Legislacion Informatica de Provvedimento del Garante per la protezione dei dati personali del 24 maggio 2006.

Provvedimento del Garante per la protezione dei dati personali del 24 maggio 2006. Garante privacy sui diritti dei consumatori in relazione alle carte di fedeltà.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali relativi alla clientela di Ikea Italia Retail s.r.l.: finalità e tipologia dei dati raccolti

Al fine di verificare l'osservanza della disciplina di protezione dei dati personali da parte di operatori economici nel settore della grande distribuzione –con particolare riferimento ai dati personali raccolti in occasione del rilascio di carte di “fidelizzazione” della clientela– il 21 novembre 2005 l'Autorità ha avviato accertamenti preliminari presso Ikea Italia Retail s.r.l. (di seguito, “Ikea”), società che mette a disposizione della propria clientela la “Ikea card”.

Questa carta di fidelizzazione presenta la peculiarità di consentire ai suoi intestatari di beneficiare di vantaggi economici di varia natura (nel caso di specie, legati a sconti e promozioni), ma pure di ottenere da una banca (operante in partnership con Ikea) la contestuale apertura di un fido finalizzato all'acquisto di beni presso Ikea, sì da operare in tal caso anche quale “carta di pagamento”.

Le dichiarazioni risultanti dal verbale dell'accertamento e la documentazione acquisita mettono in evidenza che i dati personali riferiti alla clientela raccolti in sede di rilascio dell'Ikea card formano oggetto di trattamento da parte di Ikea e della banca, che operano in qualità di autonomi titolari del trattamento; circostanza, questa, che trova riscontro nelle distinte informative rese alla clientela (ai sensi dell'art. 13 del Codice) in distinti riquadri dell'unico modulo contrattuale utilizzato.

Quest'ultimo –denominato “contratto-coupon” nella scrittura privata tra Ikea e la banca del 29 gennaio 2002 (acquisita agli atti)– include in un contesto unitario le condizioni generali di contratto della banca finanziatrice, il documento di sintesi relativo alle condizioni del fido (eventualmente) erogato e il questionario di raccolta delle informazioni per richiedere l'Ikea card. In particolare, le informazioni destinate ad essere raccolte per l'erogazione del fido, talora relative anche al coniuge, hanno ad oggetto:

dati anagrafici e stato civile;

recapiti, anche telefonici, e coordinate di posta elettronica;

professione svolta e reddito percepito;

dati relativi alle coordinate bancarie (ove venga prescelta tale modalità per la restituzione del finanziamento);

qualità di proprietario o locatario dell'immobile presso cui risiede l'interessato (o indicazione della circostanza che il medesimo risieda presso parenti);

ammontare del mutuo e/o canone di locazione mensile;

composizione nucleo familiare.

2. Il flusso dei dati personali da Ikea alla banca finanziatrice

Ikea non memorizza direttamente nei propri archivi le informazioni personali appena indicate: infatti, “il personale Ikea all'uopo incaricato” comunica i dati alla banca inserendoli “direttamente nella banca dati [della banca], utilizzando una procedura informatizzata predisposta per tale finalità”. Tali dati vengono memorizzati e trattati nei sistemi informativi della banca per consentire alla medesima di effettuare le proprie valutazioni in ordine al rilascio del fido; successivamente, i moduli compilati dalla clientela (e conservati temporaneamente presso Ikea) vengono consegnati alla banca.

Alla luce di tali circostanze, le operazioni di trattamento appena descritte, intercorrenti tra i due menzionati titolari del trattamento, integrano una comunicazione di dati personali ai sensi dell'art. 4, comma 1, lett. l ), del Codice.

A seguito della valutazione favorevole in ordine alla concessione del fido da parte della banca, viene consegnata al cliente la “Ikea card”; in caso di mancata erogazione, Ikea rilascia comunque la card che “potrà essere utilizzata per beneficiare di sconti e promozioni, ma che non potrà essere utilizzata come carta di credito. Tali tessere si distinguono dalle altre per il codice numerico, che prevede la presenza di tre numeri “zero” iniziali “.

