Fidelity Card e Profilazione
6 Aprile 2021
Argomento di interesse sempre attuale è il trattamento di dati personali effettuati da società in relazione all’attività di profilazione dei soggetti che sottoscrivono carte di fidelizzazione.
Quali sono i benefici per i sottoscrittori?
Dalle catene di negozi reali o virtuali, ai supermercati passando dalle più tradizionali librerie, cinema e centri fitness, sempre più sono le attività commerciali che attuano un programma di fidelizzazione della propria clientela.
I benefici che l’emissione e l’utilizzo di una carta fedeltà portano ai sottoscrittori, sono legati principalmente a vantaggi economici quali ad esempio: l’applicazione di uno sconto all’atto dell’acquisto in un negozio fisico o on-line, la maturazione di crediti da spendere nei successivi acquisti o per raggiungere soglie per la ricezione di premi, offerte e sconti personalizzati.
Quali i rischi per i sottoscrittori?
La Fidelity Card è strumento di identificazione e/o profilazione di un consumatore!
Guardando in special modo alla grande distribuzione organizzata (G.D.O.), il trattamento dei dati forniti all’atto dell’emissione di una carta fedeltà può portare a rischi per i consumatori/interessati poiché, nella prassi, si assiste a un’indiscriminata richiesta di dati ulteriori e non necessari.
Oltre al fatto che molti interessati non sono consapevoli che, mediante la carta fedeltà, le loro abitudini e i loro comportamenti sono oggetto di profilazione, ciò a causa di informative generiche e poco chiare.
Cosa dice il Garante?
Con un provvedimento del 25 febbraio 2005 l’Autorità Garante aveva emanato delle linee guida prescrivendo alle società che emettono fidelity card di operare un corretto trattamento dei dati dei clienti/titolari di dette tessere.
Specificando che eventuali ulteriori finalità di marketing diretto e/o profilazione necessitassero di modalità di uso diversificate soprattutto in relazione alla tipologia di dati trattati e alle tempistiche della loro conservazione, fissava il limite di 24 mesi per conservare i dati per scopi di marketing e di 12 mesi per fini di profilazione. Nel caso si fosse voluto prolungare il tempo di conservazione si sarebbe resa necessaria una verifica preliminare da parte del Garante.
Con riferimento al periodo di conservazione/data retention, l’entrata in vigore del Regolamento UE 2016/679 ha portato al superamento delle sopradette Linee guida nella parte in cui, nel rispetto del principio di accountability, è onere del Titolare del trattamento determinare i termini di conservazione dei dati acquisiti.
Cosi come discende dal provvedimento del Garante n. 181 del 15 ottobre 2020 ove si legge “Il consenso al trattamento dei dati personali per finalità promozionali, (…) deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
La determinazione dei tempi di conservazione e profilazione dei dati riferiti alla propria clientela deve essere quindi conseguenza di un’attenta valutazione del Titolare del trattamento effettuata guardando, ad esempio, al ciclo di vita del prodotto offerto, ad un’analisi più approfondita delle dinamiche della domanda al fine di predisporre offerte promozionali mirate, ….
Questo per far fronte a eventuali controlli, da parte dell’Autorità Garante, circa la sussistenza di esigenze oggettive in merito al prolungamento della data retention e di valutazioni alla base della creazione di “cluster” (insiemi di tipologie di clienti con interessi comuni ai quali vengono inviate proposte commerciali mirate e coerenti col relativo “gruppo” di appartenenza).
Quali sono gli obblighi del Titolare del trattamento?
Il Titolare, sin dal momento della progettazione del trattamento (privacy by design) dovrà utilizzare solamente i dati necessari a identificare e/o profilare il cliente/interessato, nel rispetto del principio di minimizzazione.
Pertanto, in base a tutto quanto sopra, il Titolare del trattamento dovrà:
- informare i clienti/interessati sull’uso che la società farà di questi dati mediante la consegna di un’informativa ex 13 GDPR, redatta con linguaggio semplice e chiaro nella quale dovrà:
- essere presente un’indicazione esaustiva della tipologia di dati che la società vuole trattare, anche ai fini di profilazione (ad esempio: dati relativi agli specifici acquisti effettuati, alle abitudini comportamentali di acquisto, ..);
- specificare e differenziare le finalità di marketing diretto e/o di profilazione per le quali deve essere raccolto il consenso “libero, specifico, informato e distinto”;
- indicare eventuali soggetti terzi cui i dati possano essere ceduti per finalità che devono essere puntualmente indicate;
- determinare la data retention e
- alla scadenza di detto periodo, provvedere alla cancellazione automatica dei dati e/o trasformarli in forma anonima in modo permanente e
- conservarli solo se sussistano altre finalità richieste dalla legge (ad esempio: conservazione di scritture contabili a fini fiscali, ..)
2. designare Responsabili del trattamento – se il servizio di analisi e di elaborazione dei dati ai fini della profilazione è dato in outsourcing – la società che lo effettua oltre a nominare eventuali altri soggetti cui è affidata la manutenzione e gestione del CRM o altri strumenti di gestione dei dati (quando presenti)
3.adottare misure tecniche e organizzative adeguate a garantire la corretta gestione dei diritti degli interessati, l’integrità dei dati e a prevenire l’accesso di soggetti terzi non autorizzati.
