Fidelity card: come trattare i dati personali raccolti per finalità di marketing e profilazione (English version available)

18 Luglio 2023

English version below

***

Nella newsletter dello scorso 28 giugno, il Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”), ha reso noto il provvedimento con cui ha sanzionato una nota società tessile italiana (la “Società”) con una multa pari a 240 mila euro, per aver trattato per finalità di marketing e profilazione un’ampia quantità di dati personali di propri clienti ed ex clienti, in maniera illecita, in assenza di adeguate misure di sicurezza, nonché senza determinare un periodo di conservazione. La Società, nello specifico, aveva raccolto i dati dei clienti tramite l’iscrizione al servizio di e-commerce, ai programmi fedeltà e alle newsletter promozionali.

Prima di procedere con un’analisi del provvedimento del Garante, è utile chiarire cosa si intende per programmi fedeltà.

Programma fedeltà

I programmi di fidelizzazione sono strategie di marketing adottate dalle società per incoraggiare i clienti esistenti a mantenere un rapporto di lungo termine e a continuare ad effettuare acquisti. Questi programmi premiano la fedeltà dei clienti offrendo loro incentivi, vantaggi particolari, sconti o ricompense in base al loro comportamento di acquisto o all'interazione con la società.

Solitamente, un programma di fidelizzazione richiede la registrazione dei clienti presso la società o l'adesione a un programma specifico tramite l'utilizzo di una carta fedeltà o un account online. Attraverso il programma, i clienti possono accumulare punti, sconti, buoni regalo o altri premi in base alla frequenza degli acquisti, all'ammontare delle spese o ad altri comportamenti desiderati dall'azienda.

I programmi di fidelizzazione sono ampiamente utilizzati in vari settori, tra cui la vendita al dettaglio, la ristorazione, le compagnie aeree, gli hotel, i servizi finanziari e altro ancora. Oltre a incentivare la fedeltà dei clienti, questi programmi consentono alle società di raccogliere dati sul comportamento di acquisto e le preferenze dei clienti, consentendo loro di personalizzare le offerte e migliorare le strategie di marketing.

Tuttavia, poiché i programmi fedeltà comportano il trattamento dei dati personali dei clienti, le società nell’implementazione di tali programmi devono tenere in considerazione la normativa in materia di protezione dei dati personali.

Inoltre, è importante che i programmi di fidelizzazione siano trasparenti, fornendo informazioni chiare sui termini e le condizioni, inclusi i criteri per accumulare e utilizzare i premi, nonché le opzioni per l'accesso, la modifica o la cancellazione dei dati personali dei clienti.

Complessivamente, i programmi di fidelizzazione possono essere vantaggiosi sia per le società che per i clienti, creando un rapporto di fiducia e reciproco beneficio. Tuttavia, bisogna adottarli nel rispetto della normativa vigente, anche al fine di evitare di incorrere in sanzioni come è avvenuto, recentemente, alla Società sanzionata dal Garante.

Il provvedimento del Garante nei confronti della Società

Il Garante ha emesso un provvedimento nei confronti della Società comminando una sanzione pari a 240 mila euro, accertando il trattamento illecito di un’ampia quantità di dati personali di clienti ed ex clienti, in violazione del Regolamento UE 679/2016 ("GDPR"). Tra le violazioni più gravi, l’Autorità ha rilevato l'assenza di adeguate misure di sicurezza, in violazione dell’art. 32, par. 1, lett. b) del GDPR e la conservazione, senza limiti temporali, di dati personali a fini di marketing e profilazione, in violazione del principio di limitazione della conservazione previsto dall’art. 5, par. 1, lett. e) del GDPR.

Un’ispezione condotta dall'Autorità ha, infatti, evidenziato che la Società conservava i dati raccolti tramite le carte fedeltà, compresi i dettagli sugli acquisti effettuati dal 2015, i dettagli degli scontrini e i punti accumulati, anche degli ex clienti.

Tale mole di informazioni risultava per la Società estremamente preziosa e appetibile per le attività di marketing e di profilazione – pratiche ai giorni nostri sempre più diffuse e utilizzate.

Inoltre, le verifiche effettuate hanno rivelato che il database gestionale della Società, contenente i dati dei clienti, era accessibile a tutti i dipendenti dei negozi del gruppo aziendale presenti in 7 paesi europei, da qualsiasi dispositivo connesso a Internet, utilizzando un'unica password e un singolo account.

Il Garante, in questo caso, evidenziava, inter alia, la mancanza di limitazioni particolari per i dipendenti e, quindi, la possibilità per gli stessi di effettuare addirittura screenshot o operazioni analoghe, la possibilità di accedere alla piattaforma da qualunque dispositivo, anche senza aver effettuato il login al sistema di cassa e l’assenza dell’obbligo di cambiare password al momento della creazione di un nuovo account.

Considerando il numero elevato di interessati coinvolti e la durata considerevole delle violazioni, il Garante ha deciso di sanzionare la Società e le ha imposto l’obbligo di adottare idonee misure tecniche e organizzative finalizzate ad assicurare che la gestione dei dati personali dei clienti, da parte del personale degli store della Società, avvenga nel rispetto della normativa in materia di protezione dei dati personali e, in particolare, dell’art. 32, par. 1, lett. b) e d) e par. 2 del GDPR.

L’Autorità inoltre ha ingiunto alla Società di:

  • cancellare o anonimizzare i dati personali degli ex clienti che risalgono a oltre 10 anni fa, salvo in caso di controversie giudiziali o stragiudiziali in corso;
  • adottare idonee soluzioni organizzative e tecniche finalizzate ad assicurare che la conservazione dei dati dei clienti e degli ex clienti avvenga nel rispetto dei principi di cui all’art. 5 del GDPR e, in particolare, nel rispetto dei principi di limitazione della finalità, minimizzazione dei dati e limitazione della conservazione.

In relazione alla durata decennale della conservazione dei dati, il Garante ha altresì richiamato il provvedimento generale del 24 febbraio 2005, “Fidelity card” e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione,evidenziando che tale periodo di conservazione risulta “palesementeeccessivo rispetto alla misura di 12 mesi/24 mesi indicata, in relazione alle finalità di marketing e profilazione, dall’Autorità stessa.

Sul punto, il Garante, infatti, aveva prescritto ai titolari del trattamento l’identificazione di termini massimi di conservazione dei dati da osservare presso banche dati sia centrali, sia locali e tale identificazione deve essere effettuata dopo aver esaminato la possibilità di raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità, tenendo conto di eventuali scelte degli interessati sopravvenute.

In primis,il principio da osservare risulta essere quello secondo cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o anonimizzati e, in ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di marketing o di profilazione per un periodo non superiore, rispettivamente, a 12 e a 24 mesi dalla loro registrazione, salvo che l’anonimizzazione non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati.

Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un determinato arco temporale, scadenza o restituzione delle fidelity card, il titolare del trattamento può individuare un termine di conservazione dei dati personali per esclusive finalità amministrative e, quindi, non anche per finalità di marketing o di profilazione, non superiore ad un trimestre, salvo eventuali specifici obblighi di legge sulla conservazione di documentazione contabile. Il Garante ha altresì evidenziato l’obbligo di indicare tali informazioni nell’informativa che viene fornita agli interessati e l’obbligo di predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati.

Un altro aspetto emerso durante l’attività ispettiva del Garante, il quale è stato archiviato grazie al tempestivo intervento correttivo apportato dalla Società durante il procedimento, è stato quello relativo alla gestione dei cookie. In particolare, l’Autorità aveva evidenziato diverse criticità, tra cui:

  • un banner informativo relativo all’utilizzo di cookie, propri e di terze parti, con impossibilità di deselezionare le tipologie di cookie;
  • la mancata menzione, nell’informativa estesa, dei cookie di profilazione utilizzati, diversamente dall’informativa breve;
  • il rimando, nel banner dei cookie, ad una pagina bianca e non all’informativa estesa;
  • l’assenza di informativa estesa;
  • l’assenza di form di manifestazione di volontà per l’utilizzo dei cookie.

Sul punto, si rammenta che i cookie devono essere gestiti in conformità della normativa in materia di protezione dei dati personali. In relazione ad essi, risulta utile analizzare anche le Linee guida cookie e altri strumenti di tracciamento del 10 giugno 2021 adottate dal Garante.

Conclusioni

Questo provvedimento sanzionatorio rappresenta un importante richiamo per le società poiché sottolinea, ancora una volta, l’estrema importanza di gestire i dati personali nel rispetto della normativa in materia di protezione dei dati personali, nonché l’obbligo di adottare adeguate misure di sicurezza tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio in modo da assicurare, inter alia,su base permanente la riservatezza dei dati. Le violazioni della normativa in materia di protezione dei dati possono, infatti, comportare sanzioni significative e arrecare danni alla reputazione aziendale. Pertanto, è fondamentale che le organizzazioni considerino la protezione dei dati personali come una priorità e implementino politiche e procedure complete per garantire la privacy e la sicurezza dei dati personali degli interessati.

Alcuni aspetti da non dimenticare sono:

  • determinare le finalità per cui vengono raccolti e trattati i dati personali;
  • raccogliere e trattare i dati personali in modo adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali sono trattati i dati stessi;
  • determinare un periodo di conservazione dei dati personali che non sia eccessivo rispetto alle finalità per le quali sono trattati i dati stessi, tenendo altresì in considerazione i provvedimenti e le indicazioni del Garante, nonché dell’European Data Protection Board (“EDPB”), ove presenti;
  • predisporre idonee informative da fornire agli interessati che contengano tutte le informazioni previste dalla normativa in materia di protezione dei dati personali;
  • adottare misure tecniche e organizzative adeguare per garantire un livello di sicurezza adeguato al rischio e aggiornarle, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

***

[English version]

Fidelity card: how to process personal data collected for marketing and profiling purposes

In the newsletter dated June 28th, the Italian Data Protection Authority (the “Italian Authority”) announced a measure in which it fined for an amount of €240,000 a well-known Italian textile company (the “Company”) for unlawfully processing a significant amount of personal data belonging to its customers and former customers for marketing and profiling purposes (the measure is available here, only in Italian). The Company carried out this processing without adequate security measures and failed to establish a retention period. Specifically, the Company collected customer data through e-commerce subscriptions, loyalty programs, and promotional newsletters.

Before the analysis of the Italian Authority’s measure, it is useful to clarify what is loyalty programs.

Loyalty Program

Loyalty programs are marketing strategies adopted by companies to encourage existing customers to maintain a long-term relationship and continue making purchases. These programs reward customer loyalty by offering incentives, special benefits, discounts, or rewards based on their purchasing behavior or interaction with the company.

A loyalty program typically requires customers to register with the company or join a specific program through the use of a loyalty card or an online account. Through the program, customers can accumulate points, discounts, gift vouchers, or other rewards based on the frequency of their purchases, the amount spent, or other desired behaviors defined by the company.

Loyalty programs are widely used in various sectors, including retail, restaurants, airlines, hotels, financial services, and more. Additionally, in order to incentive customer loyalty, these programs allow companies to gather data on customer purchasing behavior and preferences, enabling them to personalize offers and improve marketing strategies.

However, since loyalty programs involve the processing of customers’ personal data, companies implementing such programs must comply with data protection regulations. Furthermore, it is important for loyalty programs to be transparent, providing clear information on terms and conditions, including criteria for accumulating and redeeming rewards, as well as options for accessing, modifying, or deleting customers' personal data.

Overall, loyalty programs can be beneficial for both companies and customers, fostering trust and mutual benefits. However, they must be implemented in compliance with applicable regulations, also to avoid fines as recently imposed on the Company by the Italian Authority.

The Italian Authority’s Order against the Company

The Italian Authority has issued an order against the Company, imposing a fine of €240,000, and ascertaining the unlawful processing of a significant amount of personal data belonging to customers and former customers. Among the most severe violations, the Italian Authority found the absence of adequate security measures, in violation of Article 32(1)(b) of the GDPR, and the retention of personal data for marketing and profiling purposes without any time limits, in violation of the principle of personal data storage limitation as provided in Article 5(1)(e) of the GDPR.

An inspection conducted by the Italian Authority revealed that the Company was retaining personal data collected through loyalty cards, including details of purchases made since 2015, receipts, and accumulated points, even for former customers. Such information was highly valuable and appealing to the Company for marketing and profiling activities – practices that are increasingly widespread and utilized nowadays.

Furthermore, the investigations revealed that the Company’s management database, containing customer data, was accessible to all employees of the Company’s stores across 7 European countries, from any internet-connected device, using a single password and a shared account. In this case, the Italian Authority highlighted, among other things, the lack of specific limitations for employees, allowing them to even take screenshots or similar actions, the ability to access the platform from any device without logging into the cash system, and the absence of the requirement to change passwords when creating a new account.

Considering the high number of data subjects involved and the significant duration of the violations, the Italian Authority has decided to fine the Company and imposed the obligation to implement appropriate technical and organizational measures to ensure that the management of customers’ personal data by the Company’s store staff complies with data protection regulations, specifically Article 32(1)(b) and (d), as well as Article 32(2) of the GDPR.

Furthermore, the Italian Authority has ordered the Company to:

  • delete or anonymize the personal data of former customers that were kept for a period of more than 10 years, except in cases of ongoing judicial or non-judicial disputes;
  • implement appropriate organizational and technical measures to ensure that the retention of customer and former customer personal data comply to the principles provided in Article 5 of the GDPR, particularly the principles of purpose limitation, data minimization, and storage limitation.

Regarding the ten-year duration of data retention, the Italian Authority has also referred to the general measure of February 24, 2005, titled “Loyalty cards and safeguards for consumers: guidelines applying to loyalty programmes”. This general measures for loyalty programs highlighted that this retention period is “clearlyexcessive compared to the 12-months/24-months period indicated by the Italian Authority itself for marketing and profiling purposes.

In this regard, the Italian Authority had ordered data controllers to identify maximum retention periods for personal data in both central and local databases. This identification must be made after considering the possibility of collecting and retaining personal data within the permitted time limits for each purpose, taking into account any subsequent choices made by the data subjects concerned.

Firstly, the principle to be in compliance is that personal data that is no longer necessary for the purposes for which it was processed must be deleted or anonymized. In any case, personal data relating to detailed purchases concerning identifiable customers can be retained for marketing or profiling purposes for a period not exceeding 12 and 24 months, respectively, from their registration, unless anonymization does not allow for the identification of data subjects, even indirectly or by linking to other databases.

In the event of withdrawal, disablement due to non-use within a certain time frame, expiration, or return of fidelity cards, the data controller may establish a data retention period exclusively for administrative purposes, excluding marketing or profiling purposes, not exceeding a quarter, unless there are specific legal obligations regarding the retention of accounting documentation. The Italian Authority has also emphasized the obligation to provide such information in the privacy notice provided to the data subjects and the obligation to implement appropriate measures for the automatic deletion of personal data, even by third parties to whom the data may have been communicated.

Another point that arises during the Italian Authority’s inspection, which was subsequently dismissed due to the timely corrective measures implemented by the Company during the proceedings, concerned the management of cookies. Specifically, the Italian Authority highlighted several critical issues, including:

  • an informative banner regarding the use of cookies, both first-party and third-party, with no option to deselect the types of cookies;
  • the absence of any reference, in the extended privacy notice, to the use of profiling cookies, dissimilarly to the short privacy notice;
  • the link in the cookie banner directing to a blank page instead of the extended privacy notice;
  • the absence of an extended privacy notice;
  • the absence of a form to be utilized by data subjects to express their preferences regarding the use of cookies.

On this regard, it is worth to mention that cookies must be managed in compliance with data protection regulations. In this regard, it is useful to analyze the “Guidelines on the use of cookies and other tracking tools” issued by the Italian Authority on June 10, 2021.

Conclusions

This order represents a significant reminder for companies, emphasizing once again the relevance of processing personal data in compliance with data protection regulations. It also highlights the obligation to implement appropriate technical and organizational security measures to ensure a level of security that is commensurate with the risk and guarantees, among other things, the permanent confidentiality of personal data. Infringements of data protection regulations can result in significant fines and damage to a company's reputation. Therefore, it is crucial for organizations to prioritize the protection of personal data and implement comprehensive policies and procedures to ensure the privacy and security of individuals' personal data.

Some key aspects not to be forgotten include:

  • determining the purposes for which personal data is collected and processed;
  • collecting and processing personal data in a manner that is appropriate, relevant, and limited to what is necessary for the purposes for which the data is processed;
  • establishing a retention period for personal data that is not excessive in relation to the purposes for which the data is processed, while also considering measures and guidelines issued by the Italian Authority and the European Data Protection Board (“EDPB”), if applicable;
  • drafting privacy notices that contain all the required information under data protection regulations;
  • implementing appropriate technical and organizational measures to ensure a level of security that is appropriate to the risk and regularly updating these measures, taking into account the state of the art, the costs of implementation and the nature, scope, context, and purposes of the processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons.

2024 - Morri Rossetti

I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.

cross