3. Il flusso dei dati personali dalla banca finanziatrice a Ikea

Dopo aver memorizzato i dati, la banca (con periodicità mensile e in via telematica) “invia a Ikea un estratto dei dati raccolti (costituito da anagrafica, telefono, professione, numero figli, anagrafica coniuge, numero carta, numero conto [della banca], reddito, modo pagamento, eventuale cellulare, eventuale e-mail, ecc.). Tali dati vengono aggregati in una banca-dati relativa ai clienti possessori dell'Ikea card, gestita direttamente da Ikea” (cfr. verbale dell'accertamento), consultabile nella sua interezza “solo dalla funzione marketing della sede centrale “.

In base alle dichiarazioni rese in sede di accertamento ispettivo, i dati trattati da Ikea –che “permangono nel data-base per tutto il tempo della durata della carta” (rinnovabile ogni tre anni da parte della banca)– sono utilizzati per perseguire distinte finalità:

ammettere gli intestatari della card al godimento di condizioni economiche di favore loro riservate in occasione degli acquisti effettuati;

svolgere attività di marketing (allo stato i dati sarebbero utilizzati da Ikea “per occasionali campagne promozionali tramite l'invio di e-mail “);

creare profili di consumo della clientela. In relazione a questa finalità, Ikea ha dichiarato che “non rileva e non raccoglie in alcun modo i dati relativi al dettaglio degli acquisti effettuati dai clienti Ikea card, ma esclusivamente l'ammontare complessivo di ogni acquisto effettuato utilizzando l'Ikea card”; a questo proposito, la manifestazione del consenso della clientela presente nella modellistica predisposta per autorizzare trattamenti di dati inerenti alle abitudini di consumo dell'intestatario della carta e della sua famiglia “è stata inserita in prospettiva di futuri trattamenti aventi le predette finalità “.

Deve peraltro rilevarsi che Ikea, nel rendere l'informativa nel modulo contrattuale diffuso alla clientela (e acquisito agli atti), dichiara di trattare i dati per le seguenti finalità:

“cooperare con [la banca], per la predisposizione e l'emissione della Ikea Card, che le permetterà di usufruire di sconti, offerte e promozioni “;

inviare “materiale informativo e pubblicitario “;
consentire la comunicazione dei dati trattati “a società che svolgono a favore di Ikea servizi di carattere commerciale in generale “.

In una parte diversa del medesimo modulo, destinata a raccogliere il consenso della clientela, emerge che vengono perseguite ulteriori finalità rispetto a quelle sintetizzate nella parte espressamente dedicata all'informativa in relazione ai dati inerenti alle “abitudini di consumo” della clientela, individuali e familiari, destinati ad essere utilizzati “per l'elaborazione di studi di mercato ed analisi statistiche “.

In sede di accertamento, Ikea ha dichiarato altresì di non effettuare “comunicazioni di dati personali. Ha tuttavia precisato che in due casi Ikea si è avvalsa di società terze per effettuazione di operazioni di trattamento (mailing e geo-marketing). Le società interessate sono state designate responsabili del trattamento “.

Alla luce della documentazione acquisita, e tenuto conto delle osservazioni formulate dalla società, questa Autorità ravvisa, nei termini di seguito illustrati, taluni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali e pertanto, ai sensi dell'art. 154, comma 1, lett. c) e d), del Codice, prescrive con il presente provvedimento di adottare le misure necessarie al fine di rendere i trattamenti sopra indicati conformi alle disposizioni contenute nel medesimo Codice; vieta, altresì, di effettuare ulteriori trattamenti posti in essere in violazione di legge.

Non forma, invece, oggetto del presente provvedimento il profilo attinente all'obbligo di notificare il trattamento, già oggetto di autonomo procedimento nel quale l'Autorità ha effettuato la contestazione delle violazioni amministrative.

4. Informativa

4.1. L'informativa resa da Ikea, per il tenore letterale che la contraddistingue e per la tecnica redazionale utilizzata, manifesta alcune carenze che la rendono inidonea a rappresentare, in modo agevole e trasparente, gli elementi caratterizzanti del trattamento effettuato.

Con riferimento all'enunciazione delle finalità del trattamento (art. 13, comma 1, lett. a) del Codice), la circostanza che i dati possano essere trattati “per l'elaborazione di studi di mercato ed analisi statistiche” compare nella modulistica contrattuale non, come dovuto, nel riquadro appositamente dedicato all'informativa, ma in un'altra parte della stessa, ossia nello spazio dedicato a raccogliere (peraltro, attualmente, con formulazione oscura) il consenso dell'interessato.

