Richiedi una consulenza in studio gratuita!

Fidelity card e privacy


Come possiamo tutelare e proteggere i nostri dati personali?
Fidelity card e privacy

Ormai ogni esercizio commerciale, sia una linea di supermercati oppure un negozio di abbigliamento, propone alla propria clientela la cosiddetta e famigerata fidelity card, promettendo in questo modo “trattamenti” particolari costituiti da  “scontistiche” ed altre attività promozionali. 

La sottoscrizione di tali “tessere” è pressoché sempre gratuita tuttavia tale carattere di gratuità fa nascere l’interrogativo su quale sia il vero “bene” negoziato. Si può concludere che la risposta a tale domanda, il più delle volte è: il dato personale.

Contando infatti sulla mancata consapevolezza della clientela, le carte fedeltà sono come “il cavallo di Troia” di attività di profilazione della clientela circa le abitudini e i comportamenti di quest’ultima. Infatti, con i programmi di fidelizzazione, le grandi società si prefiggono due finalità legate alla profilazione medesima e al marketing diretto. 

Con questo articolo si vogliono indicare le modalità con cui le autorità preposte hanno inteso proteggere i nostri dati personali.

1. Emanazione delle linee Guida

Ben prima dell’entrata in vigore del GDPR, il Garante Privacy, aveva trattato questo argomento delineando, nel 2005, la disciplina relativa attraverso l’emanazione de “Linee guida da osservare nel trattamento di dati nell’ambito di programmi di fidelizzazione

In tale provvedimento, il Garante, distingue tre finalità che possono essere perseguite con il trattamento dei dati dei clienti: la fidelizzazione vera e propria, la profilazione ed il marketing diretto.  Si afferma infatti che:

  • Per quanto riguarda la fidelizzazione, viene stabilito che possono essere trattati, senza che sia necessario acquisire il consenso dell´interessato, solo dati necessari per attribuire i vantaggi connessi all´utilizzo della carta, cioè dati per consentire l´identificazione dell´intestatario e, di regola, i dati relativi al volume di spesa globale realizzato, senza riferimento al dettaglio dei singoli prodotti acquistati.

  • Per l´attività di profilazione, invece, occorre il consenso dell´interessato per il trattamento delle informazioni relative agli acquisti effettuati. Non è lecito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute.

  • Riguardo all´attività di marketing possono essere raccolti, sempre con il consenso dell´interessato, i dati necessari all´invio di materiale pubblicitario o di comunicazioni commerciali.

Si specifica, inoltre, che l’uso dei dati personali deve dettagliatamente essere portato a conoscenza del cliente “in maniera chiara e completa” e “tenendo conto delle diverse finalità perseguite.” 

L´informativa al cliente deve essere chiaramente distinta e facilmente ravvisabile rispetto alle altre clausole contrattuali. Dovrà, in particolar modo essere posta in evidenza una possibile attività di profilazione o di marketing ponendo in evidenza che nel caso di questi ultimi, il conferimento dei dati e il consenso dovranno esser liberi e facoltativi.

2. Cosa accade dopo l’entrata in vigore del GDPR?

A seguito all’entrata in vigore del GDPR si è assistito ad un ulteriore rafforzamento delle tutele previste per i dati personali: si richiede infatti che questi ultimi debbano essere trattati secondo i principi di liceità, correttezza, trasparenza, limitazione della finalità, limitazione del trattamento, minimizzazione, esattezza, integrità e riservatezza stabiliti dall’art. 5 del GDPR.

Riguardo il principio di liceità, si indica che il trattamento dei dati di clienti per programmi di fidelizzazione e/o concorsi a premi risponde a finalità contrattuali e/o para-contrattuali. Questo comporta che per tali casi non è richiesta l’acquisizione del consenso da parte dell’interessato. Al contrario per le finalità di marketing diretto o di profilazione, il consenso è invece necessariamente richiesto. 

Assume rilevanza, riguardo il principio di minimizzazione del trattamento, la circostanza per la quale possano essere raccolti unicamente i dati necessari per il raggiungimento finalizzato allo scopo (emissione e utilizzo della fidelity card). Questo significa che potranno essere utilizzati esclusivamente dati anagrafici e, casomai, dati relativi al volume di spesa globale progressivamente realizzato ma non altri dati quali titolo di studio, professione svolta, ecc.

Altro “tema” in primo piano è quello della limitazione nel tempo della conservazione dei dati che dovrà tener presente di quanto disposto dall’art. 5 par. 1 lett. e) del Regolamento UE n. 679/2016, secondo il quale“i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per i quali sono trattati”. 

Va rammentato anche quanto affermato attraverso il considerando 39 del suddetto Reg. UE. In questo caso, assieme al principio sopra ricordato si dispone che “onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica”. La necessità di verifiche periodiche è necessaria soprattutto per la conservazione dei dati ai fini del marketing

Per questi casi il Garante si è mosso tenendo presenti le finalità del trattamento alla luce del ben noto principio di accountabilityIn particolare il Garante aveva espresso parere positivo in ordine alla richiesta di alcune aziende operanti nel campo della moda dei prodotti di lusso, di conservare i dati per finalità di profilazione anche oltre il termine canonico di 12 e 24 mesi, arrivando anche fino a 10 anni.

