Informativa e Consenso nelle Strutture Ricettive

Una volta esaurita la fase dell'informativa, si passa a quella del consenso.
Occorre precisare che il consenso è richiesto non tanto per il trattamento generale dei dati in sé, affinché essi vengano utilizzati in conformità della informativa e delle finalità esplicitate, ma quanto per la circolazione dei dati, o meglio per la possibilità che i dati siano oggetto di comunicazione o diffusione²⁹ in un contesto estraneo al rapporto intercorso tra il titolare del trattamento e l'interessato.
Quindi la rilevanza del consenso assume importanza quando il titolare, che non deve richiederlo previamente per utilizzare i dati acquisiti per obblighi di legge o per effetto del rapporto negoziale, deve invece ottenere il consenso espresso dell'interessato se vuole poi comunicare o diffondere i dati raccolti ed elaborati³⁰.
Per questo la raccolta del consenso dell'interessato rappresenta, forse, l'aspetto più delicato del trattamento dei dati personali da parte dei soggetti privati e degli enti pubblici economici.
Ai sensi del terzo comma dell'articolo 23, il consenso sarà validamente prestato solo se espresso "liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13". Il richiamo di questa norma afferma il principio della simmetria fra consenso e informativa.
Ma nell'ambito della ricezione alberghiera, poiché la raccolta e il trattamento dei dati trovano la loro fonte in un obbligo di legge (art. 109 T.U.L.P.S., ISTAT e fiscali), ai sensi dell'art. 24, comma 1 lettera a) e b)³¹, non è necessario il consenso, salvo che si voglia destinare i dati raccolti per le schede di notificazione ad altri scopi, ad esempio quelli di tipo commerciale³². Con l'avvertenza che, sul punto, il Garante si è già espresso a che il consenso debba essere specifico per ogni finalità, con conseguente predisposizione di tante dichiarazioni di consenso quanti sono i singoli scopi del trattamento dei dati.
Infatti quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità quali sono, ad esempio, la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali (marketing), non è assicurata la capacità di autodeterminazione dell'interessato. Questi, di fronte a più finalità, che possono essere perseguite singolarmente e senza alcun inscindibile collegamento tra loro, può indirizzare la sua approvazione singolarmente per ogni finalità, ma ciò sarà possibile in presenza di un'autonoma valutazione e determinazione dell'interessato che riceve una chiara e trasparente informativa, che gli evidenzia le diverse finalità di trattamento dei dati.
Quindi, la non necessità del consenso nei casi previsti dall'art. 24 D.Lgs. 196/2003, più che una eccezione alla regola del consenso, è un adattamento alla particolarità del trattamento o dei dati o alla connessione del trattamento a specifiche attività dovuto ad obblighi legali³³.
Nel caso dei gestori di strutture ricettive la deroga è collegata alla finalità del trattamento, dove i dati vengono raccolti per la necessità di adempiere a un obbligo previsto dalla legge. E' stata una scelta del legislatore ritenere prevalenti le superiori ragioni ed interessi pubblici rispetto agli interessi personali dei soggetti interessati, i quali però hanno comunque diritto alla tutela delle loro posizioni soggettive tramite una adeguata gestione del trattamento dei dati.
I dati raccolti vengono inviati alla pubblica autorità, che riceve la copia della scheda di dichiarazione. Quindi, per la comunicazione in adempimento dell'art. 109 T.U.L.P.S. il consenso non serve.
Capita sovente che i gestori, in presenza di clienti che pernottino frequentemente nella loro struttura, per semplificare ed accelerare la registrazione, inseriscano i loro dati in un archivio anagrafico gestito con strumenti informatici, in modo da poterli riutilizzare. Poiché di tali dati viene conservata traccia per una finalità che non è quella immediata di comunicazione alla pubblica autorità, ciò si configura come finalità diversa da quella della finalità di raccolta. Ne consegue che è necessario che il cliente presti il suo specifico consenso per la archiviazione dei suoi dati personali per la finalità di essere riutilizzati in occasione di un futuro pernottamento³⁴.
Fatta la comunicazione, poi, non c'è un obbligo, a carico degli esercenti, di detenzione e conservazione delle schede. E quindi essi dovrebbero immediatamente distruggerle, salvo conservarle per il tempo strettamente necessario per gli adempimenti fiscali e contabili. Anche per quest'ultima finalità, non occorre il consenso dell'interessato. Infatti si tratta di "dati relativi allo svolgimento di attività economiche" e quindi esclusi, in base all'articolo 24, lettera d), dall'obbligo di acquisizione del consenso dell'interessato.
Se, invece, i dati vengono conservati per ulteriori finalità, in questo caso il consenso è necessario, e le finalità devono essere specificamente indicate nell'atto di consenso, ma anche nell'informativa .
Quanto sin qui esposto rientra nell'ambito dei casi di trattamento senza consenso disciplinato nell'art. 24, comma 1, lettera a), il cui obbligo trova la sua fonte in una legge, in un regolamento o in una normativa comunitaria.
Ed ora esaminiamo la lettera b) della medesima norma, che disciplina un altro caso di trattamento senza consenso. Trattasi di ipotesi avente carattere privatistico, laddove il legislatore lo consente quando "è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato".
La norma dimostra che c'è uno stretto collegamento e interdipendenza tra l'obbligo normativo di dare ospitalità solo a chi fornisce un documento di identità con conseguente registrazione dei dati da trasmettere ad una autorità di pubblica sicurezza e il contratto di albergo. Quest'ultimo può essere stipulato solo in conseguenza del primo adempimento, che si configura quindi come presupposto per l'esecuzione del contratto. In altre parole, il trattamento dei dati deve essere necessario all'esecuzione del contratto di cui è parte l'interessato.
Ma la "libertà di trattamento"³⁵ in assenza di consenso ha un limite temporale³⁶, perché, una volta stipulato il contratto di ospitalità, ne consegue la sostanziale illiceità della conservazione dei dati successivamente all'esecuzione del contratto, fatti salvi gli obblighi di conservazione ordinaria della documentazione contabile, con la necessità di adattamento alle singole situazioni che, peraltro, dovranno essere chiaramente esplicitate nell'informativa.
L'art. 23 richiede che il consenso sia documentato per iscritto. Il che significa che la forma scritta non deve necessariamente provenire dall'interessato, potendo sussistere valido consenso anche nel caso della prenotazione telefonica registrata dell'alloggio dove l'operatore mette per iscritto le informazioni che riceve.
Solo per il trattamento dei dati sensibili è richiesta la forma scritta sottoscritta personalmente dall'interessato, forma che diventa così elemento essenziale e requisito di validità richiesto ad substantiam, per cui senza prova scritta non si considera raggiunta una valida prestazione del consenso.
In chiusura si segnala che la violazione prevista per il mancato, incompleto od omesso consenso è la sanzione amministrativa da € 5.000,00 a € 30,000³⁷. Oltre a ciò si può aggiungere anche la pubblicazione del provvedimento di condanna del Garante³⁸. Inoltre la violazione si configura, altresì, come illecito penale³⁹.

_____________________________

²⁸ Art. 23 (Consenso)
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

²⁹ Comunicazione e diffusione sono concetti definiti dall'art. 4 (Definizioni), in base al quale, comma 1, "ai fini del presente codice si intende per: …………(omissis)
l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; ………..

³⁰ così V. Cuffaro "Il consenso dell'interessato" in AA.VV. "La disciplina del trattamento dei dati personali, Torino, 1997, 212

³¹ Art. 24 (Casi nei quali può essere effettuato il trattamento senza consenso)
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

³² Il provvedimento del Garante assunto il 28 aprile 2006 ha precisato che "Il trattamento effettuato per le ulteriori finalità di marketing e di definizione dei profili dei clienti necessita del consenso specifico e informato dell'interessato (art. 23 del Codice). Il consenso non è invece richiesto con riguardo ai dati trattati in base ad obblighi di legge (ad esempio, per assolvere ad obblighi contabili e tributari o alla richiamata disposizione contenuta nell'art. 109, comma 3, del t.u.l.p.s.: art. 24, comma 1, lett. a) del Codice). Non diversamente, il consenso non occorre per le operazioni di trattamento finalizzate all'esecuzione del contratto -ivi comprese quelle derivanti da operazione a premio - o per adempiere, anche in fase precontrattuale, a specifiche richieste del cliente (art. 24, comma 1, lett. b), del Codice).

³³ così P.Orestano, La circolazione dei dati personali, in AA.VV. (a cura di R.Pardolesi), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, 119, richiamato ne Il codice sulla protezione dei dati personali (a cura di Gianpiero Paolo Cirillo) -, Milano, 2004, 144)

³⁴ E' intuibile la potenziale pericolosità di un consenso che autorizza il gestore di struttura ricettiva a riutilizzare i dati già acquisiti. Poiché le schede di dichiarazione possono essere trasmesse non solo nel loro supporto cartaceo con la firma autografa del cliente, ma anche con mezzi informatici, è immaginabile il possibile utilizzo da parte di un gestore disonesto

³⁵ felice definizione di G.Votano, "Regole ulteriori per privati ed enti pubblici economici", in AA.VV. (a cura di G.P.Cirillo), Il codice sulla protezione dei dati personali), Milano, 2004, 147)

³⁶ in base all'art. 11 (Modalità del trattamento e requisiti dei dati), comma 1, lettera e), "i dati personali oggetto di trattamento sono conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
E il comma 2 prevede inoltre che " I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati".

³⁷ Titolo III - Sanzioni Capo I - Violazioni Amministrative
Art. 162 (Altre fattispecie)
1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da cinquemila euro a trentamila euro.
2. …. omissis

³⁸ Art. 165 (Pubblicazione del provvedimento del Garante)
1. Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

³⁹ Art. 167 (Trattamento illecito di dati)
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.