Informativa e Consenso nelle Strutture Ricettive

La disciplina sin qui descritta è stata però criticata dal Garante per la protezione dei dati personali in occasione di un parere dell'1 giugno 2005 dato al Ministero dell'Interno, che lo aveva interpellato in conformità dell'art. 154, comma 4, D.Lgs. 30 giugno 2003, n.196¹⁶.
Infatti il Ministero dell'interno ha chiesto il parere del Garante in ordine ad uno schema di decreto che individua le modalità di comunicazione all'autorità di pubblica sicurezza, con mezzi informatici, delle generalità delle persone alloggiate in strutture ricettive. Il nuovo decreto sostituirebbe solo l'art. 3 del d.m. 11 dicembre 2000 di attuazione dell'articolo 109, comma 3, del testo unico delle leggi di pubblica sicurezza più volte modificato sul punto (art. 109 r.d. n. 773/1931,mod., da ultimo, dalla l. 29 marzo 2001, n. 135)¹⁷.
Innanzitutto l'art. 45 della direttiva n.95/46/CE del 24 ottobre 1995 (Convenzione di applicazione dell'accordo di Shenghen) obbliga a rilevare i dati relativi alle presenze in albergo solo nei confronti di stranieri, anche europei, e non anche di cittadini italiani.
La medesima Convenzione ritiene, poi, sufficiente che sia identificato in albergo solo un componente di un gruppo soggiornante o del nucleo familiare, senza necessità di identificare anche il coniuge o i minori accompagnati; infine, prevede che le schede su ciascun alloggiato siano trasmesse alle competenti autorità di polizia (al posto di una disponibilità temporanea dei dati presso la struttura alberghiera) solo se ciò è necessario per determinate finalità di prevenzione o di accertamento di reati.
Quindi, su questi punti, l'art. 109 T.U.L.P.S. dovrà adeguarsi alla direttiva comunitaria.
Nell'analizzare la normativa vigente e le procedure applicative, il Garante ha rilevato di non ritenere giustificato l'inserimento nelle schede della residenza e della data di arrivo dell'alloggiato. La stessa norma primaria - art. 109, comma 3, r.d. n. 773/1931 - richiede la compilazione di una scheda di dichiarazione delle sole "generalità" dei clienti, ovvero la comunicazione con mezzi informatici o telematici dei "dati nominativi" delle predette schede.
Pertanto - ad avviso del Garante - devono essere espunte le indicazioni previste nell'articolo 2 del decreto ministeriale 11 dicembre 2000 e riportate nell'allegato tecnico allo schema di decreto, dove viene richiesta l'indicazione di "Data di arrivo dell'ospite"; il "Comune di residenza se in Italia"; la "Provincia di residenza se in Italia"; la "Codifica Stato di residenza"; l'"Indirizzo di residenza, comprensivo di maggiori dettagli sulla località se all'estero".
Analoga osservazione vale per la redazione cartacea di schede e per il modello di scheda approvato con decreto 5 luglio 1994, che fa anch'esso riferimento a dati diversi dalle generalità degli interessati.
Per quanto concerne la consegna delle schede agli organi di Polizia, il Garante suggerisce di chiarire una volta per tutte in che modo esse debbano essere consegnate. Il succedersi dei provvedimenti in materia hanno prodotto effetti contrastanti tra di loro , perché attualmente la norma primaria parla di consegna di copia della scheda o la comunicazione informatica/telematica dei dati nominativi delle schede alla competente autorità (art. 109, comma 3, T.U.L.P.S., come modificato dall'art. 8 della legge 29 marzo 2001, n. 135¹⁸), mentre il decreto ministeriale 11 dicembre 2000 (art.2, comma1) consente di fornire "un elenco delle schede, anche elaborato per mezzo di sistemi automatizzati (tabulato)"
Inoltre il Garante, onde assicurare che il trattamento dei dati sia effettuato - con l'adeguata cautela di riservatezza dei dati - dai soli soggetti competenti a perseguire le finalità di controllo e sicurezza¹⁹, sostiene che le schede o i tabulati devono essere consegnati dagli albergatori direttamente ad uffici o organi di polizia, anziché per il tramite di altri enti o soggetti come accade per i comuni (art. 2, commi 3, secondo periodo, e 5, d. m. 11 dicembre 2000).
Nel nuovo decreto ministeriale- continua il Garante - deve essere, inoltre, chiarito se le informazioni trasmesse alle questure restino conservate, come sembra, solo presso le autorità provinciali di pubblica sicurezza, in archivi informatizzati o cartacei oggetto di agevoli consultazioni in caso di esigenze investigative diffuse sul territorio. A parere del Garante, non sussistono elementi idonei a giustificare l'ulteriore inserimento di tali dati in una banca dati centralizzata, anche nell'ambito del Centro elaborazione dati della pubblica sicurezza. E comunque i dati devono essere conservati separatamente da altri dati personali detenuti per finalità di giustizia o di pubblica sicurezza²⁰ e dovrà essere previsto un termine breve di conservazione in conformità alle norme applicabili (artt. 11, comma 1, lett. e), 53 e 57, comma 1, lett. d) del Codice)²¹.
In merito alla possibilità, presa in considerazione dal Ministero dell'Interno, che i dati vengano comunicati con mezzi informatici²², il Garante auspica che l'esercente, nell'accedere all'applicazione in rete, dovrebbe acquisire la "certificazione digitale". Tale disposizione sembra far riferimento all'accettazione da parte della postazione dell'esercente del certificato digitale associato al web server che eroga il servizio. La disposizione deve essere, poi, integrata prevedendo maggiori garanzie in merito al processo di certificazione dell'identità digitale dell'erogatore del servizio, in modo da assicurare all'esercente che il destinatario della comunicazione sia effettivamente il soggetto cui devono essere trasmesse le informazioni (la questura) anziché, per esempio, un falso sito (fenomeno del web phishing).
Infine in presenza di certificazione digitale, risponde a ragioni di sicurezza assicurare la trasmissione dei dati con connessione cifrata.

_____________________________

¹⁶ Art. 154 (Compiti) - comma 4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all'atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice.

¹⁷ Il Garante ha suggerito che venga adottato un più ampio decreto ministeriale interamente sostitutivo dei precedenti che si sono stratificati nel tempo. Inoltre ha rilevato che l'ultimo decreto ministeriale, quello dell'11 dicembre 2000 (qui sopra sub nota 4), di cui si prevede la parziale modifica è stato, a suo tempo, adottato in assenza del parere del Garante. Ne consegue la necessità che il Ministero lo sostituisca con un nuovo decreto ministeriale. non viziato e annullabile per violazione della normativa in materia di protezione dei dati personali (art. 31, comma 2, l. n.675/1996; ora, art. 154, comma 4, del Codice in materia di protezione dei dati personali).

¹⁸ Vedasi il testo sub nota 5)

¹⁹ Secondo il Garante è necessario individuare in maniera selettiva i soggetti che possono accedere alle informazioni (con riferimento alle sole unità di personale di polizia giudiziaria e di pubblica sicurezza appartenenti alle forze di polizia, espressamente autorizzate con apposito provvedimento) e prevedere che tali unità possano accedere ai dati per esclusive finalità di prevenzione, accertamento e repressione dei reati o di tutela dell'ordine o della sicurezza pubblica, e limitatamente a quelli necessari rispetto a specifiche attività in corso.

²⁰Il titolo II del "Codice sulla protezione dei dati personali" è intitolato "Trattamenti da parte di forze di polizia", dove, nel capo I - Profili generali, l'art. 53, rubricato "Ambito applicativo e titolari dei trattamenti", dispone che:
1. Al trattamento di dati personali effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento, non si applicano le seguenti disposizioni del codice:
a)articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
2. Con decreto del Ministro dell'interno sono individuati, nell'allegato C) al presente codice, i trattamenti non occasionali di cui al comma 1 effettuati con strumenti elettronici, e i relativi titolari.

²¹L'art. 11, (rubricato "Modalità del trattamento e requisiti dei dati"), comma 1, lettera e) dispone che:
I dati personali oggetto di trattamento sono: …. e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Per art. 53, vedi sub nota 14)
L'art. 57, (rubricato "disposizioni di attuazione"), comma 1, lettera d) dispone che:
Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del Ministro dell'interno, di concerto con il Ministro della giustizia, sono individuate le modalità di attuazione dei principi del presente codice relativamente al trattamento dei dati effettuato per le finalità di cui all'articolo 53 dal Centro elaborazioni dati e da organi, uffici o comandi di polizia, anche ad integrazione e modifica del decreto del Presidente della Repubblica 3 maggio 1982, n. 378, e in attuazione della Raccomandazione R (87) 15 del Consiglio d'Europa del 17 settembre 1987, e successive modificazioni. Le modalità sono individuate con particolare riguardo:
…. d) all'individuazione di specifici termini di conservazione dei dati in relazione alla natura dei dati o agli strumenti utilizzati per il loro trattamento, nonché alla tipologia dei procedimenti nell'ambito dei quali essi sono trattati o i provvedimenti sono adottati.

²²tramite collegamento Internet ad una applicazione in rete (web application), da utilizzare con un comune browser per la navigazione web. In particolare, al gestore della struttura ricettiva verrebbe consentito di inserire direttamente i dati nell'applicazione medesima in modalità interattiva, oppure di interfacciare il sistema informativo alberghiero con una web application.