Quanto fin’ora analizzato crea le basi per meglio comprendere l’intervento del Garante per la protezione dei dati personali del 24 febbraio 2005. Il provvedimento, rubricato “Fidelity card e garanzie per i consumatori. Le regole del garante per i programmi di fidelizzazione”, punta il dito su tutti i tipi di “carte” nel settore della c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettronico, presso punti-vendita oppure on-line, nominativamente ovvero assegnando un codice identificativo, accumulando o meno punti rapportati a spese e servizi, analizzando i profili di competenza rilevanti per il trattamento dei dati personali, senza valutare però specificamente requisiti prescritti da leggi o regolamenti in altri ambiti (ad es., dal D.P.R. 26 ottobre 2001, n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte).

Il rilascio di queste carte di fidelizzazione, spesso preceduto dalla compilazione di un modulo di adesione e di un questionario, e la loro utilizzazione, che nella maggior parte dei casi determina la registrazione di acquisti di beni e servizi, comportano infatti un trattamento dei dati personali dei clienti e, a volte, dei loro familiari. Accanto a dati anagrafici e recapiti, ormai anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.). Tali informazioni vengono di frequente trattate unitariamente, pur avendo finalità diverse e richiedendo, pertanto, modalità di trattamento differenziate. Consumatori, relativi nuclei familiari ed altre persone da essi indicati sono monitorati in dettaglio nei loro comportamenti, subendo profilazioni e raffronti anche all’interno di specifiche banche dati centrali o locali, senza esserne quasi mai consapevoli e senza aver ricevuto l’adeguata informativa prevista dalla legge. Vengono spesso definiti profili individuali o di gruppo (segmenti di clientela con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo, determinando, in talune circostanze particolari, la raccolta anche di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame. Al quadro si aggiungono, infine, tinte maggiormente fosche quando si associano eventuali contatti diretti con la clientela per operazioni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.

Non è inusuale, allora, trovarsi di fronte ad una sola informativa generica che descrive i trattamenti in modo non adeguatamente distinto. Stante “la crescente diffusione del fenomeno, e a garanzia degli interessati, il Garante prescrive ai titolari del trattamento di adottare alcune misure necessarie od opportune al fine di conformare i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del Codice)”.

Il Garante prende in considerazione e distingue le tre finalità specifiche di questo settore, ovvero fidelizzazione in senso stretto, realizzata attribuendo i vantaggi a cui si è fatto cenno, profilazione mediante analisi di abitudini e scelte di consumo e marketing diretto, tutte attributarie di specifiche e diversificate modalità di trattamento soprattutto per quanto riguarda le tipologie di dati e la loro conservazione.

In primo luogo, i trattamenti devono svolgersi rispettando i principi di necessità, liceità, correttezza, qualità dei dati e di proporzionalità (artt. 3[1] e 11[2] del Codice della privacy). In particolare, precisa il Garante, “in applicazione del principio di necessità (art. 3 del Codice), i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi”. Inoltre “nel rispetto del principio di proporzionalità nel trattamento (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite”. Nel merito, si deve precisare che, per le finalità in analisi, in alcun caso è possibile l’utilizzazione di dati sensibili[3], fatta salva l’ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato preventivamente autorizzato dal Garante, oltre che acconsentito per iscritto dall’interessato. Ciò vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie[4].
Devono, a questo punto, essere prese in considerazione le modalità di attuazione di questi principi in rapporto alle diverse finalità esplicitate.

_________________

[1] L'art. 3 prescrive che “I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.”

[2] L'art. 11, rubricato “Modalità del trattamento e requisiti dei dati”, prescrive:

“1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.”

[3] L’art. 4, comma 1, lett. d) definisce i dati sensibili come “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

[4] Cfr. Autorizzazione Generale del Garante n. 5/2004, “Autorizzazione al trattamento dei dati sensibili da parte di diverse categorie di titolari”, in G.U. 14 agosto 2004, n. 190.
Fonte: altalex


Alice Messenger ;-) chatti anche con gli amici di Windows Live Messenger e tutti i telefonini TIM!
Vai su http://maileservizi.alice.it/alice_messenger/index.html?pmk=footer