Già in passato, l'Autorità ha messo in luce l'opportunità che gli elementi individuati all'art. 13 del Codice, al fine di rendere in modo chiaro e trasparente l'informativa agli interessati, “compaiano in un unico messaggio” (Provv. 13 gennaio 2000, in Bollettino n. 11/12, p. 39 e sul sito web del Garante, doc. web n. 42276, in materia di trattamento di dati raccolti attraverso coupon, depliant, lettere ed annunci pubblicitari, questionari collegati a tessere di “fidelizzazione”, ricerche di mercato, lotterie, estrazioni di premi od offerte di regali); tale principio è stato ribadito di recente da questa Autorità (Provv. 24 febbraio 2005, doc. web n. 1103045), allorché ha prescritto (con particolare riferimento allo svolgimento di programmi di fidelizzazione) che “l'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine”.

Con il medesimo provvedimento il Garante ha rappresentato, altresì, la necessità di porre “in distinta e specifica evidenza le caratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente” (Provv. 24 febbraio 2005, cit.).

A tale proposito è quindi necessario che l'informativa sia riformulata rendendola chiara e di agevole comprensione per gli interessati collocando, altresì, le pertinenti informazioni in un'unica sede.

4.2. Con specifico riferimento al rapporto tra Ikea e la banca, deve rilevarsi che gli interessati non sono posti in grado di comprendere le particolari modalità di circolazione delle informazioni raccolte sul proprio conto (flussi sopra descritti ai punti 2 e 3): infatti, nessuna informativa esplicita è resa circa la comunicazione di dati da Ikea alla banca. Tale circostanza potrebbe semmai essere desunta, implicitamente, dalla dichiarata attività di “cooperazione” svolta dalla società a favore della banca (ed indicata, nell'informativa resa, tra le finalità del trattamento al punto a) della medesima).

Non viene altresì precisato (al punto a) dell'informativa) che tale cooperazione mira a conseguire, oltre all'attribuzione di sconti e promozioni, l'ulteriore finalità consistente nella concessione di un fido da parte della banca; circostanza, quest'ultima, che può desumersi soltanto dal complessivo esame della modulistica, tenendo altresì conto della diversa informativa resa dalla banca.

Anche in ossequio alla clausola generale di correttezza del trattamento (art. 11 del Codice), l'informativa pur sinteticamente formulata (anche ricorrendo a messaggi aventi uno stile colloquiale), deve permettere all'interessato di comprendere quali effetti comporta in concreto il trattamento effettuato (cfr. in tal senso Provv. 13 gennaio 2000, cit.).

Ikea deve, quindi, riformulare anche sotto questo profilo, con maggiore chiarezza, l'informativa resa, indicando univocamente quali sono le finalità perseguite e la tipologia di destinatari delle comunicazioni di dati personali.

4.3. Le considerazioni appena svolte devono essere estese anche all'enunciata comunicazione di dati personali ad altri soggetti. A questo proposito, l'informativa resa da Ikea non consente agli interessati di comprendere quale sia l'effettivo utilizzo dei dati personali raccolti, nella parte in cui la medesima fa riferimento a “servizi di carattere commerciale in generale” (punto d) dell'informativa): a tale riguardo, è necessario individuare con maggiore precisione, anche solo per tipologie, le finalità per le quali i dati raccolti vengono utilizzati, se del caso anche tramite il ricorso a responsabili del trattamento (in tal senso, v. Provv. 13 gennaio 2000, cit., che evidenzia l'esigenza di “evitare formulazioni generiche o tautologiche relativamente alle finalità”).

5. Consenso al trattamento

5.1. Alcuni profili di illiceità del trattamento derivano anche dalla formula utilizzata da Ikea per raccogliere il consenso della clientela, avente il seguente tenore: “Ti chiediamo di voler fornire ad Ikea […] alcuni dati inerenti le tue abitudini di consumo e quelle della tua famiglia. Questi dati sono molto importanti per Ikea ai fini del funzionamento e delle validità della carta. A questo scopo Ikea ti contatterà per corrispondenza, telefono o e-mail e ti chiediamo di impegnarti sin d'ora a fornirci i suddetti dati ed autorizzarne il trattamento per elaborazione di studi di mercato ed analisi statistiche”.

La formulazione utilizzata non è idonea a soddisfare, anche sul piano lessicale, i requisiti richiesti dal legislatore all'art. 23, comma 3, del Codice, atteso che il consenso informato deve essere manifestato “specificamente in riferimento ad un trattamento chiaramente individuato”. Tale precetto rappresenta, con particolare riferimento alle modalità con le quali l'informativa deve essere resa, improntata al clare loqui, un punto di emersione della clausola generale di correttezza e buona fede.

