Provvedimento del Garante per la protezione dei dati personali del 9 marzo 2006. Alberghi: vietato profilare le abitudini dei clienti in modo illecito.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO
1. Trattamento di dati personali relativi alla clientela da parte di Italjolly Compagnia italiana dei Jolly hotels S.p.a.
1.1. Al fine di verificare l'osservanza della disciplina di protezione dei dati personali da parte di catene alberghiere –con particolare riferimento alle informazioni raccolte mediante schede di dichiarazione delle generalità o più propriamente connesse all'esecuzione del contratto (ivi comprese quelle registrate nell'ambito dello svolgimento di operazioni a premio)–, il 4 novembre 2005 l'Autorità ha avviato d'ufficio accertamenti preliminari presso Italjolly Compagnia italiana dei Jolly hotels S.p.a. (di seguito, la “società”).
1.2. Dai primi accertamenti svolti è emerso che, grazie all'attribuzione a ciascun cliente di un codice univoco (c.d. codice ospite), la società tratta, con l'ausilio di strumenti elettronici, “sia in locale, sia in una banca dati centralizzata” (detenuta presso la sede legale), una pluralità di informazioni personali relative alla clientela, raccolte direttamente presso ciascun interessato, anzitutto per mezzo delle “schede di dichiarazione delle generalità ” (conformi al modello approvato dal Ministero dell'interno ai sensi dell'art. 109, comma 3, r.d. 18 giugno 1931, n. 773, t.u.l.p.s.), che formano oggetto di comunicazione all'autorità di pubblica sicurezza.
1.3. Tali informazioni, unitamente a quelle relative alla tipologia di servizi, anche accessori, di cui la clientela usufruisce presso ciascuna struttura alberghiera, comprensive della durata del soggiorno e della tariffa applicata, dal 2001 sono trattate dalla società, oltre che per assolvere ad obblighi legali (ivi compreso quello appena menzionato) e per dare esecuzione al rapporto contrattuale, per “definire i profili dei clienti allo scopo di orientare l'offerta della società in occasione di successive visite da parte dello stesso cliente” (così come risulta dal verbale delle attività ispettive dell'8 novembre 2005 – di seguito “verbale”). Questi dati, limitatamente agli ultimi tre soggiorni, restano quindi visibili nelle strutture alberghiere della società.
1.4. La società, oltre ai dati personali fin qui menzionati che si riferiscono in modo indifferenziato a tutta la clientela, tratta altre informazioni relative ai soli clienti che aderiscono all'operazione a premio denominata “optime”. I clienti detentori della “optime card” possono fruire di vantaggi correlati al volume di spesa (in forma di sconti, premi, bonus, priorità, servizi accessori e facilitazioni di pagamento: cfr. regolamento “programma optime”), in conformità all'art. 3 del d.P.R. 26 ottobre 2001, n. 430 (concernente la revisione organica della disciplina dei concorsi e delle operazioni a premio, nonché delle manifestazioni di sorte locale). I dati trattati riguardano:
dati anagrafici;
recapiti, anche telefonici, e coordinate di posta elettronica;
professione;
“accrediti” maturati (in misura proporzionale alle somme corrisposte per il godimento di servizi) e alla loro scadenza; come risulta dal verbale degli accertamenti effettuati, “in relazione a tali accrediti è altresì possibile visualizzare il dettaglio relativo alle strutture presso le quali sono stati maturati, la data, l'ammontare e i servizi che li hanno generati (camera, cantina, ristorante)”;
ulteriori informazioni personali (il cui conferimento è facoltativo), fornite in forma di risposta a quesiti (cfr. il modulo di adesione al programma “optime”), relative alla frequenza di pernottamenti, alla consumazione di pasti e alle modalità di prenotazione abitualmente utilizzate.
Nei confronti della clientela partecipante all'operazione a premio la società tratta i dati personali ora descritti non solo per la gestione della medesima, ma, anche avvalendosi di due società (designate responsabili del trattamento: cfr. comunicazione della società del 15 novembre 2005), per finalità di “database marketing” e di invio di comunicazioni commerciali alla clientela partecipante al programma “optime”. Tale circostanza, oltre che dalle dichiarazioni rese dalla società (contenute nel verbale), risulta dalle clausole contenute nei contratti di collaborazione stipulati da quest'ultima con le società responsabili del trattamento, in virtù dei quali si prevede la costituzione di un archivio contenente “informazioni anagrafiche, preferenze dell'ospite e tipo di carte di credito” per consentire la realizzazione di operazioni di mailing individualizzate e l'estrazione “di mailing list per attività di comunicazione (direct mail, telemarketing)” (cfr. all. A dei contratti di collaborazione).
La società ha altresì dichiarato (come risulta dal verbale) che i dati della clientela aderente all'operazione a premio sono comunicati ad altre società (quali ad esempio società di noleggio e compagnie aeree) in base ad accordi aventi ad oggetto, tra l'altro, la conversione degli “accrediti” maturati nell'ambito del programma “optime” per fruire di ulteriori vantaggi presso società partner.
1.5. Come risulta dal verbale, attraverso la postazione informatica locale, ciascuna struttura alberghiera può accedere, limitatamente “agli ultimi tre soggiorni”, alle informazioni riferite a tutta la clientela identificando altresì, grazie ad una differenza cromatica nella visualizzazione delle posizioni anagrafiche, i clienti aderenti all'operazione a premio.
1.6. Informazioni personali della clientela vengono raccolte anche a seguito della compilazione dei modelli, acquisiti agli atti, resi disponibili online sul sito web della società in occasione della prenotazione di servizi alberghieri e della richiesta, redatta on-line, di invio della newsletter predisposta dalla società.
2. Finalità del trattamento
I dati personali sono trattati, oltre che per l'assolvimento di obblighi legali (punto 1.2.) e per finalità connesse all'esecuzione del rapporto contrattuale (punto 1.3.) o precontrattuale (con riguardo ai dati raccolti attraverso la prenotazione on-line dei servizi alberghieri: punto 1.6.), anche per le seguenti, ulteriori finalità:
a) attuazione di operazioni a premio, attraverso, nel caso di specie, il programma denominato “optime” (punto 1.4.);
b) definizione dei profili dei clienti, si tratti o meno di partecipanti all'operazione a premi (punto 1.3. e 1.4.);
c) svolgimento di attività di marketing con riguardo alla clientela “optime” (punto 1.4.);
d) trattamento di dati personali riferiti ai soggetti che si iscrivono on-line alla newsletter della società (punto 1.6.).
Queste ultime finalità vanno considerate tra loro distinte, come già rilevato da questa Autorità nel provvedimento generale sull'uso delle c.d. carte di fidelizzazione (Provv. 24 febbraio 2005, in http://www.garanteprivacy.it, doc. web n. 1103045), e come risulta anche dal differenziato statuto normativo ad esse riservato. Mentre la definizione di profili individuali relativi alle preferenze e alle scelte di consumo è regolata in alcune disposizioni del Codice (artt. 14, 22, comma 10 e 37, comma 1, lett. d)), i trattamenti di dati personali effettuati a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale trovano diversa disciplina (artt. 7, comma 4, lett. b) e 130 del Codice). La specifica finalità del trattamento di dati personali connessi alle operazioni a premio si desume poi dalla particolare normativa vigente (art. 3 d.P.R. 26 ottobre 2001, n. 430).
Alla luce della documentazione acquisita questa Autorità ravvisa taluni profili di violazione della disciplina vigente in relazione al trattamento dei dati personali; pertanto, ai sensi dell'art. 154, comma 1, lett. c) e d), del Codice, prescrive con il presente provvedimento le misure necessarie al fine di rendere i trattamenti sopra indicati conformi alle disposizioni contenute nel Codice, vietando altresì quelli posti in essere in violazione di legge.
3. Principi di necessità e pertinenza
Dagli elementi acquisiti in atti, benché di recente la società abbia cancellato informazioni relative a clienti che in tempi più risalenti hanno usufruito dei suoi servizi, emerge che “non è stato stabilito un termine di conservazione” dei dati presenti nel database, accessibili nella loro interezza solo dalle funzioni centrali della società e, come si è detto, limitatamente agli ultimi tre soggiorni di ciascun cliente, anche da parte delle singole strutture alberghiere.
In termini generali, con particolare riferimento al principio di necessità (art. 3 del Codice), si evidenzia che i sistemi informativi impiegati per la gestione delle informazioni raccolte devono essere configurati, già in origine, in modo da minimizzare l'utilizzo di dati identificativi dei clienti. Pertanto, qualora la definizione di profili di consumo e di preferenze dei clienti possa essere effettuata anche a livello centrale senza individuare le persone interessate, la società è tenuta a porre in essere ogni misura necessaria per trattare in modo anonimo i dati personali raccolti per questa finalità.
In applicazione dei principi di pertinenza e proporzionalità, va altresì segnalata la necessità di identificare i tempi massimi di conservazione dei dati trattati alla luce delle finalità in concreto perseguite dalla società mediante il trattamento dei dati raccolti, nonché delle scelte effettuate dall'interessato in ordine al loro trattamento (ad esempio nel caso di restituzione della carta). I dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice).
In particolare, nell'ipotesi in cui il trattamento dei dati sia preordinato alla:
realizzazione delle operazioni a premio, risulta congrua la conservazione dei dati personali relativi al solo ammontare degli esborsi effettuati –essendo questo il criterio utilizzato per commisurare, in valori percentuali, l'ammontare degli “accrediti”– sino al conseguimento da parte del cliente del vantaggio previsto e comunque non oltre la scadenza del termine dell'operazione a premio indicato nel regolamento (o della sua eventuale proroga);
creazione di profili dei clienti partecipanti o meno al programma “optime”, risulta congrua la conservazione dei dati raccolti per la durata di dodici mesi decorrenti dalla registrazione delle informazioni e conformemente a quanto stabilito nel menzionato provvedimento del 24 febbraio 2005 (v. il relativo par. 8).
Per quanto attiene alla finalità di “marketing” e di vendita diretta, resta comunque impregiudicata la facoltà dell'interessato di opporsi al trattamento dei dati personali che lo riguardano (art. 7, comma 4, lett. b), del Codice; v. anche, per quanto riguarda le “coordinate di posta elettronica”, l'art. 130, comma 4).
4. Informativa alla clientela
Le diverse modalità di raccolta delle informazioni personali della clientela –in occasione del soggiorno presso strutture alberghiere della società oppure con l'adesione all'operazione a premi o, ancora, mediante la compilazione di modelli resi disponibili online– implicano che, in ciascuna circostanza e indipendentemente dal mezzo di volta in volta utilizzato, debbano essere rese all'interessato le informazioni contenute nell'art. 13 del Codice.
A questo proposito sono emerse, alla luce degli accertamenti svolti, alcune difformità rispetto al dato normativo, ed in particolare:
a) con riguardo all'informativa resa a tutta la clientela, indipendentemente dall'adesione dell'interessato all'operazione a premio “optime” (all'atto dell'arrivo) presso le singole strutture alberghiere, la medesima informativa prevede che i dati raccolti siano soggetti ad ulteriori operazioni di trattamento “in forma anonima […] per redigere statistiche operative e commerciali”. L'informativa, pertanto, non esplicita, come dovrebbe, l'ulteriore finalità perseguita dalla società (come risulta da quanto rappresentato al punto 1.3) nel definire i profili dei clienti con riguardo alle preferenze e scelte di consumo individuali;
b) con riguardo all'informativa resa ai clienti aderenti al programma “optime”, l'interessato non viene reso edotto del fatto che taluni suoi dati personali possono essere comunicati ad altre società, con le quali può essere concordata una partnership nello svolgimento di altri programmi di fidelizzazione, in caso di richiesta di conversione degli “accrediti” maturati;
c) con riguardo all'informativa resa alla clientela in occasione della raccolta on-line di dati personali al fine di prenotare soggiorni, essa non risulta previamente fornita rispetto al conferimento dei dati da parte dell'interessato, come richiesto dall'art. 13, comma 1, del Codice;
d) in relazione all'iscrizione on-line alla newsletter della società, il testo dell'informativa –pur presente in calce al modello di raccolta dei dati e contenente altresì inesattezze, quali il richiamo all'art. 13 anziché all'art. 7 del Codice, e il diritto, in base al richiamato art. 13, ad “accedere ai registri del Garante” (facoltà attribuita a chiunque dall'art. 37, comma 4, del Codice)– non enuncia la finalità di marketing del trattamento, indicando in suo luogo, quale scopo perseguito dalla società, l'utilizzazione dei dati raccolti per la valutazione “del possibile interesse alla futura costituzione di un rapporto contrattuale da determinarsi nel contenuto”: tale dizione non è idonea a rendere edotto l'interessato in ordine alla reale finalità per la quale i dati (e non diversamente il consenso) vengono effettivamente raccolti, e cioè per l'invio della newsletter.
Muovendo da tali considerazioni, la società, in conformità alla disciplina sopra richiamata, qualora intenda intraprendere nuovi trattamenti di dati personali del genere qui esaminato (la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali), dovrà predisporre o riformulare le informative rese nei termini sopra precisati.
La società è tenuta, altresì, ad astenersi dall'utilizzare i predetti dati sin qui trattati in violazione di legge (in applicazione dell'art. 11, comma 2, del Codice secondo cui “i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”). Formerà poi oggetto di un separato procedimento la contestazione della violazione amministrativa relativa alla mancata o inidonea informativa agli interessati (art. 161 del Codice).
5. Consenso al trattamento
Sotto un diverso profilo -quello del consenso al trattamento dei dati personali da parte della clientela- devono poi rilevarsi ulteriori difformità rispetto alla disciplina contenuta nel Codice.
Il trattamento effettuato per le ulteriori finalità di marketing e di definizione dei profili dei clienti, ricorrenti nel caso di specie nei termini sopra precisati, necessita del consenso specifico e informato dell'interessato (art. 23 del Codice; Provv. 24 febbraio 2005, punto 7). Il consenso non è invece richiesto con riguardo ai dati trattati in base ad obblighi di legge (ad esempio, per assolvere ad obblighi contabili e tributari o alla richiamata disposizione contenuta nell'art. 109, comma 3, del t.u.l.p.s.: art. 24, comma 1, lett. a) del Codice). Non diversamente, il consenso non occorre per le operazioni di trattamento finalizzate all'esecuzione del contratto –ivi comprese quelle derivanti dall'operazione a premi “optime” (in tal senso v. Provv. 24 febbraio 2005, cit.)– o per adempiere, anche in fase precontrattuale, a specifiche richieste del cliente (art. 24, comma 1, lett. b), del Codice).
In particolare:
a) con riguardo ai dati raccolti presso le singole strutture alberghiere in occasione dell'esecuzione del contratto d'albergo (cfr. modello dell'informativa) e successivamente trattati per le ulteriori finalità di definizione dei profili della clientela relativi alle preferenze e alle scelte di consumo, non risulta essere stato raccolto un apposito consenso informato;
b) con riguardo ai dati personali raccolti in occasione dell'adesione all'operazione a premi “optime”, l'”autorizzazione” del cliente al trattamento per finalità di marketing svolto dalla società non è distinta da quella richiesta per beneficiare, più in generale, dei vantaggi connessi alla partecipazione all'operazione a premio (pur non essendo necessario raccogliere tale consenso per detto trattamento, come sopra precisato) e la mancata accettazione delle condizioni relative al trattamento dei dati personali (nell'indicata formula onnicomprensiva) preclude l'iscrizione al programma “optime”.
Ne deriva che il consenso al trattamento dei dati per finalità di marketing non soddisfa i requisiti posti dalla legge, in base ai quali esso “è validamente prestato solo se è espresso liberamente” (art. 23, comma 3, del Codice). In casi come quello in esame, come già rilevato da questa Autorità (Provv. 12 ottobre 2005, in http://www.garanteprivacy.it, doc. web n. 1179604; Provv. 3 novembre 2005 in http://www.garanteprivacy.it, doc. web n. 1195215), non può definirsi libero, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l'interessato deve prestare, accettando (nel caso di specie quale condizione per conseguire i vantaggi dell'operazione a premi) l'utilizzo di propri dati personali conferiti ad altri scopi per l'invio di comunicazioni pubblicitarie.
Gli interessati debbono essere invece messi in grado di esprimere (consapevolmente e) liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano (Provv. 28 maggio 1997, in Boll. n. 1, p. 17, doc. web n. 40425), manifestando il proprio consenso (per dir così, “modulare”) per ciascuna distinta finalità perseguita dal titolare (cfr. Provv. 24 febbraio 2005, punto 7). Tale capacità di autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità quali sono (come si è esplicitato al punto 2) la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali (marketing), ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un'autonoma valutazione e determinazione dell'interessato.
Qualora intenda intraprendere nuovi trattamenti di dati personali del genere qui esaminato (definizione dei profili della clientela e invio alla clientela di comunicazioni commerciali), la società dovrà pertanto provvedere a predisporre modelli di raccolta del consenso della clientela (anche rispetto alle adesioni pervenute tramite il sito web) che consentano autonome dichiarazioni di consenso da parte dell'interessato in presenza di distinte finalità del trattamento, nel caso di specie relative alle operazioni di definizione dei profili di consumo e preferenze individuali e di invio di comunicazioni commerciali.
6. Notificazione dei trattamenti per finalità di definizione dei profili della clientela
Le operazioni di trattamento realizzate con l'ausilio di strumenti elettronici al fine di analizzare preferenze e scelte di consumo degli interessati sono comprese nella tipologia di trattamenti individuati dall'art. 37, comma 1, lett. d) del Codice, che prevede la notificazione al Garante, alle condizioni previste all'art. 181, comma 1, lett. c) del Codice, obbligo rispetto al quale la società è risultata inadempiente.
Pertanto, la società dovrà provvedere ad effettuare la relativa notificazione entro il 31 marzo 2006.
Come per la mancata o inidonea informativa, l'omessa notificazione sarà oggetto di separata contestazione amministrativa (art. 163 del Codice).
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara illecito il trattamento dei dati personali della clientela effettuato da Italjolly Compagnia italiana dei Jolly hotels S.p.a. e descritto nei punti da 1 a 6 in motivazione, con particolare riguardo ai seguenti profili:
omessa e incompleta informativa, con riguardo a quella resa:
a tutta la clientela presso le singole strutture alberghiere (punto 4, lett. a);
alla clientela aderente all'operazione a premi denominata “optime” (punto 4, lett. b);
alla clientela in occasione della raccolta on-line di dati personali al fine di prenotare soggiorni (punto 4, lett. c);
all'atto dell'iscrizione on-line alla newsletter della società (punto 4, lett. d);
mancata acquisizione del consenso per le attività connesse alla definizione dei profili individuali in relazione a scelte e preferenze di consumo (punto 5);
mancata acquisizione di un ulteriore e specifico consenso per svolgere operazioni di marketing nell'ambito della gestione dell'operazione a premi denominata “optime” (punto 5);
omessa notificazione dei trattamenti volti a definire il profilo degli interessati e ad analizzarne abitudini o scelte di consumo (punto 6);
b) vieta a Italjolly Compagnia italiana dei Jolly hotels S.p.a., ai sensi dell'art. 154, comma 1, lett. d), del Codice, la prosecuzione delle operazioni di trattamento di dati personali effettuate in violazione di legge nei termini di cui alla lettera a);
c) ferma restando l'inutilizzabilità dei dati personali sinora trattati in violazione di legge nei termini di cui alla lettera a), prescrive a Italjolly Compagnia italiana dei Jolly hotels S.p.a., ai sensi dell'art. 154, comma 1, lett. c), del Codice di adottare le misure necessarie indicate nel presente provvedimento (punti da 3 a 6) al fine di conformare alle disposizioni vigenti nuovi trattamenti di dati personali che intenda intraprendere, con specifico riferimento, per quanto attiene ai tempi di conservazione dei dati trattati per la gestione dell'operazione a premio e per la definizione dei profili della clientela, a quanto indicato nel punto 3;
d) dispone che Italjolly Compagnia italiana dei Jolly hotels S.p.a. confermi a questa Autorità, qualora intenda intraprendere nuovi trattamenti di dati personali del genere qui esaminato (la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali), e prima che i trattamenti siano effettuati, che gli stessi sono conformi alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione.
Roma, 9 marzo 2006
IL PRESIDENTE, Pizzetti
IL RELATORE, Pizzetti
IL SEGRETARIO GENERALE, Buttarelli