Fidelity card e tutela della privacy: indicazioni operative per evitare sanzioni
I programmi di fidelizzazione a favore della clientela costituiscono, essenzialmente, un’operazione di marketing in senso lato, essendone lo scopo ultimo quello, appunto, di fidelizzare il cliente, premiandone la fedeltà con il riconoscimento di particolari vantaggi (sconti per l’acquisto di prodotti, premi, facilitazioni, ecc.).
Come noto, il rilascio e l’utilizzazione delle “fidelity card” comportano un trattamento di dati personali dell’interessato.
Data la continua espansione del fenomeno in esame, e le molteplici segnalazioni ricevute in merito, il Garante ha prescritto ai titolari del trattamento l’adozione di alcune misure per conformare i trattamenti dei dati raccolti alle disposizioni di legge in materia di protezione dei dati personali.
Dette prescrizioni hanno ad oggetto le carte in termini generali e, dunque, prescindono dal fatto che queste siano rilasciate gratuitamente o meno, presso esercizi commerciali oppure on-line, nominativamente ovvero assegnando un codice identificativo o che esse attribuiscano punti al raggiungimento di un determinato volume di spesa o meno.
Molti dei principi che il Garante ricorda hanno portata generale; emblematico, in relazione a questo profilo, il monito dell’Authority a che il trattamento si svolga nel rispetto dei principi di necessità, liceità, correttezza, qualità e proporzionalità di cui agli artt. 3 e 11 del Codice.
Ricorre frequentemente, in particolare, il richiamo al principio di proporzionalità, in ossequio al quale i dati raccolti e le relative modalità di trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Il monito non pare casuale, atteso che in sede di rilascio delle tessere, accanto a dati anagrafici e recapiti, sono spesso richieste altre informazioni, relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi correlati alla titolarità della carta (titolo di studio, professione, interessi, modalità e frequenza di spesa, ecc.).
Quanto precede poiché la fidelizzazione in senso stretto non è l’unica finalità che di norma si prefigge chi gestisce le fidelity card.
Il Garante, infatti, ha individuato e distinto tre finalità peculiari che possono essere perseguite con il trattamento dei dati dei clienti fidelizzati:
- la fidelizzazione in senso stretto, ovvero l’attribuzione di vantaggi connessi alla carta;
- la profilazione, ossia la creazione di profili mediante l’analisi di abitudini e di scelte di consumo del cliente;
- il marketing diretto, inteso come l’invio di materiale pubblicitario o di comunicazioni commerciali.
Alcune note in ordine alle suddette finalità, in via di estrema semplificazione.
Riguardo alla fidelizzazione in senso stretto, il Garante prescrive che il trattamento sia limitato ai dati necessari per attribuire i vantaggi connessi alla titolarità della carta, e, quindi, essenzialmente, ai dati anagrafici ed a quelli relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti o servizi).
Laddove, quindi, il titolare intenda svolgere esclusivamente attività di fidelizzazione, la raccolta dei dati relativi al cliente che richiede il rilascio della carta dovrà limitarsi a quelli sopra indicati, risultando eventuali ulteriori dati (per esempio professione, titolo di studio, ecc.) non pertinenti alla finalità perseguita e dichiarata.
Non sfugge al Garante che gli intestatari delle carte e, talora, anche i relativi nuclei familiari sono spesso monitorati in dettaglio nelle loro abitudini di spesa, ad opera di soggetti che definiscono propensioni al consumo e profili, individuali o di gruppo (trattasi, in quest’ultima ipotesi, di segmenti di clientela aventi caratteristiche omogenee, cd. cluster).
Per poter svolgere anche detta attività (la profilazione della clientela, appunto) il titolare deve adempiere all’obbligo di notificazione del trattamento al Garante, salva la necessità di acquisire il consenso specifico al trattamento per tale fine.
Come già rilevato, i dati relativi ai clienti possono essere utilizzati, infine, per l’invio di materiale pubblicitario o di comunicazioni commerciali o per la vendita diretta.