A questo proposito, la formulazione utilizzata è equivoca, non essendo l'interessato in condizione di comprendere chiaramente a quale scopo verrà contattato da Ikea “per corrispondenza, telefono o e-mail “. Anche esaminando l'informativa presente in un riquadro collocato in una parte diversa del modulo di richiesta della “carta”, resta comunque disagevole per l'interessato comprendere che la finalità perseguita con detti mezzi è quella dello svolgimento delle attività di marketing.
Anche la formula utilizzata per raccogliere il consenso deve pertanto essere modificata in conformità alla menzionata disposizione del Codice.

5.2. Se anche una delle finalità perseguite ed autorizzate dall'interessato fosse riconducibile (come detto al punto 5.1.) allo svolgimento dell'attività di marketing, la formulazione utilizzata non sarebbe comunque conforme al precetto contenuto nell'art. 23 del Codice: il consenso così raccolto mirerebbe, infatti, ad autorizzare, con unica formulazione, una pluralità di trattamenti ben distinti. Da un lato, si colloca infatti lo svolgimento di attività di marketing e di ricerche di mercato, con l'indicazione delle modalità di contatto suscettibili di essere utilizzate (corrispondenza, telefono o e-mail); dall'altro, l'attività, allo stato posta in essere con riguardo alla sola raccolta di dati relativi alle abitudini di consumo, operazione prodromica alla definizione dei profili individuali e del gruppo familiare.

Tali distinte finalità richiedono un'autonoma “autorizzazione” da parte dell'interessato anziché, come avvenuto nel caso di specie, un consenso onnicomprensivo, reso con unica dichiarazione. Invero, al di là dell'obiettiva, differente portata contenutistica dei trattamenti effettuati per finalità di marketing e di profilazione della clientela, deve rilevarsi il loro diverso ed autonomo apprezzamento da parte del legislatore che, per ciascuno di essi, fissa un differenziato statuto normativo: il trattamento di dati funzionali alla creazione di profili di consumo individuale viene regolato, infatti, agli artt. 14, 22, comma 10, 37, comma 1, lett. d) del Codice; i trattamenti di dati personali effettuati ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale trovano diversa disciplina agli artt. 7, comma 4, lett. b) e 130 del Codice.

Salva l'esistenza di uno dei presupposti di liceità del trattamento indicati all'art. 24 del Codice, gli interessati debbono essere quindi messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano (Provv. 27 maggio 1997, in Boll. n. 1, p. 17, doc. web n. 40425), manifestando il proprio consenso (per dir così, “modulare”) per ciascuna distinta finalità perseguita dal titolare (cfr. Provv. 24 febbraio 2005, punto 7, in http://www.garanteprivacy.it, doc. web n. 1103045). Il diritto all'autodeterminazione dell'interessato non è infatti assicurato quando si raccoglie il consenso nel modo predetto per perseguire distinte finalità quali sono, nel caso di specie, la (potenziale) definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali (marketing).

Pertanto, qualora intenda intraprendere nuovi trattamenti di dati personali finalizzati alla definizione dei profili della clientela e all'invio alla clientela di comunicazioni commerciali, Ikea dovrà predisporre modelli di raccolta del consenso della clientela che permettano autonome manifestazioni di volontà dell'interessato in presenza di distinte finalità del trattamento.

5.3. Deve altresì rilevarsi che l'autorizzazione al trattamento per finalità di marketing e di profilazione è qualificata quale condizione necessaria per il “funzionamento e [la] validità della carta” contravvenendo, così, al precetto legale in base al quale il consenso “è validamente prestato solo se è espresso liberamente” (art. 23, comma 3, del Codice).

In casi come quello in esame, come già rilevato da questa Autorità (Provv. 12 ottobre 2005, in http://www.garanteprivacy.it), non può definirsi “libero”, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l'interessato “deve” prestare (aderendo a un testo predisposto unilateralmente dalla controparte) quale condizione per conseguire la prestazione richiesta (nel caso di specie, data la genericità della formulazione utilizzata, il rilascio dell'Ikea card e, con essa, la concessione del fido e l'ammissione al godimento degli sconti). La capacità di autodeterminazione non è assicurata quando si assoggetta l'accesso ai servizi alla previa autorizzazione a trattare i dati conferiti per i medesimi servizi allo scopo di perseguire una finalità diversa ed ulteriore, quali sono l'invio di comunicazioni commerciali e la definizione di profili di consumo.

