Norme e Tributi

Carte fedeltà, guida al consenso informato per gestire i dati

di Valeria Uva

Immagine non disponibile

(primestockphotograpy - stock.adobe.com)

Le indicazioni da seguire per consumatori e aziende sul trattamento di informazioni personali e scelte di acquisto. Il sì non è mai obbligatorio

31 gennaio 2023

4' di lettura

Ne abbiamo più o meno tutti: dentro al portafoglio o sul telefonino. Il 79% degli italiani possiede almeno una carta fedeltà di un supermercato, il 20% ne ha una anche per i negozi di abbigliamento e il 15% per il carburante (secondo gli ultimi dati dell’Osservatorio fedeltà dell’Università di Parma). Per averle firmiamo una informativa privacy - spesso senza leggerla - con la quale rilasciamo il consenso a cedere i nostri dati, sempre più spesso anche per tracciare le abitudini di acquisto o ricevere informazioni commerciali.

Inutile negare che i programmi fedeltà siano ancora oggi una leva essenziale del marketing: in cambio di informazioni preziose su gusti e tendenze dei consumatori, le aziende offrono premi, avvisi personalizzati o sconti sui futuri acquisti.

Eppure, sia i consumatori che le aziende del retail dovrebbero guardare con più attenzione alla grande mole di dati personali che passano tutti i giorni attraverso le carte fedeltà. È di fine 2022 la notizia della prima sanzione del Garante privacy alla catena di profumerie Douglas, multata per 1,4 milioni per aver trattato dati anche da società acquisite nel tempo, mantenuti in alcuni casi per oltre dieci anni.

A mettere in fila regole e indicazioni provenienti dal Garante in questi anni proprio sulle carte fedeltà ci ha pensato lo studio legale Dla Piper, sintetizzando in cinque punti validi sia per i consumatori che per le aziende le procedure da seguire (vedi la scheda).

Ma la prima raccomandazione è quella valida sempre: «La carta fedeltà viene rilasciata, su richiesta del consumatore, per fornire un servizio, inclusi i vantaggi derivanti dal programma, ma non è necessario alcun consenso per queste finalità» riassumono gli avvocati Giulio Coraggio e Deborah Paracchini, gli esperti che seguono il tema in Dla Piper. E aggiungono: «Quando i dati raccolti vengono utilizzati per monitorare le preferenze di acquisto e sulla base di queste si inviano promozioni personalizzate, bisogna ottenere uno specifico consenso alla profilazione e al marketing». Quanto questa mole di informazioni sia preziosa, lo dimostrano anche i rischi di furto da cui le catene si devono difendere: «Va meglio se l’informativa è digitalizzata - aggiungono Coraggio e Paracchini - perché si ha un maggior controllo e contezza dei dati perduti o rubati. Ma va ricordato che ogni furto diventa subito un potenziale data breach». Da segnalare al Garante e, in situazioni molto complesse, persino ai clienti.

Quella della digitalizzazione è comunque una strada tracciata anche secondo l’Osservatorio fedeltà. «La carta fisica è ormai smaterializzata - ricorda Cristina Zuliani, docente di Marketing all’università di Parma e responsabile dell’Osservatorio -. Il futuro passa per le App con cui le grandi catene possono inviare volantini digitali e offerte personalizzate in tempo reale».

1) Obiettivo trasparenzaPrima di conferire i dati e rilasciare la carta, deve essere fornita al cliente un’informativa privacy chiara e completa, con un linguaggio non complicato e termini di uso comune, conoscibili dall’utente medio. Chiunque deve poter comprendere quali sono i suoi diritti in materia di privacy e come esercitarli. Per le aziende il legal design è la soluzione: utilizzare un linguaggio affine ai consumatori, dividere l’informativa in capitoli e stratificare il testo, utilizzare elementi grafici (icone, tabelle, grafici, elenchi puntati e collegamenti ipertestuali).

2) Limitare le finalità
L’informativa privacy deve indicare per quali finalità sono raccolti e trattati i dati personali. Il Garante contesta informative con trattamenti dati non svolti effettivamente. Chi firma deve verificare per quali finalità vengono raccolti i propri dati e se queste finalità sono rilevanti per il servizio che intende utilizzare. Può decidere se fornire i dati e acconsentire a determinati trattamenti.

Le aziende devono mappare i dati trattati. Non dichiarare ciò che non viene fatto né omettere trattamenti che possono interessare i consumatori.

3) Il consenso
Se l’azienda vuole utilizzare i dati raccolti tramite il programma fedeltà per inviare comunicazioni commerciali anche personalizzate sulla base delle abitudini di acquisto deve raccogliere i consensi necessari (marketing e/o profilazione). Il Garante ha contestato la mancanza di soluzioni che dimostrassero l’effettiva raccolta di un valido consenso (ad esempio, registrando data e ora). Il cliente dovrebbe leggere tutti i moduli da firmare, senza lasciare nulla in bianco.

La mancata prestazione del consenso non deve comunque precludere l’esecuzione di un contratto o la prestazione di un servizio. Un consenso informato può essere raccolto con una dichiarazione scritta o orale, anche attraverso mezzi elettronici, come la selezione di una apposita casella in un sito web. In caso di silenzio o inattività del consumatore, oppure preselezione delle caselle, il consenso non potrà comunque considerarsi prestato.

4) I tempi di conservazione
I dati non possono essere conservati per un tempo indeterminato. Le aziende devono stabilire un congruo periodo di tempo decorso il quale i dati verranno cancellati. Se i dati sono raccolti per prestare un servizio si può applicare il periodo di prescrizione ordinario previsto dal Codice Civile.

Il Garante privacy si è espresso ritenendo che i dati possono essere trattati per 24 mesi per le finalità di marketing e per 12 mesi per quelle di profilazione. In ogni caso, il consumatore può sempre richiederne la cancellazione.

5) I diritti dei clienti
Prestare attenzione alle richieste dei clienti, anche in caso di esercizio dei diritti privacy. Le ispezioni e i provvedimenti del Garante nascono spesso da un reclamo di un cliente insoddisfatto. Il consumatore può sempre accedere ai suoi dati, verificarne il contenuto, l’origine, chiedere di modificarli o cancellarli o la limitazione del trattamento, fino a chiederne la portabilità a un altro titolare del trattamento.

Le aziende devono consentire un facile esercizio dei diritti dei consumatori, con canali di comunicazione semplici: ad esempio, un numero da chiamare, una e-mail o dei moduli online. In caso di richiesta di esercizio di uno o più diritti, l’azienda deve provvedere velocemente; al più tardi entro un mese (due per richieste complesse).