g-docweb-display Portlet

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali di clienti e potenziali clienti per un loro utilizzo a fini di profilazione e di promozione commerciale profilata - 2 luglio 2015 [4240978]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4240978]

Verifica preliminare. Prolungamento dei tempi di conservazione dei dati personali di clienti e potenziali clienti per un loro utilizzo a fini di profilazione e di promozione commerciale profilata - 2 luglio 2015

Registro dei provvedimenti
n. 394 del 2 luglio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito Codice);

VISTO il provvedimento generale del Garante del 24 febbraio 2005 relativo a "Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione" (in www.garanteprivacy.it, doc. web n. 1109624);

VISTA l´Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (di seguito, WP 29) n. 05/2014 sull´impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014 e disponibile al link http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/file /2014/wp216_it.pdf

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. La richiesta di verifica preliminare

Con istanza dell´11 febbraio 2015, presentata ai sensi dell´art. 17 del Codice e sulla base del provvedimento generale adottato dal Garante il 21 febbraio 2005 relativo alle carte di fidelizzazione, XY (di seguito, XY) ha richiesto all´Autorità "il rilascio dell´autorizzazione in merito al prolungamento dei tempi di conservazione dei dati personali di clienti e potenziali clienti per un loro utilizzo a fini di profilazione e di promozione commerciale profilata".

La società ha contestualmente fornito una serie di informazioni riguardo il trattamento dei dati personali in questione, chiarendo che esso si svolge nell´ambito di un programma di fidelizzazione lanciato nel 2014 per la durata di 24 mesi e consiste nella raccolta, da parte della società titolare, dei dati personali dei frequentatori di sale da gioco (dette anche "sale bingo") dislocate sull´intero territorio nazionale, della cui conduzione e gestione XY si occupa in qualità di concessionaria bingo.

In particolare, previa compilazione di un apposito modulo cartaceo per il rilascio di una carta denominata "Codere Card", acquisito in copia agli atti di questo procedimento, il cliente – anche solo potenziale – che desideri aderire all´iniziativa e dunque accetta il programma di fidelizzazione, ricevuta apposita informativa ai sensi dell´art. 13 del Codice, fornisce una serie di informazioni personali (nome, cognome, tipo e numero del documento di identità, telefono, indirizzo di posta elettronica, preferenze riguardo ai giochi disponibili, dati relativi alla frequentazione della sala ovvero di altre sale gestite da soggetti concorrenti etc.). All´esito, gli viene appunto rilasciata la cd. carta fedeltà che, mediante inserimento in appositi lettori (denominati Totem) situati presso le sale del circuito, consente la registrazione del numero di accessi effettuati, con relativa data e ora; ne consegue l´erogazione di punti il cui accumulo è preordinato alla consegna di premi.

La società ha dichiarato che il trattamento descritto - già oggetto di notificazione al Garante, del 30/6/2014, ai sensi dell´art. 37, comma 1, lett. d) del Codice - viene effettuato per finalità di fidelizzazione, di profilazione e di promozione commerciale e previa acquisizione del relativo consenso, ove necessario; ha inoltre descritto analiticamente sia le iniziative e le attività poste in essere con carattere di incentivo alla frequentazione delle sale, sia le diverse modalità attraverso le quali perseguire gli ulteriori obiettivi promozionali prefissi, tra cui quello del cd. recupero degli ospiti persi o della riattivazione degli utenti i cui comportamenti, a seguito di monitoraggio, facciano registrare una significativa riduzione della frequentazione delle sale.

Ha poi illustrato l´insieme delle misure di sicurezza adottate in relazione al menzionato trattamento, tanto nella fase di acquisizione quanto in quelle successive ed ulteriori, tra cui gestione, archiviazione, accesso, utilizzo e manutenzione dei dati come sopra specificati.

XY ha affermato che finora il trattamento dei dati in questione è stato effettuato in conformità alle prescrizioni rese dal Garante con il provvedimento del 25 febbraio 2005 relativo a "Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione", di cui in epigrafe.

Con tale decisione, ed in applicazione dei principi di minimizzazione e di proporzionalità, l´Autorità ha stabilito, tra l´altro, che i dati dei clienti "possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione"; che inoltre "eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell´art. 17 del Codice".

Muovendo da questo presupposto, con l´istanza del 13 febbraio 2015 la società ha chiesto all´Autorità di essere autorizzata "a conservare i dati personali dei visitatori delle sale da gioco che abbiano all´uopo concesso libero ed informato consenso per attività di profilazione e marketing diretto e promozione, per un periodo pari a cinque anni".

