Garante per i dati personali - 24/02/2005 - n. 159772 Articolo unico

Le manifestazioni a premio

Come anticipato, si ritiene utile definire sinteticamente le manifestazioni a premio e fare un cenno alla loro disciplina, anche al fine di parametrare le finalità dei programmi di fidelizzazione con le raccolte dei dati personali e di confrontare le figure dei promotori del programma stesso con quelle dei titolari del trattamento.

Le manifestazioni a premio, che consistono in concorsi ed operazioni a premio di ogni specie, sono promesse di premi al pubblico dirette a favorire, nel territorio dello Stato, la conoscenza di prodotti, servizi, ditte, insegne, marchi oppure la vendita di determinati prodotti o la prestazione di servizi, aventi comunque fini anche in parte commerciali. Il premio ha lo scopo di invogliare all'acquisto o alla vendita del prodotto o del servizio reclamizzato o di richiamare l'attenzione sull'impresa promotrice dell'iniziativa e sui prodotti o servizi da essa offerti (in Portale tutto Camere.it: il portale della informazione sulla Camera di Commercio per professionisti e Imprese).

Promotore è il soggetto commerciale nel cui interesse, in tutto o in parte, è svolta la manifestazione a premio, poiché esso, attraverso la promessa di premi, consegue un vantaggio economico derivante dalla conoscenza del proprio marchio, della propria ditta, della propria insegna, dei propri prodotti o dalla vendita degli stessi. Pertanto legittimati a svolgere le manifestazioni a premio sono esclusivamente i soggetti iscritti nel Registro delle imprese e non le persone fisiche, anche se titolari di partita I.V.A. (in questo senso, Ministero dello sviluppo economico, Manifestazioni a premio domande frequenti).

Da considerare che ai sensi dell'art. 5,d.P.R. n. 430/2001, i concorsi e le operazioni a premio sono effettuati soltanto da imprese produttrici o commerciali fornitrici o distributrici dei beni o dei servizi promozionati e dalle organizzazioni rappresentative dell'associazionismo economico tra imprese costituite sotto forma di consorzi e di società anche cooperative.

Inoltre l'art. 5, comma 4) d.P.R. n. 430/2001 prevede che, in caso di manifestazione effettuata da due o più soggetti, gli stessi sono responsabili in solido per le obbligazioni assunte nei confronti dei promissari e per il pagamento delle sanzioni dovute. La responsabilità solidale non si estende ai rivenditori dei prodotti o dei servizi promozionati che non hanno concorso all'organizzazione della manifestazione.

Va in fine precisato che le informazioni sui promotori andranno riportate nel regolamento del Programmadi fidelizzazione, difatti ai sensi dell'art. 10, comma 3) del precitato d.P.R. n. 430/2001, i soggetti che intendono svolgere una operazione a premio redigono un apposito regolamento, autocertificato con dichiarazione sostitutiva di atto notorio resa dal rappresentante legale della ditta promotrice omissis.

Quanto sopra renderà il più delle volte sovrapponibile la figura del promotore, che organizza la manifestazione e nel cui interesse verranno raccolte le informazioni relative ai partecipanti (talvolta anche ai loro familiari), tramite le schede clienti connesse alle carte fedeltà, con quella del titolare del trattamento dei dati personali ai sensi dell'art. 4. par. 1, n. 7 GDPR. Al riguardo, anticipando quanto verrà più dettagliatamente rappresentato nei paragrafi successivi, la base giuridica prevista per il trattamento dei soli dati personali necessari alla partecipazione all'operazione a premi sarà quella identificata dall'art. 6.1.b) ovvero il trattamento necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato”

Posto che il titolare del trattamento è: ”la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, ovvero la figura che tratta i dati senza ricevere istruzioni da altri, e posto che le operazioni a premi possono essere effettuate solo da soggetti commerciali, sarà in linea di massima l'impresa promotrice, nel cui interesse viene svolta la manifestazione a premi, ad indicare le finalità del trattamento dei dati e i mezzi del trattamento.

Quanto anticipato, può valere anche nel caso in cui vi siano più promotori, così come ammesso dall'art 5, comma 4) d.P.R. n. 430/2001, poiché in questa seconda ipotesi si potrà avere la coincidenza con quella dei contitolari del trattamento dei dati personali. Difatti è possibile che coesistano più titolari del trattamento che decidono congiuntamente di trattare i dati per una finalità comune. In tale caso la normativa (art. 26, GDPR) impone ai contitolari di definire specificamente, con un atto giuridicamente valido, il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari. Nei predetti casi potremmo ravvisare una ipotesi di contitolarità asimmetrica, “dove la contitolarità potrebbe essere limitata alla sola porzione di determinazione congiunta delle finalità”.

Invero la contitolarità non dà luogo a una fusione delle rispettive organizzazioni di trattamento, per cui ciascun contitolare rimarrà soggetto apicale della propria, gestendo in autonomia i propri ruoli subordinati.

Può coesistere pertanto in capo ad uno stesso soggetto una titolarità autonoma per certi rapporti e una contitolarità per altri” (Pelino, in Bolognini-Pelino-Bistolfi, cap. 3).

Va ricordato, che al fine di garantire la trasparenza verso i soggetti interessati, ovvero nel caso di specie i titolari delle carte fedeltà e/o anche eventualmente i loro familiari, le cui informazioni sono state raccolte dai titolari del trattamento (che come abbiamo indicato spesso può coincidere con i promotori),”che l'art. 26 del GDPR impone ai contitolari di definire ruoli e sfere di responsabilità rispetto ai trattamenti congiunti nell'ottica di agevolare l'esercizio dei diritti da parte degli interessati e di garantire una più agevole allocazione delle responsabilità.” (in tema contitolarità vedi anche, Riccio, Scorza, Belisario, art. 26).

La “fidelizzazione” nell'ambito della grande distribuzione

Entrando nel vivo della disamina di compatibilità residuale, va rilevato che nelle premesse al Provvedimento, innanzi tutto il Garante descrive il fenomeno della fidelizzazione nell'ambito della grande distribuzione, censurando i comportamenti lesivi dei diritti degli interessati.

Pertanto, riguardo alla fidelizzazione in senso stretto, il Garante prescriveche il trattamento sia limitato ai dati necessari per attribuire i vantaggi connessi alla titolarità della carta, e, quindi, essenzialmente, ai dati anagrafici ed a quelli relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti o servizi). Viene chiarito dalla Autorità, che si tratta di una finalità circoscritta e conseguentemente, la raccolta dei dati relativi al cliente che richiede il rilascio della carta, dovrà limitarsi alle informazioni sopra indicate, risultando eventuali ulteriori dati (per esempio professione, titolo di studio, ecc.) non pertinenti alla finalità perseguita e dichiarata.

Le prescrizioni contenute nel Provvedimento del 2005, necessitate tra l'altro da diversi reclami e segnalazioni indirizzate alla Autorità, riguardano in termini generali tutti i tipi di “carte” nel settore della c.d. grande distribuzione, siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettronico, presso punti-vendita oppure on line, nominativamente ovvero assegnando un codice identificativo, accumulando o meno punti rapportati a spese e servizi.

Gli intestatari delle “carte” usufruiscono di alcuni vantaggi per effetto della titolarità della carta, oppure del genere o volume di spesa o delle prestazioni richieste (ad es., sconti per l'acquisto di prodotti; premi o bonus correlati; priorità; servizi accessori; facilitazioni di pagamento).

Recita il par. 1) del Provvedimento del 2005, che i principi normativi richiamati nel Provvedimento in questa sede per la grande distribuzione hanno carattere generale e sono già applicabili in diversi ambiti, quali tra l'altro la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell'editoria, nel noleggio, ecc. (Par. 1 Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005). Sempre al par. 1), il Garante analizza le diverse modalità di raccolta dei dati personali al fine del rilascio delle carte, nonché le diverse modalità di utilizzo delle informazioni personali.

Prosegue il predetto Paragrafo, evidenziando che il rilascio delle carte (spesso preceduto dalla compilazione di un modulo di adesione e di un questionario), e la loro utilizzazione (che determina la registrazione di acquisti di beni e servizi), comportano un trattamento dei dati personali dei clienti e,a volte, dei loro familiari. Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spesso raccolte altre informazioni relative al cliente o a suoi familiari, non necessarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione, interessi, abitudini, preferenze, modalità di acquisti, ecc.). Tali informazioni vengono di frequente trattate unitariamente, per finalità diverse che richiedono quindi modalità differenziate; non di rado, è fornita solo un'informativa generica che descrive i trattamenti in modo non adeguatamente distinto.

La sopra esposta analisi “censoria” non può che essere in linea con sia con il Capo II del Regolamento, art. 5) in relazione ai principi applicabili al trattamento di dati personali, ove viene disposto che i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»), nonché adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

In fine il Garante, al par. 1) del Provvedimento, evidenzia che le analisi svolte sulle abitudini e scelte di consumo presentano rischi per gli interessati, anche quando i dati non sono comunicati a terzi. Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ricevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei loro comportamenti, vengono profilati anche all'interno di specifiche banche dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne peraltro consapevoli non avendo ricevuto un'adeguata informativa.

I c.d. “cluster”

Importante anche l'analisi della Autorità in materia di profili individuali, i quali vengono costituiti in base alle informazioni richieste e acquisite ai sensi del Programma con l'utilizzo delle carte fedeltà. Il Provvedimento al par. 1) evidenzia che nel corso del Programma, la grande distribuzione e/o le altre tipologie di promotori, definiscono anche profili individuali o di gruppo(segmenti di clientela con caratteristiche omogenee, c.d. cluster ), ovvero propensioni al consumo, senza che gli interessati vi abbiano potuto acconsentire sulla base di informazioni chiare e specifiche. L'acquisto di beni e di servizi può persino determinare, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui trattamento non è di regola consentito per le finalità in esame.

Anche in questo caso specifico l'analisi della Autorità nel Provvedimento del 2005, nel richiedere trasparenza e consensi specifici e informati, è in linea con le prescrizioni del Regolamento e con definizioni dell'art. 4 del GDPR, che definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”. Difatti per profilazione si intende l'insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento (segmentazione) (vedi anche infra).

A seguito del Provvedimento, è stato chiarito dal Garante, che le società non devono chiedere ai clienti il consenso per l'uso dei loro dati quando rilasciano carte di fedeltà ai soli fini di sconti, premi, bonus, servizi accessori, facilitazioni di pagamento. È sufficiente una adeguata informativa sull'uso dei dati personali trattati a questo scopo. Il consenso libero ed informato dei clienti deve essere invece richiesto quando i dati personali raccolti tramite le carte di fedeltà vengono usati anche ad altri fini, quali, ad esempio, il marketing personalizzato, lo studio dei comportamenti e delle scelte d'acquisto, l'individuazione di fasce di reddito. I consumatori hanno diritto di non dare il consenso all'uso dei dati per tali scopi, senza per questo dover rinunciare alla carta di fidelizzazione (GPDP 29 luglio 2005 [web n. 1153079]).

In ordine a quanto pocanzi rappresentato, circa il divieto di uso promiscuo dei consensi, si evidenzia che il Garante privacy nel 2008 ha vietato a quattro società l'uso di dati personali trattati in modo illecito in quanto eccedenti rispetto alla finalità del programma e raccolti attraverso moduli poco chiari e con informazioni incomplete, e per di più con l'impossibilità di esprimere liberamente il consenso per i trattamenti di dati a fini di marketing.

Ulteriore fattore di illiceità è stato ravvisato nella omissione della indicazione dei diritti di accesso GPDP [doc. web nn. 1466930, 1466898, 1466956, 1466971, 1466985].

Recita il considerando 70 del GDPR, che qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, sia con riguardo a quello iniziale o ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Tale diritto dovrebbe essere esplicitamente portato all'attenzione dell'interessato e presentato chiaramente e separatamente da qualsiasi altra informazione.

Sul punto va rilevato che in base a quanto indicato all'art. 22, comma 4) d.lgs. n. 101/2018, sarà cura dell'interprete riferire il presente provvedimento ai diritti indicati al Capo III, del Regolamento (UE) 2016/679, fino a quando il provvedimento non verrà aggiornato dall'Autorità.

Necessità e proporzionalità

Il provvedimento al par. 2) delimita l'ambito di applicazione delle prescrizioni, che sono impartite tenendo conto delle distinzioni relative alle tre principali finalità indicate (fidelizzazione in senso stretto, realizzata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi di abitudini e scelte di consumo; marketing diretto), che rendono necessario diversificare le modalità del trattamento, in particolare per quanto riguarda le tipologie di dati e la loro conservazione.

Secondo il par. 2) del Provvedimento, i trattamenti devono svolgersi rispettando i principi di necessità, liceità, correttezza, qualità dei dati e di proporzionalità (artt. 3 e 11 del Codice A-R). Va evidenziato che, anche ai sensi del d.lgs. n. 101/2018 – che ha abrogato l'art. 3), principio di necessità nel trattamento dei dati e l'art. 11) modalità del trattamento e requisiti dei dati –, tale indicazione non potrà che essere integrata e correttamente riferitaall'art. 5) del Reg. (UE) 2016/679.

L'analisi dell'interprete andrà riferita pertanto integralmente ai dettami del predetto art. 5, con uno sguardo, tra l'altro alla lett. e ), in relazione alle modalità di conservazione dei dati, i quali dovranno essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Da notare che il provvedimento pienamente in linea con i principi del GDPR, prescrive che il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono essere perseguite con dati anonimi o solo indirettamente identificativi.

Al termine della disamina del par. 2) del Provvedimento, va evidenziato che posto che a seguito della pubblicazione del d.lgs. n. 101/2018 è stata sostanzialmente modificata la parte I, Disposizioni generali del cod. privacy A-R, i riferimenti normativi del Provvedimento, relativi al principio di proporzionalità nel trattamento ai sensi dell'art. 11, comma 1), lett. d) cod. privacy A-R, dovranno essere correttamente indirizzati all'art. 5 del GDPR, con riferimento al concetto di trattamento adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

In ultimo, fermo restando anticipato in merito alla minimizzazione dei dati, è stato precisato in dottrina che, le possibilità offerte dalle operazioni di data miniming, possono riguardare non solo la profilazione del singolo interessato, ma anche il trattamento dei dati funzionale all'individuazione di target/gruppi entro cui ricomprenderlo (Bolognini, inBolognini, Pelino, Bistolfi, cap. 2).

Utilizzo dei dati sensibili

L'analisi del Provvedimento entra nel merito dell'utilizzo dei dati sensibili, così come definiti dall'art. 4, comma 1), lett. d), del codice privacy A-R, affermando che l'utilizzo di tali dati non è di regola ammessa per alcuna delle finalità indicate, fatta salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato, in linea a quanto era previsto dal previgente art. 26 cod. privacy. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie (Aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190).

Va rilevato in primis, il riferimento ai dati sensibili non più attuale ai sensi delle definizioni ex art. 4, del GDPR, non potrà che essere collegato all'art. 9) del Reg. (UE) 2016/679, che vieta il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Mentre la deroga al divieto, relazionata alla tipicità e finalità del trattamento connesse alle schede fedeltà, potrà essere collegata al paragrafo 2) lett. a) art. 9, del GDPR, che esclude il divieto se l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1), nonché all'art. 6 paragrafo 2) lettere a) e b).

Tale ipotesi di esclusione, dovrebbe tra l'altro essere relazionata a quanto previsto nel Provvedimento, par. 2), che la considera eccezionale in quanto il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene o servizio richiesto e sia stato autorizzato dal Garante, oltre che acconsentito per iscritto dall'interessato.

In merito alla autorizzazione preventiva del Garante, va precisato che secondo il principio di responsabilizzazione, l'istituto della notifica e del prior checking, vengono sostituiti da verifiche dell'autorità di controllo ex post, cioè compiute successivamente alle determinazioni assunte autonomamente dal titolare del trattamento. Oggi, per adottare le misure di sicurezza adeguate in base al tipo di trattamento svolto, il titolare dovrà effettuare un'analisi del rischio, vale a dire valutare tutti i possibili rischi che possono verificarsi in ordine ai dati trattati (art. 24 GDPR).

Ai sensi dell'art. 35 del GDPR, quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Ove emerga che il trattamento può presentare un rischio elevato in assenza di misure adottate dal titolare del trattamento, il titolare del trattamento consulterà l'autorità di controllo prima di procedere al trattamento (art. 36 GDPR).

La consultazione preventiva difatti sostituisce la verifica preliminare di cui all'art. 17, del Codice privacy A-R (Riccio, Scorza, Belisario, art. 36).

Un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35.4, GDPR è stato Pubblicato sulla Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018 – (GPDP 11 ottobre 2018), [doc. web. n. 9058979]

In secundis va rilevato che, il riferimento al par. 2) del Provvedimento(cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190), non è più applicabile in quanto recentemente l'Autorità ha individuato con Provvedimento del 13 dicembre 2018 n. 497, le autorizzazioni generali ancora compatibili con il GDPR e con la recente riforma del cod. privacy.

In base all'analisi effettuata dal Garante, quattro autorizzazioni hanno cessato completamente i loro effetti, tra le quali l'Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari.

Ai sensi dell'art. 9 del GDPR e del presente regolamento le categorie particolari di dati ai fini dell'erogazione dei servizi legati alle carte fedeltà, potranno essere trattati solo con il consenso e sempre cheil trattamentodi dati sia realmente indispensabile in rapporto allo specifico bene o servizio.

In conclusione il titolare dovrà essere estremamente cauto nella raccolta, nella conservazione e nell'uso delle predette informazioni in deroga all'art. 9 del GDPR .

Finalità di “fidelizzazione” in senso stretto

Il Provvedimento al paragrafo n. 2) prevede che possono essere trattati esclusivamente i dati necessari per attribuire i vantaggi connessi all'utilizzo della carta. Si tratta: dei dati direttamente correlati all'identificazione dell'intestatario della carta, quali le informazioni anagrafiche;dei dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli – e in particolare conservarli – per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L'eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di “fidelizzazione”; nei casi particolari in cui essa è lecita, deve essere rispettato il principio di proporzionalità.

Merita di essere ricordato che il Garante per la protezione dei dati personali, nel proprio piano di verifiche programmate per accertare la corretta applicazione della normativa privacy ed in particolare del provvedimento generale sulle “fidelity card” adottato nel febbraio del 2005, ha disposto diversi accertamenti nell'anno 2008, vietando a quattro società – di un gruppo di cinque sottoposto a controlli – l'uso di dati personali trattati in modo illecito. Di seguito quanto dichiarato attraverso la propria newsletter: “troppi i dati raccolti per i programmi di fidelizzazione, moduli poco chiari e con informazioni incomplete, impossibilità di esprimere liberamente il consenso per i trattamenti di dati a fini di marketing. Supermercati, catene di negozi, agenzie di viaggi raggiunti dal divieto non potranno più utilizzare i dati e dovranno conformarsi alle misure prescritte. Prosegue senza sosta, anche attraverso accertamenti della Guardia di finanza, l'azione del Garante a tutela dei consumatori che aderiscono ai programmi di fidelizzazione promossi da operatori economici della grande distribuzione, telefonia, trasporti, viaggi.” (newsletter GPDP 5 febbraio 2008) [doc. web. 1486291].

Altrettanto nel 28 maggio 2009, con proprio Provvedimento l'Autorità ha richiesto ad una società tessile di cancellare i dati personali riferiti ai clienti titolari di carte di fidelizzazione non pertinenti ed eccedenti, consistenti nella professione del soggetto richiedente la carta oltre che i dati riferiti ai figli del richiedente, nonché di specificare nell'informativa fornita in occasione del rilascio delle carte di fidelizzazione per quali dati personali il conferimento sia obbligatorio (GPDP 28 maggio 2009 [doc. web n. 1625257] – Fidelity card: prescrizioni su trattamento eccedente di dati personali e informativa al cliente).

Finalità di “profilazione” della clientela

Per analizzare il delicato tema della finalità di profilazione della clientela, definita all'art. 4.1.4 del GDPR e delimitata dall'art. 22) GDPR in merito ai processi decisionali automatizzati compresa la profilazione, può risultare utile quanto indicato dal Gruppo di lavoro dei Garanti europei WP 29, con l'Opinion sul processo decisionale automatizzato e profilazione, rev.01, che chiarisce che la fattispecie della profilazione è integrata allorquando concorrano le seguenti tre caratteristiche: il trattamento sia svolto in forma automatizzata, esso abbia ad oggetto dati personali, il suo obiettivo sia quello di valutare aspetti personali di una persona fisica (WP29, cit.). Da ricordare, che in ottemperanza di quanto previsto dall'art. 68 del Reg. 2016/679, il predetto Gruppo è stato sostituito dal Comitato europeo per la protezione dei dati, il quale durante la prima riunione plenaria ha approvato le linee-guida relative al regolamento generale sulla protezione dei dati messe a punto dal gruppo di lavoro “Articolo 29”.

Naturalmente la prima analisi in merito alla profilazione nell'ambito di manifestazioni a premio, connesse alla erogazione di carte fedeltà, sarà la finalità della attività di profilazione che dovrebbe essere diretta a favorire la conoscenza e/o vendita di prodotti, servizi etc. aventi comunque fini anche in parte commerciali (art. 5 d.P.R. n. 430/2001).

