Informativa e Consenso nelle Strutture Ricettive

Il Garante per la protezione dei dati personali – con provvedimento del 9 marzo 2006 emesso a seguito di un controllo d’ufficio⁴⁶ teso ad accertare il rispetto degli adempimenti previsti dal codice c.d. della privacy all’interno della catena alberghiera Jolly Hotels - ha rilevato numerosi inadempimenti, che, alla luce del presente studio, si presentano assai significativi per fornire utili indicazioni agli operatori del settore.
Il Garante ha assunto una chiara posizione e ha dato un forte segnale in merito alla raccolta dei dati aventi lo scopo di realizzare il profilo del cliente alberghiero, in modo che il successivo trattamento con strumenti informatici dei dati stessi consentiva di realizzare mirate operazioni di marketing.
Occorre precisare che predisporre il profilo dell’ospite non è attività di per sé illecita, ma è consentita solo nel rispetto delle procedure di informativa, consenso e notificazione al Garante previste dal D.Lgs. n. 196/2003, adempimenti sottovalutati dalla Jolly Hotels, che si è trovata così sanzionata per inosservanza della normativa sulla protezione dei dati personali.
La catena alberghiera attribuiva ad ogni ospite un codice identificativo, che le consentiva di trattare con mezzi informatici le informazioni personali che il cliente forniva o direttamente con la compilazione di moduli, o indirettamente con la permanenza (periodo di arrivo, durata del soggiorno, tariffa applicata) e l’utilizzo dei servizi che l’albergo offre. Da tutti questi elementi la società alberghiera era in grado di orientare il proprio piano promozionale per attirare i clienti, offrendo vantaggi sotto forma di sconti, bonus, premi, servizi.
Inoltre aveva predisposto una speciale “carta di servizi”, i cui dati dei clienti potevano essere poi comunicati ad altre società operanti nel campo turistico (agenzie viaggio, noleggi auto, pubblicitarie).
Questa attività di trattamento però era illecita, innanzitutto per violazione della mancata notificazione al Garante ai sensi dell’art. 37 del Codice, che al comma 1, lettera d)⁴⁷, richiede tale adempimento quando il trattamento dei dati personali riguarda “dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti”.
Infatti predisporre il profilo di un cliente è una operazione che deve essere segnalata al Garante perché è stata ritenuta, a priori, delicata per l’uso specifico con cui possono venire sfruttati i dati.
Ebbene, i clienti dei Jolly Hotels, con le informative che ricevevano, non erano sufficientemente informati in modo dettagliato di quale uso sarebbe stato fatto dei loro dati, né che gli stessi potevano essere ceduti a terzi, per non dire che si trovavano a sottoscrivere moduli con formule di consenso generiche.
L’intervento del Garante, avvenuto per un controllo d’ufficio, innanzitutto, ai sensi dell'art. 154, comma 1, lett. d), del Codice ha bloccato il trattamento dei dati già raccolti proprio perché i clienti non erano stati messi in condizione di ricevere le corrette informazioni né era stato loro consentito di esprimere un consenso consapevole. Poi ha imposto alla catena alberghiera una serie di prescrizioni collegate alla riformulazione dei modelli di informativa e di consenso, che dovranno:
a) identificare i tempi massimi di conservazione dei dati trattati alla luce delle finalità in concreto perseguite dalla società mediante il trattamento dei dati raccolti, nonché delle scelte effettuate dall'interessato in ordine al loro trattamento (ad esempio nel caso di restituzione della carta);
b) indicare dettagliatamente le finalità, anche quando i dati vengano trasformati in dati anonimi
c) esplicitare chiaramente e direttamente che i dati saranno utilizzati per scopi di marketing, e che possono essere ceduti a terzi e ciò senza usare perifrasi sibilline;
d) predisporre autonome dichiarazioni di consenso per ciascuna finalità esplicitata nella informativa.
Infine, a chiusura, il Garante ha disposto che “Italjolly Compagnia italiana dei Jolly hotels S.p.a. confermi a questa Autorità, qualora intenda intraprendere nuovi trattamenti di dati personali del genere qui esaminato (la definizione dei profili della clientela e l'invio alla medesima di comunicazioni commerciali), e prima che i trattamenti siano effettuati, che gli stessi sono conformi alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione.

_____________________________

⁴⁶ Art. 154 (Compiti)
Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformità al presente codice, ha il compito di:
a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione;
b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143;
d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi dell'articolo 12 e dell'articolo 139;
f) segnalare al Parlamento e al Governo l'opportunità di interventi normativi richiesti dalla necessità di tutelare i diritti di cui all'articolo 2 anche a seguito dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati;
i) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza nell'esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37;
m) predisporre annualmente una relazione sull'attività svolta e sullo stato di attuazione del presente codice, che è trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si riferisce.

⁴⁷Art. 37 (Notificazione del trattamento)
Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
2. … omissis
3. … omissis
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.