5.4. Attesa la particolare natura di uno dei mezzi che Ikea sembra voler utilizzare per svolgere l'attività di commercializzazione diretta (la posta elettronica, come pure dichiarato in sede di accertamento ispettivo), è necessario valutare se, nonostante l'assenza di un valido consenso degli interessati (per le ragioni appena illustrate), Ikea possa effettuare comunque tale trattamento di dati personali ai sensi dell'art. 130, comma 4, del Codice.

Alla luce di questa disposizione il titolare del trattamento che utilizzi, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, qualora si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, informato adeguatamente, non rifiuti tale uso (inizialmente o in occasione di successive comunicazioni). L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, deve essere però informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente (in questo senso v. già Provv. 7 ottobre 2004).

Nel caso di specie, Ikea non ha accordato all'interessato alcuna possibilità di opporsi, sin dalla fase di raccolta dei dati (“inizialmente”, secondo la prescrizione dell'art. 130, comma 4, del Codice), all'utilizzo delle coordinate di posta elettronica per finalità di vendita diretta (in tal senso v. Provv. 3 novembre 2005, doc. web n. 1195215): anche da questo punto di vista, pertanto, il trattamento di dati personali con finalità di marketing effettuato da Ikea non può ritenersi allo stato lecito.

5.5. Sempre con riguardo al modello di raccolta del consenso utilizzato non è prevista, diversamente dalla modulistica utilizzata da Ikea nella vigenza della legge n. 675/1996, alcuna autorizzazione alla comunicazione alla banca dei dati raccolti dalla società.

Tale autorizzazione non è tuttavia necessaria, posto che l'art. 24, comma 1, lett. b), del Codice esclude che il consenso dell'interessato debba essere raccolto quando il trattamento è indispensabile “per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato”. Questa circostanza ricorre nel caso in esame nel quale Ikea, su richiesta dell'interessato, svolge una funzione di (sostanziale) intermediazione nella conclusione del contratto tra il cliente e la banca (rispetto al quale quest'ultima rende, come precisato, una propria autonoma informativa).

PER QUESTI MOTIVI IL GARANTE

a) dichiara illecito il trattamento dei dati personali della clientela effettuato da Ikea Italia Retail s.r.l., descritto nei punti da 1 a 3, con riferimento ai seguenti profili:

inidonea informativa, riguardo all'assenza di chiarezza nell'individuazione delle finalità del trattamento e alla mancata espressa indicazione, tra le finalità perseguite, dell'attività di profilazione della clientela, anche tramite l'analisi delle abitudini e scelte di consumo (punto 4.1.);

inidonea informativa, con riguardo al profilo della comunicazione di dati personali da Ikea alla banca (punto 4.2.) e ad altre categorie di soggetti (punto 4.3.);

mancata acquisizione di un autonomo, libero e specifico consenso per lo svolgimento delle distinte operazioni di marketing e per i trattamenti connessi alla definizione dei profili individuali della clientela (punto 5);

b) vieta a Ikea Italia Retail s.r.l, ai sensi dell'art. 154, comma 1, lett. d), del Codice, l'ulteriore trattamento dei dati personali svolto in violazione di legge per effetto di quanto descritto nella lettera a) del presente dispositivo, dati di cui resta altresì ferma l'inutilizzabilità ai sensi dell'art. 11, comma 2, del Codice;

c) prescrive a Ikea Italia Retail s.r.l., ai sensi dell'art. 154, comma 1, lett. c), del Codice, l'adozione delle misure indicate nel presente provvedimento al fine di rendere i futuri trattamenti dei predetti dati personali conformi alle disposizioni vigenti, apportando le necessarie modifiche alla modulistica contrattuale utilizzata;

d) dispone che Ikea Italia Retail s.r.l. confermi preventivamente a questa Autorità, qualora intenda proseguire l'attività di trattamento dei dati personali connessi al rilascio della Ikea card, che il medesimo trattamento è conforme alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione riformulata.

Roma, 24 maggio 2006

IL PRESIDENTE, Pizzetti

IL RELATORE, Fortunato

IL SEGRETARIO GENERALE, Buttarelli

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.