La richiesta è stata motivata sulla base di una serie di considerazioni: innanzitutto viene esplicitato che obiettivo della politica commerciale della società, "volta a incentivare la frequentazione delle sale da gioco", è la programmazione di azioni promozionali mirate rivolte a due diverse tipologie di utenti, identificate all´interno della più ampia categoria di coloro che, accedendo al programma di fidelizzazione, hanno richiesto, appunto, la carta fedeltà: quelli definiti "sporadici" (che hanno cioè effettuato "da 1 visita al mese ad almeno 1 visita nel semestre") e quelli definiti "inattivi" (intendendosi con tale termine quelli che nello stesso periodo non hanno fatto registrare alcun accesso alle sale).

La società ha affermato di aver effettuato un periodo di osservazione semestrale ricompreso tra luglio e dicembre 2014, all´esito del quale è emerso che il 51% degli ospiti che hanno richiesto la carta fedeltà ha anche acconsentito al trattamento dei propri dati personali per finalità di profilazione (i "profilati"). Tuttavia, il 39% dei fidelizzati (dato che ricomprende sia il 33% di "sporadici", sia il 6% di "inattivi"), "oggi non è destinatario di alcuna iniziativa di incentivazione": e ciò "per la difficoltà di intercettare il cluster a causa della ristrettezza dei tempi di monitoraggio (sei mesi)".

Secondo l´avviso della società titolare, pertanto, le finalità di incentivazione della frequentazione degli utenti poco attivi non sarebbero conseguibili nell´arco temporale di conservazione dei dati relativi agli accessi alle sale attualmente consentito (pari, lo si è visto, a 12 mesi dalla loro registrazione): una estensione del periodo di conservazione fino a cinque anni si renderebbe, allora, indispensabile per "definire il potenziale del cliente, vale a dire registrare le visite massime effettuate prendendo in considerazione un congruo lasso temporale per determinarne il comportamento tipico (12 mesi)" procedendo poi a "comparare il potenziale già definito con le visite registrate in un corrispondente periodo seguente, al fine di determinarne scarti significativi".

Al pari sarebbe necessario "rilevare i risultati" delle azioni promozionali effettuate "avendo l´opportunità di fare leva sugli stessi per il lancio di almeno altre due iniziative sui medesimi cluster individuati; ciò in quanto essendo "impossibile acquisire un miglioramento del tasso di frequentazione della sala con un´unica promozione, si ritiene necessario poterla rinnovare per almeno 3/4 volte variandone la tipologia".

2. Le valutazioni del Garante

In considerazione delle ragioni indicate nonché delle particolari caratteristiche degli interessati fruitori dei servizi resi da XY, i quali possono molto più agevolmente che in altri settori essere distinti in frequentatori abituali - ancorché con cadenza variabile - e frequentatori occasionali delle sale, l´Autorità reputa tuttavia che non ricorrano, nella specie, giustificati motivi per una totale adesione alla prospettazione proposta e dunque per la concessione del provvedimento autorizzativo richiesto, se non nei termini che saranno meglio chiariti nel prosieguo.

È opportuno, preliminarmente, muovere da una considerazione di carattere generale: una richiesta di verifica preliminare tesa ad ottenere, in deroga alla disciplina vigente come delineata sia dalle norme del Codice sia dalle prescrizioni dell´Autorità di cui al più volte menzionato provvedimento generale del 24 febbraio 2005, il prolungamento dei tempi di conservazione dei dati personali per finalità di profilazione, implica sempre il ricorso, da parte del Garante, ad una valutazione fondata su un bilanciamento degli interessi in gioco.

È necessario infatti che la decisione contemperi, appunto, tanto le ragioni del beneficio atteso ed ambito dal titolare (il provvedimento autorizzatorio) quanto quelle del costo e del rischio che gravano invece sull´interessato in ragione della prolungata conservazione e del conseguente, reiterato e straordinario utilizzo dei propri dati personali per il conseguimento di quella finalità.

Nella specie, l´estensione da uno a cinque anni del tempo di conservazione dei dati dei frequentatori delle sale bingo che hanno aderito al programma di fidelizzazione proposto da XY acconsentendo al trattamento finalizzato alla profilazione risulta, tuttavia, sbilanciata: ostano, in effetti, al pieno accoglimento dell´istanza in primo luogo proprio le argomentazioni illustrate dal titolare, segnatamente quelle per le quali la maggior parte degli utenti, ovvero "il 66% degli ospiti profilati … ha una frequentazione sporadica o inesistente (cioè da 1 visita al mese ad almeno 1 visita nel semestre)".

La frase non può che essere interpretata nel senso di ricomprendere tra gli utenti definiti sporadici coloro che accedono alle sale con una frequenza che varia tra una volta al mese e una volta nel semestre.