Mediante la profilazione, infatti, si raccolgono informazioni su un individuo (o gruppo di individui), si analizzano le sue caratteristiche o modelli di comportamento e si inserisce il profilo individuale in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un'attività, i suoi interessi o comportamento probabile (WP29 cit.).

Da chiarire che la semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione. Quest'ultima dipende infatti dalla finalità della classificazione. Ad esempio, un'azienda potrebbe voler classificare i propri clienti in base all'età o al sesso per finalità statistiche e per acquisire una panoramica aggregata dei propri clienti senza effettuareprevisioni o trarre conclusioni in merito a una persona specifica. In questo caso, la finalità non è la valutazione delle caratteristiche individuali e quindi non si tratta di profilazione (WP29 cit.).

I Garanti, constatano con la predetta opinion, che la profilazione e il processo decisionale automatizzato sono utilizzati in un numero crescente di settori, tanto privati quanto pubblici.

La profilazione presenta numerose applicazioni commerciali: ad esempio, possono essere utilizzati per segmentare meglio i mercati e personalizzare i servizi e i prodotti allineandoli alle singole esigenze. Le opportunità commerciali create dalla profilazione, da costi di memorizzazione più economici e dalla capacità di trattare grandi quantità di informazioni possono incoraggiare le organizzazioni a raccogliere più dati personali di quelli di cui hanno effettivamente bisogno, poiché tali dati potrebbero rivelarsi utili in futuro. Il titolare del trattamento deve assicurarsi di rispettare il principio di minimizzazione dei dati e le prescrizioni dei principi di limitazione della finalità e limitazione della conservazione (WP29 cit.).

Fatte queste doverose premesse resta da chiedersi se e quali indicazioni indicate al paragrafo 4) del Provvedimento (di seguito riportate in virgolettato), possano essere considerate ancora attuali rispetto alle previsioni del Regolamento (UE) 2016/679.

”L'attività di profilazione riguardante singoli individui o gruppi può essere svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (ad esempio, un codice numerico), senza una relazione tra i dati che permettono di individuare gli interessati e le indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se la finalità può essere perseguita con tali modalità (specie per quanto riguarda la profilazione della clientela per categorie omogenee), non è lecito utilizzare – e tanto meno conservare – dati personali o identificativi. Negli altri casi, le informazioni che si intende acquisire (sia all'atto dell'adesione del cliente all'iniziativa, sia per effetto dell'eventuale registrazione di singoli beni e servizi accessori), e le modalità del loro trattamento, devono essere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati o dei servizi resi. Il principio di proporzionalità va osservato anche per quanto riguarda l'eventuale intenzione di registrare le informazioni in banche di dati, tanto più se centrali. Inoltre, queste ultime non devono essere interconnesse –o fonte di intrecci e raffronti di dati – con quelle utilizzate per la fidelizzazione in senso stretto.

Le predette prescrizioni risultano ancora attuali e in linea con quanto previso all'art. 25 del GDPR, “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”; altrettanto il divieto all'utilizzo di analisi profilate per dati “sensibili” salvo correttamente riferirlo alle categorie particolari di dati.

Finalità di marketing diretto

Recita il par. 5) del Provvedimento, che possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per l'invio di materiale pubblicitario – anche attraverso riviste di settore – o di comunicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati direttamente correlati all'identificazione dell'intestatario della carta o di suoi familiari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati personali derivanti dalla profilazione deve essere oggetto di un consenso differenziato dei diretti interessati.

Da rilevare che le prescrizioni contenute nel Provvedimento del 2005, al par. 5) non prendono in considerazione, il legittimo interesse del titolare che costituisce una nuova base giuridica di liceità del trattamento ai sensi dell'art. 6), lett. f) del GDPR. Recita l'art. 6) lett. f) del GDPR, che il trattamento è lecito “se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore”. Tale condizione di liceità potrebbe essere ricompresa nella informativa, con riferimento al considerando n. 47) del Regolamento, che ritiene legittimo poter trattare dati personali ai sensi dell'art. 6) lett. f) del Regolamento anche per finalità di marketing diretto.

Se il trattamento è basato sulla predetta condizione di liceità non occorre il consenso dell'interessato, purché vengano debitamente valutate le ragionevoli aspettative di quest'ultimo, in base alla relazione con il titolare del trattamento (considerando 47 GDPR); naturalmente occorrerà nel rispetto di quanto previsto agli artt. 12 e ss., avvisare l'interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi.

In conclusione, l'azienda, prima di iniziare qualsiasi trattamento dei dati sulla base dei legittimi interessi, deve non solo valutare se ha correttamente preso in considerazione tutti i rischi, ma anche essere in grado di dimostrare che gli interessi relativi sono stati ben bilanciati tra loro. Inoltreuna ulteriore base giuridica di comunicazione con i clienti interessati, può essere quella del cosiddetto soft spam prevista dall'art. 130 comma 4 del Codice privacy che consente l'invio di comunicazioni commerciali da parte del titolare del trattamento se questi, utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio. In tale caso il titolare può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, e che quest'ultimo non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. Naturalmente l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità appena illustrate è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”

Informativa agli interessati

Il Provvedimento al paragrafo n. 6), prevede che: «prima del conferimento dei dati e del rilascio della carta deve essere fornita al cliente un'informativa chiara e completa, al fine di consentire un'adesione pienamente consapevole alle iniziative proposte. Nel rispetto del principio di correttezza art. 11, comma 1), lett. a) cod. privacy, non sono consentiti comportamenti suscettibili di incidere sulle scelte libere e consapevoli del cliente nell'adesione ai “programmi di fidelizzazione”». Quanto previsto nell'incipit del paragrafo 6) non può che essere nella sostanza in linea con le indicazioni fornite dal reg. (UE) 2016/679 considerando 42, 60, 61 nonché con l'art. 7, GDPR.

In attesa di una revisione del provvedimento di cui in narrativa, dovrà essere cura dell'interprete, integrare le presenti indicazioni con quanto previsto al capo III del Reg. 2016/679 con particolare riguardo ai diritti degli interessati.

Va considerato che come indicato dal Gruppo dei Garanti Europei, con le Linee Guida sulla Trasparenza, oltre al contenuto, sono importanti anche la forma e il modo in cui dovrebbero essere fornite le informazioni richieste dagli artt. 13) e 14). Il requisito che l'informazione sia “intelligibile” significa che dovrebbe essere compresa da un campione medio degli interessati. Questo significa che il Titolare deve identificare a priori l'utenza ipotizzata e verificare il livello di comprensione dell'utente medio. Poiché l'utenza ipotizzata, tuttavia, potrebbe differire da quella effettiva, il Titolare dovrebbe anche verificare regolarmente se l'informativa è ancora adatta all'utenza effettiva (in particolare quando comprende minori), e apporre modifiche se necessario. (WP29 lg trasparenza rev.01).

Diversamente andranno riparametrati i riferimenti normativi al Codice privacy, posta la sostanziane abrogazione della parte prima del predetto codice – ai sensi del d.lgs. n. 101/2018 –, necessario pertanto riferirsi al par. 1) art. 5) del GDPR.

Da notare che le indicazioni dettagliate relative alle operazioni di rilascio della carta, indicate nel Provvedimento, sono in linea con le predette indicazioni del regolamento, richiamando nella sostanza i principi di correttezza e di trasparenza, con particolare riguardo alla richiesta di tempo necessario ad essere previamente informati e maturare un consenso consapevole riguardo ai dati da fornire.

Sempre in linea con le prescrizioni in merito ai principi di trasparenza rinvenibili tra l'altro nella vigente normativa consumeristica, il Provvedimento al par. 6) non consente generici rinvii a regolamenti di servizio non acclusi per le parti di riferimento. “L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine”.

Un ulteriore aspetto che dovrà essere integrato in merito alla informativa a cura dell'interprete, saranno le informazioni sulla profilazione e sul processo decisionale automatizzato, unitamente a informazioni pregnanti sulla logica applicata e le conseguenze rilevanti che si prevede il trattamento avrà per l'interessato (WP29 lg trasparenza rev.01).

In particolare, il provvedimento richiede, che siano essere poste in distinta e specifica evidenza le caratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure l'intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.

Deve risultare parimenti chiara la circostanza che, per questi scopi, il conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordinarie attività legate alla fidelizzazione in senso stretto.

In ultimo ai sensi dell'art. 13, par. 2), lett. a) dovrà essere indicato il periodo di conservazione dei dati in relazione alle specifiche finalità.

Adesione al “programma di fidelizzazione” e consenso al trattamento

In ordine ai requisiti previsti, per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi l'art. 7) del Provvedimento ricorda che occorre di regola accettare condizioni generali di contratto predisposte dal titolare del trattamento (di regola, lo stesso emittente della “carta”).

Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto è “necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato” non è corretto, in questo caso, sollecitare il consenso al trattamento dei dati. La precisazione è coerente con le prescrizioni del regolamento (UE) 2016/679, salvo la necessità dell'interprete di riferirsi alle condizioni di liceità indicate all'art. 6 del Regolamento, anziché agli artt. 24, comma 1, lett. b) cod. privacy oramai abrogati a norma del d.lgs. n. 101/2018.

Altrettanto corretto, salvo i precitati caveat, il richiamo a consensi specifici richiesti per ogni altra finalità di trattamento (profilazione e ricerche di mercato da un lato; marketing dall'altro) che comporti l'identificabilità degli interessati. Recita l'art. 7) del GDPR, che se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie. Mentre la richiesta di documentazione per iscritto dei consensi, si può ritenere una buona prassi. Difatti ai sensi dell'art. 7del GDPR, si richiede esclusivamente che: qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

A In merito alla durata del consenso, si può fare riferimento al provvedimento del Garante n. 181 del 15 ottobre 2020 ove si legge “Il consenso al trattamento dei dati personali per finalità promozionali, (...) deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall'interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell'informativa, nel rispetto dell'art. 5, par. 1, lett. e) del Regolamento”. (GPDP doc. web n. 9486485)

Mentre ai sensi dell'art. 9, par. 2) lett. a) del GDPR il consenso richiesto per trattare le categorie particolari di dati deve essere esplicito; ciò lascia più spazio a nuove modalità di raccolta del consenso, anche informatizzate, a differenza di quanto previsto dal Provvedimento che richiedeva il consenso scritto ai sensi dell'art. 23, comma 4 cod. privacyante novella.

Sulla tematica del recesso del programma di fidelizzazione e della connessa richiesta di diniego alla ricezione di comunicazione commerciali afferite al predetto programma si segnala un Provvedimento di ammonizione emesso dal Garante il 19 maggio 2020, nei confronti di Alitalia in Amministrazione Straordinaria, per la violazione legata all'invio di alcune e-mail di carattere commerciale ad un singolo interessato, dopo che questi aveva espresso la sua volontà di non partecipare più al programma di fedeltà denominato “MilleMiglia” e di non ricevere più le relative comunicazioni commerciali” (Registro dei provvedimenti n. 90 del 19 maggio 2020. Doc. Web [9443795]).

Da notare in ultimo che le prescrizioni che richiedevano ai titolari di rispettare le prescrizioni dell'art. 130 cod. privacy, in relazione alle forme di comunicazione mediante posta elettronica, fax, sistemi automatizzati di chiamata e messaggi del tipo MMS o SMS o di altro tipo, sono ancora attuali posto che il d.lgs. n. 101/2018 ha confermato la vigenza dell'art. 130 cod. privacy anche se con modifiche parziali.

Inoltre, in merito alle irregolarità sulla acquisizione dei consensi si evidenzia un importante provvedimento sanzionatorio emesso dalla Autorità Garante per la protezione dei dati personali che ha sanzionato Douglas Italia per un milione e quattrocentomila euro per diverse violazioni del GDPR, con particolare riguardo alla mancanza di trasparenza e una irregolare acquisizione del consenso, il quale è una fattispecie complessa nella quale l'elemento dell'espressione della volontà dell'interessato deve necessariamente essere correlato ad un idoneo quadro informativo sul trattamento fornito dal titolare, in difetto del quale la volontà dell'interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento (Registro dei provvedimenti n. 348 del 20 ottobre 2022.

Tempi di conservazione

La tematica legata ai tempi di conservazione dei dati presenta particolare interesse per tutti gli operatori della grande distribuzione – e non –, erogatori di carte fedeltà. Il Provvedimento al par. 8), prevede che in applicazione del menzionato principio di proporzionalità, va prescritta ai titolari del trattamento l'identificazione di termini massimi di conservazione dei dati da osservare presso banche dati sia centrali, sia locali.

Sempre nel Provvedimento al par. 8) si richiede che tale identificazione venga effettuata dopo aver esaminato la possibilità di raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità sopradescritte, tenendo conto di eventuali scelte degli interessati sopravvenute. Da notare che seppur confermato e rafforzato il sopra esposto principio dall'art. 5, par. 1) lettere c) ed e) del Regolamento, le disposizioni richiamano i principi declinati nel codice privacy A-R (art. 11, comma1, lett. e), secondo il quale i dati personali dei quali non è necessaria la conservazione, in relazione agli scopi per i quali sono stati trattati, devono essere cancellati o trasformati in forma anonima. Non si ritiene pertanto che venga introdotto alcun elemento di sostanziale innovazione, rispetto a quanto disposto precedentemente dal Codice privacy A-R. Andranno pertanto considerate le basi giuridiche legate alle differenti finalità connesse al programma di fidelizzazione, a quelle di profilazione e di marketing. Dovrà essere pertanto attivato un processo da parte del titolare del trattamento atto a stabilire sin dall'inizio quali sono i dati personali strettamente necessari a ciascuna finalità di trattamento, definendo con esattezza la quantità dei dati e la durata della loro conservazione, tenendo conto che mentre le finalità di profilazione e marketing sono autorizzate dal consenso degli interessati iscritti al programma, i dati afferenti alla sola iscrizione al programma fedeltà sono strettamente connessi al contratto. Avremo pertanto in caso di recesso dal programma alcune informazioni che verranno conservate in base alla disciplina civilistica di riferimento.

Il Provvedimento indica dei termini di riferimento per l'anonimizzazione, come linea di indirizzo per gli operatori del settore, disponendo che i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili, possono essere conservati per finalità di profilazione o dimarketing per un periodo non superiore, rispettivamente, a dodicie a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati.

La predetta prescrizione prevista dall'Autorità Garante nel febbraio 2005, sebbene sia in linea con diverse prescrizioni del Regolamento (UE) 2016/679 – considerando 39 che richiede che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento; art. 13 par. 2 lett. a) che dispone di inserire la predetta indicazione nella informativa; art. 30 par. 1) lett. g) che richiede che ove possibile vengano indicati i termini di conservazione nel registro del titolare – nell'indicare termini di conservazione immaginati soprattutto sulla grande distribuzione, potrebbe costituire un'eccezione al principio di accontabitity.

Al riguardo il Provvedimento, prevedeva la possibilità di deroghe che avrebbero dovuto essere valutate dalla Autorità ai sensi “dell'art. 17 del Codice” A-R.

Invero, più di una volta, l'Autorità si è discostata essa stessa dalla predetta prescrizione, deliberando a seguito di verifiche preliminari in tema di conservazione dei dati per finalità di profilazione e marketing diretto, come nel caso di una importante e nota catena di gioiellerie (GPDP 24 aprile 2013, n. 219 [doc. web 2499354]).

Nel caso citato il Garante ha ritenuto che i dati personali che la Società intendeva conservare, riguardano acquisti relativi a beni particolari quali sono quelli di lusso e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato, anche in considerazione del fatto che, come dichiarato dal titolare, la frequenza media annuale di acquisto, per ciascun cliente, è pari a due. Alla luce di quanto sopra, il Garante ha ritenuto ragionevole che i dati personali precedentemente indicati fossero conservati per il termine massimo di dieci anni indicato dal richiedente, in quanto tale arco temporale appare proporzionato alle finalità che si intende realizzare come evidenziato dallo stesso richiedente.

Altra ipotesi di deroga, è stata riconosciuta ad un'altra società di moda, dove l'Autorità ha ritenuto che i dati personali precedentemente individuati potevano essere conservati per un termine pari ad un massimo di sette anni, in quanto tale arco temporale appare congruo e proporzionato sia alle finalità che si intendono realizzare sia alla tipologia di dati personali oggetto di trattamento. Il medesimo termine di conservazione risulta altresì adeguato in relazione ai rischi degli interessati dei cui dati si tratta, in quanto nonostante i beni acquistati riguardino un genere particolare, di “fascia alta”, i singoli prezzi variano a seconda della tipologia di prodotto, partendo da importi, per una vasta categoria di articoli, non particolarmente elevati (GPDP del 7 novembre 2013, n. 500) [doc. web 2920245].

Si ritiene pertanto che la verifica sulla proporzionalità dei termini di conservazione debba essere effettuata ai sensi dell'art. 24, del Reg. (UE) 2016/679, che prevede che il titolare del trattamento verifica tra l'altro, se lo stesso è proporzionato rispetto alle attività di trattamento. Solo nel caso in cui la valutazione di impatto preveda un rischio elevato in assenza di misure adottate dal titolare del trattamento si potrà rivolgere alla Autorità ai sensi degli artt. 35, e 36, per una consultazione.

Si fa presente, a tal riguardo, che l'Autorità Garante è di recente intervenuta sul tema con il Provvedimento del 27 aprile 2023 [doc. web n. 9902472], pronunciandosi nel merito delle politiche di data retention adottate da una Società. Nell'ambito della pronuncia menzionata, l'Autorità Garante ha infatti ritenuto “palesemente eccessiva rispetto alla misura di 12 mesi/24 mesi, indicata, in relazione alle [...] finalità [di profilazione e marketing diretto], nel provvedimento generale “Fidelity card' e garanzie per i consumatori” la durata decennale della conservazione di dati comprendenti anche dettagli oggettivamente riferiti a gusti e preferenze degli interessati.

Conclusivamente, merita un cenno la recente Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. – 20 ottobre 2022, nella quale l'Autorità Garante ha avuto modo di ripercorrere e riesaminare alcuni dei più interessanti profili di rilevanza ai fini del Provvedimento oggetto del presente commento: nello specifico, nella pronuncia citata l'Autorità Garante mette in luce la distinzione tra il tema della conservazione dei dati relativi ai dettagli degli acquisti in ambito fidelity e quello dell'efficacia del consenso espresso dall'interessato – tema, quest'ultimo, contiguo al primo ma con esso non coincidente e dunque da tenersi debitamente distinto. Ivi viene in particolare chiarito che, se da una parte il consenso al marketing e/o alla profilazione può ritenersi valido fino alla sua revoca o all'opposizione al trattamento per finalità promozionali, d'altra parte è fatto obbligo ai titolari del trattamento, nell'esercizio della propria accountability, di stabilire tempi di conservazione selettivi e limitati con particolare riguardo, rispettivamente, alla tipologia dei dati e alla durata.

Notificazione del trattamento e misure di sicurezza

In merito alla notificazione, posta l'abrogazione espressa dell'art. 37) codice Privacy A-R e dell'allegato b), va de plano, che detta sezione del Provvedimento non è più vigente. In ogni caso restano compatibili con lo spirito della norma le dichiarazioni di principio circa l'obbligo dei titolari di adottare le misure necessarie per agevolare l'esercizio dei diritti degli interessati ed il relativo riscontro tempestivo.

Difatti, come ricorda l'Autorità nella propria “Guida all'applicazione del Regolamento europeoin materia di protezione dei dati personali”, il titolare del trattamento deve agevolare l'esercizio dei diritti da parte dell'interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e GPDP).

Continuità di indirizzo

Nel rilevare che il paragrafo 10) del Provvedimento, titolato le informazioni da fornire al Garante risulta abrogato nella sua totalità, si evidenzia che il provvedimento: “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005” può costituire un valido strumento di indirizzo per quei titolari che intendano procedere alla raccolta dei dati ai fini della emissione di carte fedeltà, quanto sopra in linea con la scelta del legislatore di garantire la continuità facendo salvi per un periodo transitorio, sia i provvedimenti del Garante, sia le autorizzazioni generali oggetto di successivo riesame.

Pertanto in attesa di un successivo riesame, ovvero in attesa che le predette prescrizioni vengano riassunte e modificate su iniziativa delle categorie interessate quali Codici di condotta ai sensi dell'art. 40 del Regolamento, resterà l'onere a carico degli interpreti, di raccogliere i fondamenti essenziali del Provvedimento contenenti le regole per i programmi di fidelizzazione ed eventualmente bilanciare le rigide prescrizioni in merito ai termini di conservazione dei dati per le finalità di profilazione e marketing, nel rispetto del principio della accountability, con la tipologia di servizio e/o categoria merciologica verso la quale si intende fidelizzare la clientela.

Tale valutazione dovrà essere cauta ed espressa nel rispetto dei principi di lealtà, correttezza e trasparenza, previa una accurata e rendicontabile valutazione della adeguatezza della richiesta dei soli dati effettivamente necessari ad effettuare i trattamenti corrispondenti alle finalità dichiarate nella informativa.