“Ha la tessera fedeltà?”. Questa frase è ripetuta continuamente ai clienti dagli addetti alla vendita non solo dei grandi store ma anche delle realtà più piccole. Sono molti infatti i vantaggi connessi, per entrambe le parti, alla possibilità di utilizzare una fidelity card: dallo sconto alla possibilità di “fidelizzare” il cliente, dall’accumulare punti per poter poi ottenere un premio al capire quali sono i prodotti e i servizi più venduti.
Tessere fedeltà e privacy: le sanzioni del Garante
Sebbene l’utente abbia ovviamente una visione limitata dell’argomento alla mera compilazione di un form, nella pratica, le fidality card si inseriscono in un puzzle ben più complesso che riguarda, tra le varie cose, misure di sicurezza tecniche e organizzative e il rispetto dei principi fondamentali del GDPR.
Le società che hanno violato il Gdpr
Il Garante privacy è intervenuto varie volte sull’argomento, sia con delle Linee guida nel 2005, per alcuni aspetti, ancora attuali, sia negli ultimi mesi con ben 3 sanzioni: la prima di 1 milione e 400 mila euro irrogata nei confronti di Douglas Italia a ottobre 2022, la seconda di 240 mila euro irrogata ad aprile 2023 nei confronti di Benetton e infine, la terza di 300 mila euro irrogata a giugno 2023 nei confronti de La Rinascente.
Nelle sue Linee Guida, il Garante ha posto l’attenzione sull’importanza di informare il Cliente in modo preciso e puntuale su tutti gli aspetti connessi alla fidelity card (attualmente in base all’art. 13 GDPR), indicando che anche le modalità di acquisizione del consenso devono essere specifiche e separate, senza inglobare in un’unica “spunta” termini e condizioni e informativa privacy.
Le mancanze sulle informative rese ai clienti
In tutte le società infatti sono state infatti rilevate delle mancanze nei confronti delle informative da fornire agli Interessati e delle modalità di acquisizione del consenso, anche per quanto riguarda i cookie.
Nei tre recenti provvedimenti sanzionatori, salta all’occhio che la fidelity card e la sua gestione sono solo la punta dell’iceberg. Infatti, sebbene siano partiti da contesti diversi, il fil rouge che li lega è che in tutti e 3, gli aspetti considerati sono relativi al marketing nell’ambito delle fidelity card.
Finalità della fidelity card e necessità del consenso
Secondo le Linee guida, le 3 principali finalità della fidelity card sono la fidelizzazione tout court, la profilazione e il marketing diretto. Se per la prima finalità non è necessario il consenso dell’Interessato, poiché si basa sull’esecuzione contrattuale, lo è invece per le altre due. Di conseguenza, dal momento che il consenso deve essere libero, è necessario specificare che non è possibile condizionare il rilascio della fidelity card all’accettazione delle finalità di profilazione e marketing.
Conservazione dei dati e sicurezza
Altri due aspetti che il Garante ha ritenuto opportuno considerare sono la limitazione delle finalità sotto l’aspetto della conservazione dei dati e l’applicazione di misure di sicurezza.
In particolare, per quanto riguarda la conservazione dei dati, nel 2005, il Garante aveva specificato dei termini entro cui conservare i dati, cioè 1 anno per la profilazione e 2 anni per il marketing. Questa impostazione era coerente con l’impianto normativo dell’epoca che prevedeva anche delle deroghe in casi particolari che comportavano una dilatazione dei termini.
Invece, il GDPR non stabilisce dei termini per la conservazione dei dati, rimettendo tutto ai principi di accountability e di limitazione delle finalità in base al quale un dato può essere conservato per tutto il tempo necessario a realizzare le finalità previste. Tuttavia, per la durata della conservazione, è necessario fare una distinzione anche in base alle finalità indicate.
Nel caso di Benetton, è stato rilevato che ai sensi dell’informativa resa ai clienti e anche in base a quanto indicato nel registro dei trattamenti, la conservazione dei dati per finalità di marketing e di profilazione aveva una durata di 2 anni, mentre, per quanto riguarda i dati dei titolari delle carte fedeltà, i dati di dettaglio degli scontrini, dei punti, dei prodotti acquistati, questi per esigenze contrattuali erano conservati per 10 anni.
Tuttavia, i dati dei clienti o ex clienti che non avevano chiesto la cancellazione del loro account o che non avevano avanzato delle specifiche richieste di anonimizzazione venivano conservati praticamente a tempo indeterminato.
Invece per quanto riguarda La Rinascente, nell’informativa relativa alla fidelity card resa ai clienti per le finalità di marketing e profilazione era indicato che i dati sarebbero stati conservati per “il periodo massimo consentito dalla legge e previsto dai provvedimenti del Garante per la protezione dei dati personali”, senza però indicare dei termini specifici anche in relazione al tipo di dati e alle finalità del trattamento.
Per Douglas le considerazioni sono ancora più particolari, dal momento che la società Douglas Italia S.p.a. è nata dalla fusione di 3 società (Limoni S.p.a., La Gardenia Beauty S.p.a. e Profumerie Douglas S.p.a.). In questo caso, non era stato stabilito un termine entro il quale le fidelity card attivate prima della fusione dovessero essere cancellate perché non richieste dai clienti titolari.
Le carenze sulle misure di sicurezza tecniche e organizzative
Infine, anche le misure di sicurezza tecniche e organizzative, in alcuni casi sono risultate carenti. Infatti, per Benetton, è stato rilevato che, per l’accesso al gestionale, in ogni store ci fosse un’unica password per tutti gli addetti e che non erano previsti dei termini entro cui questa dovesse essere modificata. Inoltre, ai pc utilizzati dagli addetti non erano applicate limitazione di operatività, quindi era possibile, ad esempio, fare screenshot. Invece per quanto riguarda La Rinascente, in seguito a un aggiornamento tecnico, si era verificato un data breach (peraltro non denunciato al Garante) in seguito al quale 5 clienti avevano ricevuto le comunicazioni relative agli ordini di 70 utenti.
Sarebbe quindi opportuno valutare i vari aspetti legati alla privacy prima di realizzare un nuovo servizio. Ovviamente poi, più è grande la società, più numerose sono le valutazioni da fare. Ad esempio, vista la mole dei dati trattati nell’ambito della profilazione, come anche previsto nel provvedimento La Rinascente, sarebbe opportuno effettuare una valutazione d’impatto oppure porre particolare attenzione non solo verso la privacy policy del sito ma anche verso la cookie policy e il suo banner che, oltretutto, sono anche oggetto dei piani ispettivi del Garante di quest’anno.
Insomma, come sempre il concetto di protezione dei dati personali è estremamente sfaccettato e il lavoro da fare è sempre tanto a prescindere dalla grandezza o dall’importanza della società in questione. Fedelity card o meno.