Ad avviso della società, l´attuale limite di dodici mesi imporrebbe che "il monitoraggio delle presenze potrebbe riguardare un arco temporale inevitabilmente non superiore al semestre", rendendo asseritamente impossibile, lo si è visto, "intercettare il cluster" proprio "a causa della ristrettezza dei tempi di monitoraggio (sei mesi)"; con l´effetto che tale omessa identificazione del cluster si riverbererebbe sulla possibilità di azionare politiche mirate di incentivazione alla frequentazione delle sale, appunto precludendola.

In realtà sia il periodo semestrale di osservazione ipotizzato da XY alla luce dell´attuale quadro normativo per definire il profilo dell´ospite sia, a maggior ragione, quello auspicato di ventiquattro mesi (12 di monitoraggio e, in aggiunta, altri 12 di comparazione) appaiono eccessivi oltre che - specie nel secondo caso - frutto di determinazione non suffragata da alcun obiettivo elemento concretamente idoneo a valutarne la congruità in relazione agli scopi perseguiti, determinando così un trattamento di dati eccedenti in violazione dell´art. 11, comma 1, lett. d), del Codice.

In effetti, proprio dalle risultanze del monitoraggio effettuato dalla società poste a fondamento della richiesta relative agli ospiti "sporadici" consegue che già a partire dal termine del primo mese dalla registrazione dell´ultimo ingresso dell´interessato alla sala bingo è possibile evincere comportamenti inequivocamente interpretabili come segnali di continuità e dunque di abitualità ovvero, al contrario, di disaffezione o comunque di riduzione della frequenza di visita. In tale lasso di tempo, in effetti, sarà già possibile sapere se quello specifico utente abbia effettuato ulteriori accessi (ed in tal caso, a rigore, un altro periodo di osservazione avrà cominciato a decorrere nuovamente) oppure no ed, in questa seconda ipotesi, non risulta necessario lasciar trascorrere, magari infruttuosamente, un intero semestre o, addirittura, un anno e poi ancora ben altri dodici mesi per qualificarlo come ospite sporadico, nei cui confronti effettuare tutte le valutazioni ed eventualmente intraprendere le azioni commerciali ritenute più appropriate.

Dalle precedenti considerazioni si trae dunque che la limitazione del periodo di monitoraggio ad un mese (o, al più, il mantenimento del parametro del semestre) - frazione temporale di riferimento peraltro indicata proprio dalla società istante - consente già di pervenire ad una evidenza fedele e puntuale della tipologia di utente osservato, favorendo l´ulteriore, non trascurabile effetto di poter azionare le strategie commerciali prescelte con la necessaria sollecitudine.
Tale circostanza si riflette sulla loro potenziale efficacia nonché sulla determinazione di una prospettiva che, appunto in linea con l´obiettivo essenziale della profilazione, ponga al centro dell´indagine l´individuo ed i suoi comportamenti e proprio dal soggetto e dal suo agire muova per indurne, se del caso, correttivi e miglioramenti in senso commercialmente favorevole al titolare.

In altri termini, ipotizzare un periodo di osservazione di 24 mesi (12+12, nell´auspicio di XY) per poter "individuare 4-5 cluster di soggetti tipo (dai più assidui o "fedeli" agli "sporadici")" ed, infine, intraprendere "iniziative promozionali specifiche" significa innanzitutto fondare le proprie strategie di profilazione su un lasso temporale amplissimo aprioristicamente determinato.

Merita considerazione anche la disamina della dimensione quantitativa del fenomeno oggetto dell´istanza sottoposta al vaglio dell´Autorità, come si trae dalle misurazioni effettuate da XY medesima. La società ha affermato, infatti, che sull´ammontare complessivo delle presenze in sala nel periodo di rilevazione luglio-dicembre 2014, "solo una percentuale marginale di presenze, inferiore allo 0,09%, riguarda soggetti profilati con frequentazione molto rada".

In altri termini, deve essere sottolineato che gli ospiti passibili di azioni promozionali mirate poiché "sporadici" costituiscono una percentuale estremamente residuale del complessivo volume di affari di XY, realizzato per il tramite dell´insieme delle persone che, fidelizzate e non, accedono ai servizi offerti frequentando le sale; un´informazione, questa, la cui portata deve essere tenuta in debita considerazione proprio nella prospettiva dell´adozione di una pronuncia, quale quella sollecitata, che - lo si ribadisce - necessita di essere improntata al necessario bilanciamento di interessi tra esigenze e tutele contrapposte.

