Il provvedimento reso nei confronti di Douglas ci aveva dato la possibilità di analizzare le regole e i principi che devono essere osservati dalle aziende che intendono attivare programmi di fidelizzazione si rimanda per maggiori approfondimenti Chi bello vuole apparire la privacy deve seguire.
Nel caso che andremo ora ad analizzare vedremo che il Garante ribadisce queste regole e individua ulteriori punti a cui prestare attenzione con riguardo soprattutto agli strumenti CRM con i quali vengono gestiti i dei clienti.
Indice
La conservazione senza limiti
L’ispezione effettuata dall’Autorità, ha rivelato che il Gruppo Benetton conservava i dati dei clienti ottenuti tramite le carte fedeltà dal 2015 oltre ai dettagli relativi agli articoli acquistati, alle ricevute e i punti accumulati persino per coloro che non erano più clienti.
La durata indicata dalla Società nelle informative era di dieci anni per finalità di marketing o di profilazione, da ritenersi eccessiva rispetto ai 24 mesi indicati dal Garante nel provvedimento “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”. L’indicazione dei 24 mesi fornita dal Garante nel provvedimento suddetto, sembrava fugare ogni dubbio, ma in relazione alle attività di marketing e profilazione le aziende ritengono nell’operatività quest’arco temporale limitato.
Nella memoria difensiva Benetton eccepiva, che come indicato nelle proprie informative i “servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo, in considerazione anche della tipologia di prodotti offerti dalla Società e della frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo”
Tuttavia, la giustificazione non è stata ritenuta adeguata dal Garante che ha contestato l’eccessività del periodo di conservazione per le suddette finalità poiché le informazioni raccolte dalla società contenevano informazioni maggiori a quelle necessarie quali i gusti le preferenze e quindi alle abitudini di consumo del cliente.
Come possono essere determinati i tempi di conservazione?
Il Garante ha più volte precisato la necessità di definizione di un termine di conservazione certo e pertinente, in pochi casi però l’Autorità prescrive specificatamente un periodo predeterminato.
Resta fermo il principio secondo il quale il periodo di conservazione va determinato sulla base della quantità di dati trattati, sulla loro tipologia e sulle finalità. Il tutto si racchiude nel principio dell’accountability (o “principio di responsabilizzazione”).
In termini di accountability, ecco alcuni utili suggerimenti per determinare un periodo di conservazione dei dati adeguato.
- Giustificare la scelta sulla base dei tempi medi per portare a termine l’attività che si svolge.
- Distinguere sempre le varie attività per cui si determina il periodo di conservazione. Con particolare attenzione alle finalità di marketing. Ci si riferisce a questo trattamento sia quando si inviano e-mail di recall, sia quando si invia una newsletter mensile. Queste e-mail hanno scopi diversi: far proseguire nell’acquisto, tenere informati su prodotti e/o servizi simili o acquisire maggiori dati sui potenziali clienti. La società dovrebbe ragionare in maniera granulare in merito a queste informazioni.
- Determinare tempi di conservazione che non vadano aldilà della finalità anche al fine limitare i rischi legati a possibili violazioni degli stessi.
- Occorre tenere presente che il periodo di conservazione deve essere specificato nel registro dei trattamenti e nell‘informativa privacy. Inoltre, sarebbe consigliabile la redazione di una policy interna relativa alla data retention.
Regole in materia di gestione di un CRM
Nel provvedimento Benetton il Garante si concentra inoltre su un altro interessante aspetto, ovvero gli strumenti utilizzati per la gestione dei dati dei clienti (CRM). Analizza e definisce le misure che devono essere apportate al fine di garantire un adeguato grado di sicurezza. Durante gli accertamenti sono emerse infatti diverse criticità legate alla piattaforma Dynamics utilizzata da Benetton, ma anche da moltissime aziende. Vediamo le soluzioni proposte dal Garante.
Conclusioni
Come abbiamo visto il trattamento dei dati associati alle fidelity card continua a rappresentare una questione delicata e critica per molte aziende. Il caso Benetton ci dimostra ancora una volta che occorre prestare particolare alla definizione dei tempi di conservazione. E che questo tempo deve essere certo e pertinente, soprattutto in merito ai trattamenti svolti per finalità di marketing; ma non solo! la corretta gestione implementazione degli strumenti CRM deve considerarsi essenziale al fine di garantire la sicurezza dei dati dei clienti e evitare potenziali criticità.
Solo osservando scrupolosamente i principi delle materia le imprese possono essere in grado di proteggere i dati dei loro clienti e mantenere la loro fiducia.