La Gs non potrà utilizzare i dati già raccolti con le fidelity card offerte ai clienti, scrutare il contenuto dei carrelli della spesa, “profilare” consumatori inconsapevoli e sulla base dei loro gusti, scelte e volumi di spesa inviare, senza consenso, pubblicità per posta, e-mail o sms.
L’alt è arrivato dal Garante privacy che ha sanzionato la Gs con una multa da 54 mila euro per non aver informato correttamente la clientela dell’uso che avrebbe fatto dei dati forniti al momento dell’adesione a un programma di fidelizzazione, e ha comunicato alla società di conformare, entro il 31 maggio, i trattamenti di dati alle disposizioni del provvedimento generale sulle fidelity card adottato a suo tempo dall’Autorità.
Dagli accertamenti avviati fin dal 2005 sull’uso di queste tesserine magnetiche, che permettono di raccogliere punti e ricevere piccoli premi o usufruire di sconti al supermercato, sono emerse numerose irregolarità che a tutt’oggi non risultano ancora sanate. Sotto la lente del Garante in particolare, il modello sottoposto ai clienti per ottenere le carte fedeltà e nel quale non veniva specificato che i loro dati personali sarebbero stati utilizzati anche a fini di analisi delle abitudini, scelte di consumo e strategie di marketing. La società raccoglieva e elaborava, invece, all’insaputa dei clienti, oltre a nome, cognome e volumi di spesa, anche professione, indirizzo mail, numero di cellulare, numero degli scontrini emessi, dettagli dei prodotti e l’esercizio dove erano stati acquistati. Questa massa di informazioni permetteva alla Gs di costruire un “profilo” dei clienti in quanto consumatori, valutarne il grado di “fidelizzazione”, classificarli in base ad un punteggio e di verificare anche il loro posizionamento geografico presso i singoli punti vendita del territorio nazionale. Per poi programmare campagne promozionali o inviare comunicazioni commerciali mirate.
Nel corso del procedimento la Gs aveva modificato il modello per la raccolta dei dati, che era risultato però ancora irregolare. Pur essendo indicate, infatti, le finalità di “profilazione” e di marketing, il modello non consentiva al cliente di esprimere liberamente un consenso separato per i diversi usi dei dati, condizionandoli all’apposizione di un’unica firma. E questo è in contrasto con le disposizioni del Codice privacy che riconoscono al cliente il diritto di avere la fidelity card senza essere obbligato a dare il consenso anche per altri trattamenti e di poter liberamente autorizzare ogni singolo uso dei propri dati.
I motori di ricerca devono rispettare le norme Ue sulla protezione dati
Dati cancellati dopo sei mesi e conservati solo per effettive necessità
I motori di ricerca sono tenuti a rispettare i principi e gli obblighi sanciti dalla direttiva europea 95/46 sulla protezione dei dati, in particolare informando adeguatamente gli utenti sui dati personali da loro raccolti ed evitando di conservare questi dati se non ne è dimostrata la necessità
È questo il parere del Gruppo che riunisce le autorità europee per la privacy ( http://ec.europa.eu/…) che prende in esame numerosi aspetti connessi al trattamento di dati personali da parte dei motori di ricerca.
La raccolta e l’elaborazione di dati personali da parte dei motori di ricerca avvengono in rapporto alla duplice funzione che tali motori svolgono, sia come fornitori di servizi (indirizzi IP degli utenti, informazioni necessarie per accedere a servizi personalizzati attraverso userID e password, ecc.) sia come fornitori di contenuti (qualora memorizzino, attraverso la “cache”, i risultati di ricerche su Internet contenenti informazioni personali, ovvero
forniscano informazioni a valore aggiunto, quali profili personali o comunque informazioni organizzate relative ad un determinato soggetto).
Il parere tenta di conciliare le legittime esigenze di natura commerciale dei motori di ricerca con la necessità di garantire la tutela dei dati personali. Fondamentale, in prima battuta, il riconoscimento che la direttiva 95/46/Ce sulla protezione dei dati si applica pienamente anche ai trattamenti di dati personali effettuati da motori di ricerca situati al di fuori del territorio Ue e dello Spazio Economico Europeo nella misura in cui essi utilizzino per il trattamento dispositivi situati sul territorio degli Stati membri (ad esempio, i cookie).
Per altro verso, i Garanti chiariscono che è da escludere l’applicabilità ai motori di ricerca sia della direttiva 2002/58 (direttiva e-Privacy) sia della direttiva 2006/24 sulla conservazione dei dati (la cosiddetta “direttiva Frattini”). Entrambe, infatti, non riguardano i “servizi della società dell’informazione” quali sono appunto i motori di ricerca.
Le Autorità di protezione dati europee raffermano che i motori di ricerca debbano valutare attentamente la natura delle operazioni o dei servizi che essi gestiscono per garantire il rispetto dei principi di protezione dati stabiliti dalla direttiva 95/46. Ciò vale, in modo particolare, per la conservazione dei dati personali raccolti, che devono essere distrutti o resi effettivamente anonimi (con procedure adeguate e realmente efficaci) qualora non siano necessari per gli scopi del trattamento. Nel documento viene anche ribadita la necessità per i motori di ricerca di mettere in atto in principio cosiddetto della “privacy by design”, incorporando i requisiti fondamentali in materia di protezione dati nei meccanismi operativi dei motori stessi.
A tale scopo, i Garanti hanno formulato una serie di indicazioni e raccomandazioni: fornire un’adeguata informativa agli utenti (soggetto titolare del trattamento, natura dei dati raccolti, scopi del trattamento); ottenere il consenso degli utenti qualora i dati personali raccolti siano utilizzati per attività di profilazione o comunque raffrontati ad altre informazioni in possesso del motore di ricerca; effettuare la cancellazione dei dati (o loro anonimizzazione) qualora non siano più necessari per le specifiche finalità. Per quanto riguarda la conservazione dei dati personali raccolti, il Gruppo sottolinea che spetta ai motori di ricerca giustificare la conservazione prolungata (in linea di principio non superiore a 6 mesi) dei dati personali eventualmente in loro possesso. In tal senso, deve essere garantito il diritto all’oblio delle persone i cui dati siano memorizzati nella “cache”, evitando che permangano in rete informazioni che risultano obsolete o comunque superate; ciò significa garantire agli interessati l’esercizio effettivo dei diritti di accesso, rettifica, cancellazione previsti dalla direttiva 95/46.