Ciò, tuttavia, può avvenire solamente se il titolare, dopo aver previamente informato il cliente, ne abbia acquisito il consenso al trattamento per lo scopo indicato, rispettando, in ogni caso, il principio generale di proporzionalità.
Fa eccezione l’ipotesi che la campagna di e-mail marketing sia posta in essere ai sensi dell’art.130.4 del Codice.
Ed invero, alla luce della disposizione di legge testè citata, il titolare del trattamento che utilizzi, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, qualora si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso (inizialmente o in occasione di successive comunicazioni).
Un’annotazione al riguardo.
Il tenore letterale del comma in esame esclude che detta previsione sia applicabile anche al caso il cui il cliente sia una persona giuridica. Il precetto, infatti, si riferisce unicamente all’interessato, e tale è solo la persona fisica.
Applicata alla lettera, la norma conduce ad un paradosso.
Nell’economia complessiva del Codice, la persona fisica gode di maggiori tutele rispetto a quella giuridica, atteso che i dati delle persone giuridiche, in linea di principio, non sono dati personali agli effetti della legislazione in tema di data protection (e, come tali, detti sono liberamente utilizzabili).
Nell’ipotesi di e-mail marketing nei confronti di soggetti già clienti, tuttavia, la persona fisica-interessato è maggiormente esposta all’invio di comunicazioni commerciali rispetto alla persona giuridica.
Nel primo caso, infatti, vige un regime di opt-out, seppure condizionato al rispetto dei criteri stabiliti dal comma 4; nel secondo, invece, anche se già cliente del titolare, la persona giuridica non potrebbe ricevere comunicazioni commerciali a mezzo e-mail, se non espressamente autorizzate (in ossequio alla regola dell’opt-in).
Si è certamente trattato di una svista e di un difetto di coordinamento: all’evidenza il legislatore, dopo aver modificato il termine “interessato” con “contraente-utente” al comma 1 dell’art.130 del Codice, non si è curato di intervenire parimenti al successivo comma 4, dove il vocabolo “interessato” tale è rimasto.
Ciò chiarito, preme rilevare che prima del conferimento dei dati e del rilascio della carta deve essere fornita all’interessato un’informativa chiara e completa.
Detta può utilizzare formule sintetiche e colloquiali, purchè inequivoche.
In verità molte informative, per il tenore letterale, manifestano diverse carenze, che le rendono inidonee a rappresentare, in modo agevole e trasparente, i tratti caratterizzanti del trattamento effettuato.
L’adesione al programma di fidelizzazione (ed eventualmente alle ulteriori attività di profilazione ed iniziative di marketing) deve essere, da parte degli interessato, pienamente consapevole.
Nel rispetto del principio di correttezza, pertanto, tutti gli elementi richiesti dall’art. 13 del Codice vanno rappresentati in modo puntuale.
Quanto alla tecnica redazionale da utilizzare, è stato precisato che l’informativa inserita all’interno di moduli deve essere adeguatamente evidenziata, e collocata in modo autonomo e unitario in un apposito riquadro.
In particolare, vanno poste in specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di cedere a terzi i dati personali raccolti (per finalità, peraltro, da indicare partitamente).
Ed ancora, parimenti nota all’interessato deve essere l’eventuale comunicazione dei suoi dati da parte del titolare a partners nello svolgimento di programmi di fidelizzazione (ciò accade, tipicamente, ove è data la possibilità di convertire gli “accrediti” maturati).
Altrettanto evidente, infine, deve risultare la circostanza che, per profilazione e marketing, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività correlate alla fidelizzazione in senso stretto (per svolgere la quale il titolare dovrà informare il cliente, ma senza acquisirne il consenso: si tratta, infatti, di dati necessari a dare esecuzione ad un contratto, quale è “il regolamento” che il cliente deve accettare per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi, per i quali vale l’esonero previsto dall’art. 24 del Codice).
In altre parole, poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto “è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato” (come recita, appunto, l’art.24 del Codice) non è corretto, in tal caso, sollecitare il consenso al trattamento dei dati.
Ma attenzione: ogni altra finalità perseguibile a mezzo dei dati raccolti (e, quindi, profilazione da un lato, e marketing dall’altro) necessita del consenso dell’interessato che, come per legge, deve essere specifico, informato e distinto per ciascuna di esse.
E libero, come già osservato: precisa, al riguardo, il Garante che non può definirsi libero, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l’interessato deve prestare accettando, quale condizione per conseguire i vantaggi correlati alla carta, l’utilizzo dei propri dati per attività di profilazione o di marketing.
Il precetto, per il vero, non è sempre seguito. Altro errore piuttosto diffuso consiste nel realizzare i campi per la raccolta on-line delle distinte manifestazioni di consenso pre-selezionando, con apposito “flag”, la relativa voce. In tale ultimo caso, il consenso non è espresso, come richiesto dal Codice, in quanto l’inerzia in sede di sottoscrizione non soddisfa detto requisito.
Anche la tempistica di conservazione dei dati raccolti non è rimessa al caso, essendo tenuti i titolari del trattamento ad indicare nell’informativa i termini massimi di tenuta.
In applicazione di un principio generale cui è informato ogni trattamento del dato, la regola aurea è chiara: i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono trattati devono essere cancellati o trasformati in forma anonima.
In ogni caso, ammonisce il Garante, i dati relativi al dettaglio degli acquisti di clienti identificabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici mesi e a ventiquattro mesi.
Ciò a dire che i dati raccolti per scopi diversi dalla fidelizzazione in senso stretto, come, appunto, quelli acquisiti a fini di profilazione o di marketing, vanno cancellati dopo un anno e dopo due anni.
Quanto fin qui esposto costituisce una sintesi, per brevi cenni, del regime giuridico di un programma di fidelizzazione in punto privacy; per completezza, va rilevato che detto programma, in considerazione dei vantaggi riservati ai propri aderenti, può integrare una fattispecie di manifestazione a premi, come tale disciplinata dal DPR 430/01. Ma ciò, per l’appunto, esula dalla tematica in esame.
I programmi di fidelizzazione a favore della clientela costituiscono, essenzialmente, un’operazione di marketing in senso lato, essendone lo scopo ultimo quello, appunto, di fidelizzare il cliente, premiandone la fedeltà con il riconoscimento di particolari vantaggi (sconti per l’acquisto di prodotti, premi, facilitazioni, ecc.).
Come noto, il rilascio e l’utilizzazione delle “fidelity card” comportano un trattamento di dati personali dell’interessato.
Data la continua espansione del fenomeno in esame, e le molteplici segnalazioni ricevute in merito, il Garante ha prescritto ai titolari del trattamento l’adozione di alcune misure per conformare i trattamenti dei dati raccolti alle disposizioni di legge in materia di protezione dei dati personali.
Dette prescrizioni hanno ad oggetto le carte in termini generali e, dunque, prescindono dal fatto che queste siano rilasciate gratuitamente o meno, presso esercizi commerciali oppure on-line, nominativamente ovvero assegnando un codice identificativo o che esse attribuiscano punti al raggiungimento di un determinato volume di spesa o meno.
Molti dei principi che il Garante ricorda hanno portata generale; emblematico, in relazione a questo profilo, il monito dell’Authority a che il trattamento si svolga nel rispetto dei principi di necessità, liceità, correttezza, qualità e proporzionalità di cui agli artt. 3 e 11 del Codice.
Ricorre frequentemente, in particolare, il richiamo al principio di proporzionalità, in ossequio al quale i dati raccolti e le relative modalità di trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.
Il monito non pare casuale, atteso che in sede di rilascio delle tessere, accanto a dati anagrafici e recapiti, sono spesso richieste altre informazioni, relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi correlati alla titolarità della carta (titolo di studio, professione, interessi, modalità e frequenza di spesa, ecc.).
Quanto precede poiché la fidelizzazione in senso stretto non è l’unica finalità che di norma si prefigge chi gestisce le fidelity card.
Il Garante, infatti, ha individuato e distinto tre finalità peculiari che possono essere perseguite con il trattamento dei dati dei clienti fidelizzati:
- la fidelizzazione in senso stretto, ovvero l’attribuzione di vantaggi connessi alla carta;
- la profilazione, ossia la creazione di profili mediante l’analisi di abitudini e di scelte di consumo del cliente;
- il marketing diretto, inteso come l’invio di materiale pubblicitario o di comunicazioni commerciali.
Alcune note in ordine alle suddette finalità, in via di estrema semplificazione.
Riguardo alla fidelizzazione in senso stretto, il Garante prescrive che il trattamento sia limitato ai dati necessari per attribuire i vantaggi connessi alla titolarità della carta, e, quindi, essenzialmente, ai dati anagrafici ed a quelli relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti o servizi).
Laddove, quindi, il titolare intenda svolgere esclusivamente attività di fidelizzazione, la raccolta dei dati relativi al cliente che richiede il rilascio della carta dovrà limitarsi a quelli sopra indicati, risultando eventuali ulteriori dati (per esempio professione, titolo di studio, ecc.) non pertinenti alla finalità perseguita e dichiarata.
Non sfugge al Garante che gli intestatari delle carte e, talora, anche i relativi nuclei familiari sono spesso monitorati in dettaglio nelle loro abitudini di spesa, ad opera di soggetti che definiscono propensioni al consumo e profili, individuali o di gruppo (trattasi, in quest’ultima ipotesi, di segmenti di clientela aventi caratteristiche omogenee, cd. cluster).
Per poter svolgere anche detta attività (la profilazione della clientela, appunto) il titolare deve adempiere all’obbligo di notificazione del trattamento al Garante, salva la necessità di acquisire il consenso specifico al trattamento per tale fine.
Come già rilevato, i dati relativi ai clienti possono essere utilizzati, infine, per l’invio di materiale pubblicitario o di comunicazioni commerciali o per la vendita diretta.
Ciò, tuttavia, può avvenire solamente se il titolare, dopo aver previamente informato il cliente, ne abbia acquisito il consenso al trattamento per lo scopo indicato, rispettando, in ogni caso, il principio generale di proporzionalità.
Fa eccezione l’ipotesi che la campagna di e-mail marketing sia posta in essere ai sensi dell’art.130.4 del Codice.
Ed invero, alla luce della disposizione di legge testè citata, il titolare del trattamento che utilizzi, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, qualora si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso (inizialmente o in occasione di successive comunicazioni).
Un’annotazione al riguardo.
Il tenore letterale del comma in esame esclude che detta previsione sia applicabile anche al caso il cui il cliente sia una persona giuridica. Il precetto, infatti, si riferisce unicamente all’interessato, e tale è solo la persona fisica.
Applicata alla lettera, la norma conduce ad un paradosso.
Nell’economia complessiva del Codice, la persona fisica gode di maggiori tutele rispetto a quella giuridica, atteso che i dati delle persone giuridiche, in linea di principio, non sono dati personali agli effetti della legislazione in tema di data protection (e, come tali, detti sono liberamente utilizzabili).
Nell’ipotesi di e-mail marketing nei confronti di soggetti già clienti, tuttavia, la persona fisica-interessato è maggiormente esposta all’invio di comunicazioni commerciali rispetto alla persona giuridica.
Nel primo caso, infatti, vige un regime di opt-out, seppure condizionato al rispetto dei criteri stabiliti dal comma 4; nel secondo, invece, anche se già cliente del titolare, la persona giuridica non potrebbe ricevere comunicazioni commerciali a mezzo e-mail, se non espressamente autorizzate (in ossequio alla regola dell’opt-in).
Si è certamente trattato di una svista e di un difetto di coordinamento: all’evidenza il legislatore, dopo aver modificato il termine “interessato” con “contraente-utente” al comma 1 dell’art.130 del Codice, non si è curato di intervenire parimenti al successivo comma 4, dove il vocabolo “interessato” tale è rimasto.
Ciò chiarito, preme rilevare che prima del conferimento dei dati e del rilascio della carta deve essere fornita all’interessato un’informativa chiara e completa.
Detta può utilizzare formule sintetiche e colloquiali, purchè inequivoche.
In verità molte informative, per il tenore letterale, manifestano diverse carenze, che le rendono inidonee a rappresentare, in modo agevole e trasparente, i tratti caratterizzanti del trattamento effettuato.
L’adesione al programma di fidelizzazione (ed eventualmente alle ulteriori attività di profilazione ed iniziative di marketing) deve essere, da parte degli interessato, pienamente consapevole.
Nel rispetto del principio di correttezza, pertanto, tutti gli elementi richiesti dall’art. 13 del Codice vanno rappresentati in modo puntuale.
Quanto alla tecnica redazionale da utilizzare, è stato precisato che l’informativa inserita all’interno di moduli deve essere adeguatamente evidenziata, e collocata in modo autonomo e unitario in un apposito riquadro.
In particolare, vanno poste in specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di cedere a terzi i dati personali raccolti (per finalità, peraltro, da indicare partitamente).
Ed ancora, parimenti nota all’interessato deve essere l’eventuale comunicazione dei suoi dati da parte del titolare a partners nello svolgimento di programmi di fidelizzazione (ciò accade, tipicamente, ove è data la possibilità di convertire gli “accrediti” maturati).
Altrettanto evidente, infine, deve risultare la circostanza che, per profilazione e marketing, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività correlate alla fidelizzazione in senso stretto (per svolgere la quale il titolare dovrà informare il cliente, ma senza acquisirne il consenso: si tratta, infatti, di dati necessari a dare esecuzione ad un contratto, quale è “il regolamento” che il cliente deve accettare per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi, per i quali vale l’esonero previsto dall’art. 24 del Codice).
In altre parole, poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto “è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato” (come recita, appunto, l’art.24 del Codice) non è corretto, in tal caso, sollecitare il consenso al trattamento dei dati.
Ma attenzione: ogni altra finalità perseguibile a mezzo dei dati raccolti (e, quindi, profilazione da un lato, e marketing dall’altro) necessita del consenso dell’interessato che, come per legge, deve essere specifico, informato e distinto per ciascuna di esse.
E libero, come già osservato: precisa, al riguardo, il Garante che non può definirsi libero, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l’interessato deve prestare accettando, quale condizione per conseguire i vantaggi correlati alla carta, l’utilizzo dei propri dati per attività di profilazione o di marketing.
Il precetto, per il vero, non è sempre seguito. Altro errore piuttosto diffuso consiste nel realizzare i campi per la raccolta on-line delle distinte manifestazioni di consenso pre-selezionando, con apposito “flag”, la relativa voce. In tale ultimo caso, il consenso non è espresso, come richiesto dal Codice, in quanto l’inerzia in sede di sottoscrizione non soddisfa detto requisito.
Anche la tempistica di conservazione dei dati raccolti non è rimessa al caso, essendo tenuti i titolari del trattamento ad indicare nell’informativa i termini massimi di tenuta.
In applicazione di un principio generale cui è informato ogni trattamento del dato, la regola aurea è chiara: i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono trattati devono essere cancellati o trasformati in forma anonima.
In ogni caso, ammonisce il Garante, i dati relativi al dettaglio degli acquisti di clienti identificabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici mesi e a ventiquattro mesi.
Ciò a dire che i dati raccolti per scopi diversi dalla fidelizzazione in senso stretto, come, appunto, quelli acquisiti a fini di profilazione o di marketing, vanno cancellati dopo un anno e dopo due anni.
Quanto fin qui esposto costituisce una sintesi, per brevi cenni, del regime giuridico di un programma di fidelizzazione in punto privacy; per completezza, va rilevato che detto programma, in considerazione dei vantaggi riservati ai propri aderenti, può integrare una fattispecie di manifestazione a premi, come tale disciplinata dal DPR 430/01. Ma ciò, per l’appunto, esula dalla tematica in esame.
