Programmi fedeltà. Come gestirli in compliance con il GDPR

Quando un’azienda, nell’ambito di una campagna di marketing, decide di realizzare un programma fedeltà, solitamente rilascia a chi è interessato una carta elettronica o comunque associa un codice univoco a ciascun cliente. Per poter attivare il programma, è fondamentale per l’azienda acquisire le informazioni personali dell’interessato, necessarie per consentirgli di entrare a fare parte del programma e rilasciare allo stesso il codice o comunque la tessera che in seguito potrà utilizzare in base al regolamento del programma di fidelizzazione.

In questo caso, è necessario richiedere il consenso espresso al trattamento dei dati personali?

Per rispondere alla domanda, occorre effettuare alcune precisazioni, in quanto la risposta è diversa, a seconda delle circostanze.

Poniamo il caso che il cliente si presenti nel mio punto vendita ed io lo informi di aver attivato un programma fedeltà che gli consente di ricevere una scontistica particolare, un regalo, l’accesso a servizi accessori, bonus e simili, al raggiungimento di un determinato numero di volte in cui egli utilizza la carta che, se ha interesse a partecipare, gli rilascerò.

Ebbene, in tal caso, se la raccolta dei suoi dati è strettamente finalizzata alla sola attivazione della carta e a consentirmi di registrare il numero di utilizzi ai fini del raggiungimento del punteggio per erogargli lo sconto, il regalo, il bonus, il consenso al trattamento dei suoi dati non è necessario (siamo infatti nel quadro dell’esecuzione di un contratto che è la base giuridica del trattamento in questo caso specifico: acquisisco, tratto e conservo i dati esclusivamente per permettere al cliente di attivare la sua carta fedeltà e fruire dei vantaggi connessi e per il tempo strettamente a ciò necessario), è però doveroso che io gli renda l’informativa privacy oltre ad informarlo sul regolamento del programma fedeltà; informativa che potrà validamente essere resa nota all’utente mediante un cartello presente nella zona di raccolta dei dati, in posizione chiaramente visibile, oppure se i dati sono raccolti su un supporto cartaceo, anche in modalità breve, ma con un link o qrcode che rimandi a quella completa che il cliente potrà visionare ad esempio sul sito dell’azienda.

Se però ho intenzione di utilizzare le informazioni che sto raccogliendo in quell’occasione anche per altri scopi, ad esempio, di marketing, quindi per inviare altre offerte e promozioni, per effettuare ricerche di mercato o per finalità di profilazione [creare cluster di clienti in base ai quali poter veicolare messaggi promozionali diversi in base alle abitudini di acquisto] o, ancora per trasferire quelle informazioni a terzi miei partner commerciali che, a loro volta, potrebbero utilizzarle per propri scopi di marketing, allora necessariamente dovrò chiedere il consenso all’utente perché, in questo caso, andrò ad utilizzare quei dati anche per altre finalità che vanno oltre quella di permettergli di partecipare al programma fidelity.

Attenzione, perchè nel caso in cui io intenda usare le informazioni personali raccolte non solo per scopi di marketing della mia azienda, ma anche per cederli ad altri partner, i consensi da chiedere dovranno essere più di uno, specifici per ciascuna finalità di trattamento, chiaramente identificati (in modo che l’utente sia consapevole del motivo per cui sto chiedendo i suoi dati e come li tratterò), separati e documentabili (nel senso che devo conservare prova di averli richiesti e ottenuti).

In particolare, come scrive il Garante, devono essere poste in distinta e specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.

Anche per l’attività di profilazione, è doveroso un consenso a parte e prima di richiederlo, occorre precisare anche la logica della profilazione e, in ogni caso, se la finalità di profilazione può essere perseguita mediante dati non identificativi (ad esempio, un codice numerico), dunque, senza una connessione tra i dati che permettono di identificare gli interessati e le indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo), è necessario utilizzare tale modalità.

Occorre precisare poi che non è lecito condizionare l’adesione al programma di fidelizzazione all’espressione del consenso anche per l’uso di dati a scopi di profilazione e marketing. Il cliente deve pertanto essere libero di scegliere di attivare il programma, senza dover necessariamente dare il suo consenso per il marketing, la profilazione, la cessione di dati a terzi.

Quali dati personali si possono raccogliere nei programmi di fidelizzazione clienti?

Ricordiamo che è doveroso prestare attenzione anche al tipo di informazioni che si richiedono nell’ambito dei programmi di fidelizzazione: i dati da raccogliere, per onorare i principi di minimizzazione, necessità e proporzionalità, devono essere quelli strettamente necessari per la finalità dichiarata all’utente. Così, ad esempio, non avrebbe senso chiedere per rilasciare una mera tessera per una raccolta punti, l’età del cliente, se è spostato, se ha figli oppure il numero di figli, l’età, quale scuola ha frequentato, se ha un cane, e simili, a meno che una di queste informazioni non sia strettamente correlata, ad esempio, alla selezione del tipo di regalo.

Possono essere trattati, dunque, esclusivamente i dati necessari per attribuire i vantaggi connessi all’utilizzo della carta.

Va da sé che anche i sistemi informatici su cui tali informazioni andranno conservate devono essere configurati ad origine, onorando il principio della privacy by default e design, in modo da raccogliere il numero minimo essenziale di informazioni relative ai clienti identificabili.

Come precisato dal Garante nel provvedimento del 24 febbraio 2005 sulle fidelity card, che può dirsi applicabile per molti aspetti ancora oggi, con un programma fedeltà, un’azienda può trattare:

  • dati direttamente correlati all’identificazione dell’intestatario della carta, quali le informazioni anagrafiche;
  • dati eventualmente relativi al volume di spesa globale progressivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli prodotti), nella misura in cui sia realmente necessario trattarli -e in particolare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò strettamente necessario. L’eventuale conservazione di dati di dettaglio relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria specie se si persegue la sola finalità di “fidelizzazione”; nei casi particolari in cui essa è lecita, deve essere rispettato il principio di proporzionalità.

Sostanzialmente, possono essere trattati per la fidelizzazione in senso stretto, senza che sia necessario acquisire il consenso dell’interessato, solo dati necessari per assegnare i vantaggi legati all’utilizzo della carta, dunque, informazioni che permettono di identificare l’intestatario e, di regola, i dati relativi al volume di spesa globale realizzato, senza riferimento al dettaglio dei singoli prodotti acquistati. Il tempo di conservazione di tali informazioni è quello necessario al conseguimento della finalità di trattamento e, dunque, fino alla conclusione del programma fedeltà e fino all’assegnazione dei vantaggi.

Ma poniamo un altro caso. Se ho già una banca dati di clienti, posso informarli che ho attivato un programma fidelity mediante l’invio di una e_mail o di un SMS?

Se sono già miei clienti, registrati, ad esempio, al mio sito web e il programma fedeltà è riferito a prodotti/servizi analoghi a quelli che loro hanno già acquistato sul mio sito web o comunque nel mio negozio, posso inviare loro una email o un SMS per informarli dell’attivazione del programma; in tal caso, posso far leva, come base giuridica sul mio legittimo interesse, in quanto il cliente si è già dimostrato interessato ai miei prodotti/servizi.

E’ però necessario prestare attenzione a chi tra i miei clienti abbia eventualmente esercitato il suo diritto di opposizione al trattamento dei dati per fini di marketing, in questa circostanza specifica, infatti, i dati del cliente dovranno essere mantenuti bloccati nella banca dati riferita alle operazioni di marketing e se il programma fedeltà prevede l’utilizzo dei dati anche per altre finalità come marketing o profilazione, ad essi non potrò inviare alcuna informazione su nuove operazioni di marketing che intendo attivare, ma per utilizzare i loro dati per tali finalità, dovrò necessariamente richiedere ed ottenere dagli stessi utenti un nuovo consenso finalizzato al trattamento dei loro dati per fini di marketing/profilazione.

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy