Fidelity card e privacy
Ormai ogni esercizio commerciale, sia una linea di supermercati oppure un negozio di abbigliamento, propone alla propria clientela la cosiddetta e famigerata fidelity card, promettendo in questo modo “trattamenti” particolari costituiti da “scontistiche” ed altre attività promozionali.
La sottoscrizione di tali “tessere” è pressoché sempre gratuita tuttavia tale carattere di gratuità fa nascere l’interrogativo su quale sia il vero “bene” negoziato. Si può concludere che la risposta a tale domanda, il più delle volte è: il dato personale.
Contando infatti sulla mancata consapevolezza della clientela, le carte fedeltà sono come “il cavallo di Troia” di attività di profilazione della clientela circa le abitudini e i comportamenti di quest’ultima. Infatti, con i programmi di fidelizzazione, le grandi società si prefiggono due finalità legate alla profilazione medesima e al marketing diretto.
Con questo articolo si vogliono indicare le modalità con cui le autorità preposte hanno inteso proteggere i nostri dati personali.
1. Emanazione delle linee Guida
Ben prima dell’entrata in vigore del GDPR, il Garante Privacy, aveva trattato questo argomento delineando, nel 2005, la disciplina relativa attraverso l’emanazione de ““Linee guida da osservare nel trattamento di dati nell’ambito di programmi di fidelizzazione”
In tale provvedimento, il Garante, distingue tre finalità che possono essere perseguite con il trattamento dei dati dei clienti: la fidelizzazione vera e propria, la profilazione ed il marketing diretto. Si afferma infatti che:
-
Per quanto riguarda la fidelizzazione, viene stabilito che possono essere trattati, senza che sia necessario acquisire il consenso dell´interessato, solo dati necessari per attribuire i vantaggi connessi all´utilizzo della carta, cioè dati per consentire l´identificazione dell´intestatario e, di regola, i dati relativi al volume di spesa globale realizzato, senza riferimento al dettaglio dei singoli prodotti acquistati.
-
Per l´attività di profilazione, invece, occorre il consenso dell´interessato per il trattamento delle informazioni relative agli acquisti effettuati. Non è lecito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute.
-
Riguardo all´attività di marketing possono essere raccolti, sempre con il consenso dell´interessato, i dati necessari all´invio di materiale pubblicitario o di comunicazioni commerciali.
Si specifica, inoltre, che l’uso dei dati personali deve dettagliatamente essere portato a conoscenza del cliente “in maniera chiara e completa” e “tenendo conto delle diverse finalità perseguite.”
L´informativa al cliente deve essere chiaramente distinta e facilmente ravvisabile rispetto alle altre clausole contrattuali. Dovrà, in particolar modo essere posta in evidenza una possibile attività di profilazione o di marketing ponendo in evidenza che nel caso di questi ultimi, il conferimento dei dati e il consenso dovranno esser liberi e facoltativi.
2. Cosa accade dopo l’entrata in vigore del GDPR?
A seguito all’entrata in vigore del GDPR si è assistito ad un ulteriore rafforzamento delle tutele previste per i dati personali: si richiede infatti che questi ultimi debbano essere trattati secondo i principi di liceità, correttezza, trasparenza, limitazione della finalità, limitazione del trattamento, minimizzazione, esattezza, integrità e riservatezza stabiliti dall’art. 5 del GDPR.
Riguardo il principio di liceità, si indica che il trattamento dei dati di clienti per programmi di fidelizzazione e/o concorsi a premi risponde a finalità contrattuali e/o para-contrattuali. Questo comporta che per tali casi non è richiesta l’acquisizione del consenso da parte dell’interessato. Al contrario per le finalità di marketing diretto o di profilazione, il consenso è invece necessariamente richiesto.
Assume rilevanza, riguardo il principio di minimizzazione del trattamento, la circostanza per la quale possano essere raccolti unicamente i dati necessari per il raggiungimento finalizzato allo scopo (emissione e utilizzo della fidelity card). Questo significa che potranno essere utilizzati esclusivamente dati anagrafici e, casomai, dati relativi al volume di spesa globale progressivamente realizzato ma non altri dati quali titolo di studio, professione svolta, ecc.
Altro “tema” in primo piano è quello della limitazione nel tempo della conservazione dei dati che dovrà tener presente di quanto disposto dall’art. 5 par. 1 lett. e) del Regolamento UE n. 679/2016, secondo il quale“i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per i quali sono trattati”.
Va rammentato anche quanto affermato attraverso il considerando 39 del suddetto Reg. UE. In questo caso, assieme al principio sopra ricordato si dispone che “onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica”. La necessità di verifiche periodiche è necessaria soprattutto per la conservazione dei dati ai fini del marketing.
Per questi casi il Garante si è mosso tenendo presenti le finalità del trattamento alla luce del ben noto principio di accountability. In particolare il Garante aveva espresso parere positivo in ordine alla richiesta di alcune aziende operanti nel campo della moda dei prodotti di lusso, di conservare i dati per finalità di profilazione anche oltre il termine canonico di 12 e 24 mesi, arrivando anche fino a 10 anni.
Quanto, poi, all’esercizio dei diritti da parte dell’interessato il GDPR prevede che il Titolare del trattamento abbia l’onere di garantire il relativo diritto in materia di accesso ai dati personali (ai sensi dell’art. 15 GDPR); rettifica dei dati personali rilevatisi inesatti (ai sensi dell’art. 16 GDPR); cancellazione dei dati (ai sensi dell’art. 17 GDPR); limitazione del trattamento (ai sensi dell’art. 18 GDPR); opposizione, in tutto o in parte, per motivi legittimi al trattamento dei dati personali anche se inerenti pertinenti alle finalità della raccolta e opposizione al trattamento effettuato per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (ai sensi dell’art. 21 GDPR); portabilità dei dati (art. 20 GDPR).
Articolo del: