La ripresa della stagione turistica, sostenuta anche dall’inizio della distribuzione del Green Pass per la Covid-19, ha riportato in primo piano le problematiche relative alla protezione dei dati personali nelle strutture ricettive.
È bene, dunque, fare il punto su quelli che sono gli adempimenti che i titolari del trattamento devono osservare in ottemperanza del principio di accountability introdotto dal GDPR.
Indice degli argomenti
GDPR e protezione dati nelle strutture ricettive
Il Regolamento UE 2016/679 “General Data Protection Regulation”, come sappiamo, si applica sia al trattamento automatizzato di dati personali sia al trattamento in formato cartaceo ovvero di tutti i documenti conservati in archivi.
Non sono compresi, come erroneamente ancora si pensa, nel campo di applicazione del Regolamento, i trattamenti relativi ai dati che riguardano le persone giuridiche, ma la tutela è per i dati riguardanti le persone fisiche.
Il Regolamento non si applica ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, e quindi senza una connessione con un’attività commerciale o professionale; pertanto rientrano formalmente nel campo di applicazione della normativa i trattamenti di dati personali di imprenditori individuali, società di persone o liberi professionisti, in quanto non sono persone giuridiche.
Le basi giuridiche del trattamento
Ogni trattamento deve trovare fondamento in un’idonea base giuridica (art. 6 GDPR). Il trattamento, quindi, è lecito solo se ricorre almeno una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, prevalente rispetto al diritto di protezione dei dati dell’interessato.
Consenso e minori
Qualora il trattamento sia basato sul consenso, questo deve essere informato, specifico, libero ed inequivocabile (art. 7 GDPR).
Per quanto riguarda i minori, il novellato Codice della privacy (art. 2 quinquies) fissa a 14 anni l’età valida per l’espressione del consenso in relazione all’offerta diretta di servizi della società dell’informazione (iscrizione a social network, messaggistica istantanea ecc.).
Per i soggetti di età inferiore a 14 anni il consenso è espresso da chi esercita la responsabilità genitoriale. Al di fuori di tali servizi, resta il limite dei 18 anni per la prestazione di un valido consenso al trattamento dei dati. Non è richiesta espressamente la formula scritta per la richiesta di consenso, ma resta in capo al Titolare il dovere di dimostrare che l’interessato ha prestato il proprio libero consenso ad uno specifico trattamento per cui è richiesto.
Il divieto a trattare dati e le possibili deroghe
In generale, il Regolamento vieta il trattamento dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. dati appartenenti a particolari categorie – art. 9 GDPR).
Tale divieto non si applica in alcuni casi specifici:
- se l’interessato ha prestato il proprio consenso, che deve essere esplicito, al trattamento di tali dati personali per una o più finalità specifiche;
- se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
- se il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
- se il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, o è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, o è necessario per motivi di interesse pubblico;
- se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
Il Regolamento prevede che gli Stati membri possano mantenere o introdurre ulteriori condizioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Rimane fermo il divieto di diffondere dati genetici, biometrici o relativi alla salute (art. 2 septies Codice).
Protezione dati nelle strutture ricettive: l’informativa
In precedenza o all’atto della raccolta dei dati personali della clientela (check-in), il Titolare del trattamento ha il dovere, responsabilmente, di adottare le misure appropriate per fornire all’interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.
Le informazioni sono fornite per iscritto o con altri mezzi, anche elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata l’identità dell’interessato (art.12 GDPR).
I dati personali devono essere trattati in modo lecito, corretto e trasparente, rispettando le prescrizioni del Regolamento e riconoscendo i diritti degli interessati.
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 GDPR) l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione dei dati (a terzi o all’interessato).
I contenuti dell’informativa, che il Titolare deve obbligatoriamente fornire ai propri ospiti, sono elencati in modo tassativo nell’art.13 del Regolamento e nello specifico:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati (RPD), ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- gli eventuali legittimi interessi perseguiti dal Titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’intenzione del Titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’Autorità di controllo o in sede giudiziaria;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione (di cui all’art.22, paragrafi 1 e 49) ed, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Relativamente all’obbligo di indicare nell’informativa i destinatari dei dati personali dell’interessato, si precisa che si intende per “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati, diversi dall’interessato, in virtù delle proprie mansioni svolte sia all’interno che all’esterno della struttura o per adempiere ad un obbligo di legge (es. la comunicazione dei dati alla Questura competente) anche mediante la loro messa a disposizione, consultazione o mediante interconnessione.
Si intende, invece, con il termine “diffusione”, il dare conoscenza dei dati personali dell’interessato indiscriminatamente a soggetti indeterminati, in qualunque forma (es. attraverso la pubblicazione on-line).
Finalità del trattamento e consenso
L’art. 5 par. 1 lettera b) del Regolamento descrive il principio di finalità ove viene prescritto che tutti i dati personali devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità…”.
La finalità risponde alla domanda: “Per quale motivo tratto questi dati?”. Per la definizione degli accordi precontrattuali e contrattuali, la struttura ricettiva acquisisce alcuni dati personali degli ospiti quali dati anagrafici, di contatto, codice fiscale, dati bancari, estremi delle carte di credito e gli estremi della carta d’Identità; tali trattamenti sono necessari per l’attuazione dei consueti accordi tra gestore della struttura e clientela, quindi non necessitano dell’acquisizione del consenso.
Il trattamento, inoltre, senza consenso, è necessario per adempiere ad un obbligo di legge quando i dati sono raccolti per finalità amministrative (art. 2220 C.C.) e per la comunicazione in Questura (“Testo unico delle leggi di pubblica sicurezza” – art. 109 R.D. 18.06.1931, n. 773). L’informativa è sempre obbligatoria anche quando non è richiesto alcun consenso; in quali casi, quindi, occorre richiedere il consenso agli ospiti?
Qui di seguito alcune delle finalità, peculiari delle strutture ricettive per le quali è obbligatoria la richiesta di consenso all’ospite:
- trattamento di dati appartenenti a particolari categorie relativi allo stato di salute (eventuali intolleranze alimentari e/o allergie) per usufruire della prenotazione di servizi accessori richiesti dalla clientela (ad es. menù per celiaci);
- trattamento per accelerare le procedure di registrazione in caso di successivi soggiorni presso la medesima struttura;
- trattamento per la pubblicazione su giornali, brochure, riviste e/o su internet (sito web e social network) di foto che ritraggono gli interessati durante gli eventi della struttura ricettiva;
- trattamento per l’invio di comunicazioni promozionali in merito alle offerte praticate dalla struttura;
- trattamento per usufruire del servizio di ricevimento di messaggi e telefonate indirizzate all’interessato durante il soggiorno.
Protezione dati nelle strutture ricettive: il marketing
Il direct marketing (marketing diretto) è una forma di pubblicità che comporta la consegna di un messaggio immediato e personale a un gruppo di potenziali clienti o clienti già acquisiti.
Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, SMS ecc.) è necessario aver prima acquisito il consenso dei destinatari (c.d. opt-in).
L’ultimo capoverso del Considerando 47 del Regolamento, tuttavia, recita: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, portando molti a considerare ammissibile qualsiasi comunicazione, all’interessato, anche in assenza del suo libero consenso espresso.
Contestualmente, l’art. 130 comma 4 del Codice Privacy (D.lgs. 196/2003), stabilisce un divieto generale di utilizzo dei dati personali senza consenso, per finalità di marketing, ma introduce un’importante accezione: il c.d. soft spam, cioè l’invio di comunicazioni promozionali mediante e-mail per pubblicizzare prodotti e/o servizi analoghi a quelli già in precedenza acquistati dal cliente.
Il Codice Privacy, non modificato in questo particolare caso dal GDPR, anzi, sostenuto dallo stesso attraverso il Considerando 47, dispone che non è necessario ottenere il previo consenso da parte dell’interessato a patto che ricorrano alcune specifiche condizioni:
- il destinatario della comunicazione deve essere un cliente o esserlo già stato;
- la comunicazione commerciale deve riguardare solo ed esclusivamente prodotti o servizi analoghi a quelli oggetto della vendita”;
- che la modalità di trasmissione di tali messaggi sia la posta elettronica (l’eccezione non si estende cioè ad altri mezzi, ad esempio il telefono);
- che le coordinate di posta elettronica siano quelle fornite nel contesto della vendita di un prodotto o di un servizio;
- che si tratti di messaggi inviati a fini di vendita diretta di prodotti e/o servizi forniti dal Titolare del trattamento (e non da terzi o per conto di terzi);
- il destinatario, adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni;
- il destinatario possa opporsi in ogni momento al trattamento, in maniera agevole e gratuita.
Il comma 1 e 2 dell’art. 130 del Codice si riferiscono sia alle persone fisiche che a quelle giuridiche pubbliche e private; mentre l’eccezione soft spam prevista dal quarto comma dello stesso articolo riguarda solo le persone fisiche (interessati) e, dunque, non coinvolge le persone giuridiche, per le quali sarà sempre necessario acquisire il preventivo consenso, anche quando siano già clienti.
È doveroso sottolineare che, al contrario di molte erronee interpretazioni, il soft spam è cosa ben distinta dalla newsletter periodica o dall’attività di profilazione, per le quali è obbligatoria l’espressione del libero consenso.
La newsletter è utilizzata per aggiornare la clientela su tutte le attività e le offerte della struttura ricettiva, di qualsiasi tipologia esse siano. La profilazione, invece, propone offerte personalizzate e mirate in base alle proprie preferenze di consumo.
Gli interessati devono essere sempre in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati, manifestando il proprio consenso per ciascuna diversa finalità perseguita dal Titolare del trattamento.
Protezione dati nelle strutture ricettive: i cookie
Il considerando 30 del Regolamento espressamente afferma che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Come è ormai noto, i cookie sono piccoli file di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente o siti diversi collegati alla prima parte (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo utilizzato (smartphone, tablet, PC ecc.).
I cookie possono perdurare nel sistema per la sola durata di una sessione (cioè fino a che non si chiude il browser utilizzato) o per lunghi periodi ed ognuno di essi può contenere diverse informazioni come i dati personali (es. un indirizzo IP, il nome utente, un indirizzo e-mail ecc.) ma possono anche contenere dati non personali come le informazioni sul tipo di dispositivo che un soggetto sta utilizzando per la navigazione o il nome del server da cui proviene, a seconda della tipologia di cookie utilizzata dal sito web e dal consenso prestato dall’utente. Alla luce di questa descrizione si possono distinguere:
- cookie tecnici: possono rendere più rapida la navigazione del sito o fornire un servizio richiesto dall’utente, poiché intervengono a semplificare alcune procedure (es. acquisti online, autenticazione su un sito web, riconoscimento automatico della lingua utilizzata dall’utente ecc.);
- cookie analitici: raccolgono le informazioni dell’utente, in forma aggregata (ad es. l’orario, l’area geografica ecc.) al fine di elaborare statistiche generali sul servizio proposto dai gestori del sito web;
- cookie di profilazione: monitorano e profilano l’utente studiandone le abitudini, i movimenti, gli acquisti effettuati ed i siti più visitati per proporre pubblicità mirate;
- cookie di terze parti: sono cookie provenienti da altre piattaforme anche se contenuti nella pagina che l’utente sta visitando (es. video di YouTube, banner pubblicitari, Facebook ecc.), ogni volta che l’utente decide di interagire con altri siti, alcune informazioni personali potrebbero essere acquisite dai gestori delle piattaforme esterne, essi sono solitamente utilizzati per finalità di profilazione.
L’art. 122 del Codice Privacy al comma 1 recita: “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio…”.
Alla luce della normativa vigente, per tutelare la privacy degli utenti che navigano sui siti web della struttura ricettiva e consentire loro scelte consapevoli, occorre, appena si accede ad un sito, un banner ben visibile ove sia chiaramente indicato:
- la descrizione di tutti i cookie utilizzati dal sito;
- un’Informativa privacy facilmente accessibile da ogni pagina (attraverso idoneo link) con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare o prestare il consenso alla loro installazione direttamente o collegandosi ai siti esterni (nel caso dei cookie di “terze parti”);
- se il sito utilizza eventualmente cookie di profilazione per inviare messaggi pubblicitari mirati;
- se il sito consente l’eventuale invio di cookie di “terze parti” ossia di cookie installati da un sito diverso tramite le pagine che si stanno visitando;
- l´indicazione che proseguendo nella navigazione (ad es. accedendo ad un´altra area del sito o chiudendo il banner) si presta ugualmente il consenso all´uso dei cookie.
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando e deve poter essere eliminato soltanto tramite un intervento attivo dell´utente.
Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito l’utilizzo di un cookie tecnico, in modo che non occorra il consenso e riproporre l’informativa alla seconda visita dell’utente.
L’utente deve poter comunque avere la possibilità di modificare le proprie scelte sui cookie, revocando il proprio consenso direttamente attraverso il link dell’informativa o esercitando i propri diritti nei confronti del Titolare del trattamento.