Quanto, poi, all’esercizio dei diritti da parte dell’interessato il GDPR prevede che il Titolare del trattamento abbia l’onere di garantire il relativo diritto in materia di accesso ai dati personali (ai sensi dell’art. 15 GDPR); rettifica dei dati personali rilevatisi inesatti (ai sensi dell’art. 16 GDPR); cancellazione dei dati (ai sensi dell’art. 17 GDPR); limitazione del trattamento (ai sensi dell’art. 18 GDPR); opposizione, in tutto o in parte, per motivi legittimi al trattamento dei dati personali anche se inerenti pertinenti alle finalità della raccolta e opposizione al trattamento effettuato per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (ai sensi dell’art. 21 GDPR); portabilità dei dati (art. 20 GDPR).

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Green Pass e privacy: un matrimonio discusso ma felice

Il Green Pass è un pericolo per la protezione dei dati personali in ambito sanitario?

Continua

Privacy e storie di password

Password: come formularle? Cosa si rischia per il loro uso improprio? In questo articolo proponiamo suggerimenti ed esempi tratti dalla Giurisprudenza

Continua

Privacy e videosorveglianza nei condomini

Come armonizzare l’esigenza di riservatezza e privacy con l’utilizzo dei sistemi di videosorveglianza all’interno dei condomini

Continua

Green Pass e privacy sul lavoro

Consegna di copia della certificazione verde per i lavoratori del settore pubblico e privato: quali sono le perplessità relative alla privacy

Continua

Privacy e cyberbullismo: scenari e ambiti di applicazione

Come la regolamentazione privacy si integra nella tutela del minore vittima di cyberbullismo

Continua

Privacy e diritto di difesa

Il datore di lavoro, per esercitare il proprio diritto alla difesa, estrae documenti contenenti dati personali dal PC aziendale del dipendente. Può farlo?

Continua

Privacy e Green Pass: ennesima puntata

Quando è necessario il “Green Pass Rafforzato”?

Continua

“Diritto all'oblio”, privacy on web

Quali sono le responsabilità dei web provider? Riportiamo una sentenza esemplare

Continua

Telemarketing selvaggio e privacy

Quali sono i nuovi strumenti di difesa? Le ultime novità proposte dal Garante

Continua

Ahi ahi la privacy! Cosa si rischia in caso di violazioni

Breve guida sui rischi sanzionatori a carico di chi fa un uso scorretto dei dati personali

Continua

“Phishing”, la “Pesca” dei nostri dati personali

In cosa consiste e come evitare spiacevoli furti della nostra privacy!

Continua

Anagrafe nazionale degli assistiti: step privacy in ambito sanitario

Anagrafe nazionale degli assistiti: cos'è e come funziona e il potenziamento del Fascicolo sanitario elettronico

Continua

Cosa sono i “Cookie” e quale è il loro impatto sulla privacy?

Cosa sono i famigerati “Cookie” e quale è la loro importanza circa un corretto utilizzo in materia di privacy?

Continua

Privacy, minori e new tecnology

I rischi di un uso “inconsapevole” degli strumenti della nuova tecnologia da parte dei minori e possibilità di tutela

Continua

Diritto di cronaca ed esercizio della privacy

Quali sono i limiti per l'esercizio del diritto di cronaca? Qual è il rapporto con la privacy e quali i criteri per bilanciare le rispettive esigenze?

Continua

Qualcuno ha violato la tua privacy?

Contatta il Garante…Presenta un Reclamo…fai così!

Continua

Privacy Vs. trasparenza amministrativa 1-0

Cosa accade quando le “esigenze” di privacy in materia sanitaria si scontrano con quelle legate alla trasparenza amministrativa

Continua

Il caso Tik Tok: la base giuridica del consenso al trattamento del dato

Come di riconosce il presupposto giuridico che rende il trattamento lecito

Continua

Servizio di geolocalizzazione e privacy

La valutazione di impatto nel trattamento dei dati nella giurisprudenza amministrativa

Continua

Privacy e video sorveglianza, un caso sempre aperto

Tutela alla sicurezza per il proprietario di un immobile o privacy del vicino di casa? Questo è il problema...

Continua

Privacy in ambito sanitario

Mancato aggiornamento dei dati personali delle piattaforme per l'invio di informazioni ai pazienti e sanzione del garante

Continua

Condominio e possibili violazioni di privacy

L’affissione dell’ordine del giorno dell'assemblea nell’androne condominiale e possibile violazione dei dati personali

Continua

Videosorveglianza e Smart Cities: il Garante della Privacy dice Stop

Ancora una volta l’attenzione del Garante si è indirizzata verso i sistemi di videosorveglianza intelligente

Continua

Telefonate mute: come tutelarsi?

Ecco quali sono le tutele previste dal Garante della Privacy

Continua

Video Sorveglianza e privacy, telecamere in un bar

Telecamere in un bar: tutela del lavoratore, obbligo di informativa e accordo sindacale

Continua

Privacy, Algoritmo e Intelligenza Artificiale

Spunti di discussione dalla Corte di Cassazione

Continua

Dati personali, è possibile conoscere l'identità del terzo a cui sono stati comunicati?

La Corte di Giustizia Europea si è espressa in merito ai diritti dell'interessato e la facoltà dei titolari del trattamento

Continua

La privacy non concede deroghe alla pubblicità

Il regime di pubblicità non giustifica la revoca dei principi in materia di protezione dei dati personali

Continua

Diritto all’oblio e diritto di cronaca storico. Problemi di convivenza

Cosa ne pensa la Corte di Cassazione, in una sua recente pronuncia

Continua