statistici, elaborazione da parte di terzi).

Qualora i medesimi dati personali siano raccolti ed utilizzati per diverse finalità o siano sottoposti a diverse modalità di trattamento, tutte le diverse modalità di trattamento e le diverse finalità devono essere elencate e ben evidenziate nell’informativa per consentire all’interessato di scegliere se prestare il proprio consenso a tutti i trattamenti e per tutte le finalità o solo ad alcuni trattamenti o a parte delle operazioni di trattamento.

Infatti l’informativa non comporta alcun vincolo per il consumatore, il quale potrà anche decidere di non fornire i dati richiesti pur intendendo avvalersi dei vantaggi connessi all’utilizzo della carta fedeltà.

Sarà cura del soggetto predisponente l’informativa (ossia l’impresa distributrice) specificare se il conferimento dei dati sia o meno necessario per il perseguimento della finalità per la quale i dati sono raccolti.

Ai fini dell’acquisizione della “carta fedeltà”, nessun dato personale è obbligatorio.

Esistono invece dati qualificabili come necessari, perché dalla mancata acquisizione degli stessi discende l’impossibilità per l’impresa titolare del trattamento di raggiungere la finalità a cui il trattamento è preordinato.

L’informativa dovrà quindi contenere la descrizione dei dati necessari, e di quelli meramente facoltativi, intendendosi per dati facoltativi i dati che possono essere conferiti discrezionalmente dall’interessato.

Quest’indicazione permette al consumatore di valutare consapevolmente l’ampiezza del proprio consenso.

Ad esempio, se accanto ai dati anagrafici (necessari per l’evasione di un ordine e la consegna a domicilio della merce acquistata) venissero richieste informazioni in merito al titolo di studio o alla composizione del nucleo familiare, l’informativa dovrebbe specificare che questi ultimi dati non sono essenziali per ottenere la consegna a domicilio del prodotto acquistato, ma per altra finalità commerciale (che deve essere comunque specificata), quale la promozione di un nuovo prodotto.

In tal modo, l’interessato sarà posto nella condizione di esercitare la propria scelta circa la prestazione del consenso al trattamento dei dati “facoltativi”.

L’opzione esercitata dal consumatore muoverà anche dalla conoscenza delle conseguenze che comporta il rifiuto di rispondere o di fornire i propri dati.

Quest’indicazione (a cui è ulteriormente tenuto il soggetto che svolge il trattamento dei dati personali) è connessa alla natura necessaria o facoltativa dei dati raccolti.

Nell’ipotesi di conferimento necessario, il rifiuto avrà come conseguenza l’impossibilità di raggiungere la finalità del trattamento che, concretamente, potrebbe coincidere con la stessa espletazione del servizio richiesto dall’interessato (nell’esempio che si è riferito, l’impossibilità di procedere alla consegna a domicilio del prodotto acquistato).

Nel caso di raccolta di informazioni il cui conferimento è facoltativo e funzionale a mere finalità di marketing (nell’esempio sopra riportato, il titolo di studio o la composizione del nucleo familiare), la mancata indicazione di questi dati non comporterà normalmente alcuna conseguenza, quanto alle finalità a cui è preordinato l’utilizzo della “carta fedeltà”.

La mancata raccolta di questi dati non permetterà all’impresa titolare del trattamento di procedere ad un’analisi delle caratteristiche dei propri clienti, ma si pone come indifferente per il consumatore, il quale manterrà il diritto ad ottenere i servizi richiesti e connessi al possesso della carta di fidelizzazione.

L’inesistenza di conseguenze per il mancato conferimento dei dati facoltativi deve essere chiaramente illustrata nell’informativa da sottoporre all’interessato, il quale potrà decidere anche sulla base di queste indicazioni se prestare o meno il proprio consenso ed in quali limiti.

Il cliente potrebbe astrattamente ritenere più vantaggioso rinunciare alla propria riservatezza, ottenendone in cambio dall’impresa una pronta e sollecita informativa circa eventuali promozioni accordate in relazione ai prodotti prevalentemente acquistati.

Nella pratica commerciale si sono registrate diverse irregolarità nelle informative sottoscritte dai consumatori al momento del rilascio di “carte fedeltà”: la mancata trasparenza ha riguardato l’eccesso di dati raccolti rispetto alla finalità perseguita e l’incompletezza delle informazioni con conseguente impossibilità per il consumatore di esprimere liberamente il proprio consenso.

In due recenti interventi, l’Autorità Garante per la protezione dei dati personali ha inibito questo illecito trattamento.

Nel primo caso (Garante per la protezione dei dati personali, newsletter 5 febbraio 2008 n. 300), quattro società commerciali avevano distribuito “carte fedeltà” previa acquisizione di dati (quali titolo di studio, e-mail, professione esercitata, componenti del nucleo familiare) ritenuti non pertinenti ed eccedenti rispetto alla finalità cui era preordinata la carta fedeltà, ossia sconti, premi o bonus connessi al possesso ed all’utilizzo della carta.

L’Autorità Garante ne vietò quindi l’uso, ordinando alle società di cancellarli o renderli anonimi.

Altre irregolarità erano state riscontrate nelle informative fornite ai consumatori e nella raccolta del consenso.

Gli operatori commerciali furono invitati a riformulare l’informativa, sia nella forma cartacea che telematica, specificando in particolare quali dati fossero da considerarsi “obbligatori al momento dell’adesione al progetto” (cioè necessari ai fini dell’ottenimento dei servizi connessi all’utilizzo della carta) e quali facoltativi, nonché a chiarire il carattere discrezionale del consenso per l’autorizzazione all’uso dei dati per altre finalità (marketing, profilazione) ed infine precisare il contenuto dei diritti riconosciuti dalla normativa a favore del consumatore (accesso, rettifica, cancellazione).

In particolare, il Garante censurò le informative che non avrebbero consentito al consumatore di esprimere il proprio consenso in modo libero e consapevole: nei moduli esaminati, con un’unica firma il cliente aderiva al programma di fidelizzazione ma autorizzava l’utilizzo dei propri dati anche per finalità ulteriori (marketing e statistiche) rispetto a quelle a cui era connesso l’utilizzo della carta.

In una seconda occasione (Garante per la protezione dei dati personali, newsletter N. 306 del 21 maggio 2008) il Garante applicò molto severamente le sanzioni previste per il mancato rispetto delle norme che disciplinano il trattamento dei dati personali, infliggendo una sanzione pecuniaria nei riguardi di una nota catena di supermercati.

A quest’ultima fu inibito l’utilizzo dei dati già raccolti con le “fidelity card” offerte ai clienti, che avevano consentito di “scrutare il contenuto dei carrelli della spesa”, profilare consumatori inconsapevoli e sulla base dei loro gusti, scelte e volumi di spesa ed inviare, senza consenso, pubblicità per posta, e-mail o sms.

L’informativa distribuita ai clienti non precisava a quale uso sarebbero stati destinati i dati forniti al momento dell’adesione al programma di fidelizzazione: in particolare in essa non veniva specificato che i dati personali raccolti sarebbero stati utilizzati anche a fini di analisi delle abitudini, scelte di consumo e strategie di marketing.

In concreto, la società raccoglieva e elaborava, all’insaputa dei clienti, oltre a nome, cognome e volumi di spesa, anche professione, indirizzo mail, numero di cellulare, numero degli scontrini emessi, dettagli dei prodotti e l’esercizio dove erano stati acquistati.

Questa massa di informazioni permetteva all’impresa di costruire un profilo dettagliatissimo dei clienti, valutarne il grado di "fidelizzazione", classificarli in base ad un punteggio e verificare anche il loro posizionamento geografico presso i singoli punti vendita del territorio nazionale allo scopo di programmare campagne promozionali o inviare comunicazioni commerciali mirate.

Nel corso del procedimento svoltosi dinanzi all’autorità Garante, la società commerciale modificò il contenuto dell’informativa per la raccolta dei dati; ciò non le consentì di evitare comunque la sanzione, perché anche il nuovo modello predisposto fu giudicato irregolare in quanto non consentiva al cliente di esprimere liberamente un consenso separato per i diversi usi dei dati, condizionandoli all’apposizione di un’unica firma.

L’acquisizione di dati personali e l’attività di profilazione della clientela per finalità commerciali e di marketing non sono di per sé operazioni vietate dall’ordinamento: esse rappresentano infatti una delle possibili manifestazioni dell’attività d’impresa.

Ciò che l’ordinamento intende vietare è l’abusivo sfruttamento delle informazioni relative ai dati personali della clientela.

Tale abuso si verifica qualora il consumatore non abbia scelto liberamente e consapevolmente quali dati conferire e per quali finalità.

Il consenso “informato” del cliente si pone quindi come elemento discriminante in assenza del quale ogni attività connessa alla raccolta, all’elaborazione ed alla conservazione dei dati personali diviene illecita.

Tanto più ampio è l’utilizzo dei dati personali, tanto più accurata e specifica deve essere l’informazione fornita al cliente – consumatore.