Da ultimo, è importante considerare che ad una più corretta misurazione e annotazione degli eventi rilevanti (accessi alle sale) deve corrispondere anche l´adozione di una adeguata modalità della loro cancellazione. Ci si riferisce al fatto che, allo scadere del tempo previsto, appunto la cancellazione (ovvero, in alternativa, l´anonimizzazione in forma irreversibile, anche secondo le indicazioni rese dal Gruppo di lavoro WP 29 nell´Opinion n. 05/2014 sull´impiego delle tecniche di anonimizzazione adottata il 10 aprile 2014, di cui in epigrafe) deve essere di regola effettuata in relazione ad ogni singolo dato e non ad un intero periodo; con l´ovvia conseguenza che ad ogni nuovo accesso il tempo di conservazione di quel dato specifico (nella specie, 12 mesi) comincia nuovamente a decorrere e, con esso, la piena utilizzabilità della relativa informazione a scopo di profilazione; salvo, poi, l´eventuale ulteriore conservazione per altri 12 mesi se il trattamento è invece improntato anche al conseguimento di finalità di marketing cui l´interessato abbia previamente acconsentito (in questo senso, lo si ribadisce, il provvedimento generale del Garante del 24 febbraio 2005).

La conservazione di dati relativi ad eventi successivi segnati da periodicità configura, in altri termini, un fenomeno dinamico di successioni temporali che deve essere pertanto considerato nel suo divenire e non in una logica di staticità. Proprio in ragione di tali considerazioni, allora, l´Autorità intende tenere nel debito conto anche le eventuali esigenze strettamente connesse alla necessità di effettuare valutazioni su eventi caratterizzati da una ricorrenza annuale (ad esempio eventi riferiti a periodi dell´anno quali specifiche festività, durante le quali può ragionevolmente prevedersi che la frequentazione delle sale faccia registrare degli incrementi ovvero dei picchi anche significativi).

Il Garante considera, inoltre, le ulteriori esigenze di carattere pratico ed economico strettamente connesse all´implementazione di un sistema di cancellazione quale quello descritto, e ritiene congruo consentire alla società di beneficiare di modalità, appunto di cancellazione dei dati, che non necessitino obbligatoriamente di un aggiornamento con cadenza quotidiana, certamente più onerose, ma che possano essere effettuate anche per periodi e dunque a blocchi, purché non superiori alla frazione di tempo pari ad un trimestre; ritenuto necessario, tale periodo, anche a tutela dell´utente iscritto al programma fedeltà, in quanto idoneo a prevenire cancellazioni accidentali o fraudolente dei suoi dati personali.

In questa prospettiva, allora, la società istante potrà conservare i dati in questione anche oltre il limite temporale fissato in 12 mesi, a condizione tuttavia che l´ulteriore periodo di osservazione, che comunque non può superare i tre mesi, risulti effettivamente funzionale al monitoraggio ed alla profilazione effettuata in relazione ad eventi annualmente ricorrenti, nonché correlato alle menzionate esigenze di gestione tecnica della procedura di cancellazione.

Alla luce delle predette considerazioni, il termine di conservazione di 24 mesi per attività di marketing, stabilito nel citato provvedimento del 2005, appare proporzionato in relazione alla predetta finalità (art. 11, comma 1, lett. d, del Codice). Pertanto, non si ravvisa la sussistenza di idonei presupposti per consentire un prolungamento dei tempi di conservazione dei dati neanche con riferimento a tale specifica ipotesi.

TUTTO CIÒ PREMESSO, IL GARANTE

in ordine alla richiesta di verifica preliminare presentata, ai sensi dell´art. 17 del Codice, da XY con sede in Roma, KK in relazione al trattamento dei dati personali degli interessati - frequentatori delle sale bingo gestite dalla società presenti su territorio nazionale - i quali scelgono di aderire al servizio, ed in parziale accoglimento dell´istanza avanzata, dispone che i dati personali dei richiedenti la carta fedeltà possano essere oggetto di trattamento:

1. per finalità di profilazione, per un periodo non superiore a dodici mesi, con l´aggiunta di un ulteriore periodo non superiore a tre mesi per consentire l´eventuale monitoraggio e la profilazione effettuata in relazione ad eventi annualmente ricorrenti nonché l´implementazione di un sistema di cancellazione che consenta alla società di beneficiare di modalità non necessariamente improntate all´aggiornamento con cadenza quotidiana, ma anche per periodi e dunque a blocchi;

2. per finalità di marketing, per un periodo non superiore a ventiquattro mesi, come da prescrizione generale del Garante del 25 febbraio 2005 relativo a "Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione".

Avverso il presente provvedimento può essere proposta opposizione ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011 con ricorso dinanzi al tribunale ordinario del luogo ove risiede il titolare del trattamento dei dati, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 2 luglio 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia