Fatto
Nel parere in esame, il Garante per la protezione dei dati personali si è espresso in ordine a una richiesta proveniente dall’Agenzia delle Entrate di verificare la conformità alla normativa in materia di protezione dei dati personali di uno schema di provvedimento del Direttore finalizzato a regolamentare l’acquisto dei biglietti per la partecipazione a pubblici spettacoli attraverso sistemi di biglietteria automatizzate.
Lo schema di provvedimento analizzato dal garante individua le specifiche tecniche per realizzare delle biglietterie automatizzate che possono identificare il soggetto che compie l’acquisto del biglietto nonché per permettere a colui il quale ha acquistato presso i siti Internet di rivendita primari o i box office autorizzati o i siti ufficiali dell’organizzatore dell’evento il biglietto nominativo di poterlo rimettere in vendita oppure di cambiare detto nominativo.
Lo schema di provvedimento trova la sua base normativa nella legge di bilancio 2017 che aveva previsto l’introduzione di strumenti per combattere il fenomeno della rimessa in vendita dei biglietti di pubblici spettacoli (fenomeno che ha creato un vero e proprio mercato parallelo a quello ufficiale), in modo da garantire le seguenti finalità: (i) contrasto dell’evasione fiscale; (ii) tutela dei consumatori; (iii) garantire l’ordine pubblico. In attuazione di detta legge, poi, il ministero dell’economia aveva emanato un decreto con cui rinviava, appunto, ad un provvedimento del direttore dell’agenzia delle entrate il compito di definire le specifiche tecniche per realizzare dei sistemi informatici che fossero in grado di identificare l’acquirente del biglietto.
Infine, sul punto è recentemente intervenuta la legge di bilancio 2019 che ha previsto che, con l’esclusione per le manifestazioni sportive (le quali restano regolate dalla normativa di settore), i biglietti per accedere ad attività di spettacolo in impianti con capienza superiore a 5000 spettatori devono essere nominativi e garantire la verifica dell’identità dell’acquirente, nonché contenere l’indicazione del nome e del cognome dell’acquirente, il tutto nel rispetto delle disposizioni in materia di privacy. In secondo luogo, detta legge di bilancio ha anche previsto che i venditori di tali biglietti (cioè i siti Internet di vendita primari, i box office autorizzati o siti ufficiali dell’organizzatore dell’evento) debbono garantire che l’acquirente possa rimettere in vendita i biglietti nominativi acquistati e possa adeguatamente pubblicizzare tale rivendita nonché debbono permettere all’acquirente di poter modificare gratuitamente l’intestazione del biglietto.
Approfondisci il tema del Nuovo Codice della privacy
Il parere del Garante
Esaminato lo schema di regolamento in oggetto, il Garante ha ritenuto di esprimere parere favorevole sul medesimo, in quanto lo stesso appare rispettoso dei principi e della normativa vigente in materia di protezione dei dati personali.
In particolare, il garante ha evidenziato come lo schema di regolamento incida sul trattamento dei dati personali nella fase di acquisto dei biglietti, in quanto su detti titoli di accesso vengono indicati il nome e il cognome del soggetto che fruisce dell’evento a cui il biglietto dà accesso. Inoltre, nel caso in cui il biglietto venga acquistato on-line, l’acquirente deve registrarsi al sito Internet fornendo nome, cognome, luogo e data di nascita, indirizzo di posta elettronica e numero di cellulare (nel caso in cui, invece, l’acquisto venga effettuato presso il box office non è previsto alcun obbligo di raccolta dei dati dell’acquirente).
Il secondo aspetto sul quale influisce lo schema di regolamento riguarda il trattamento dei dati personali nel momento in cui i biglietti vengono rimessi in vendita oppure venga chiesto il cambio del nominativo, in quanto sia l’intestatario del biglietto che il successivo acquirente possono compiere tali operazioni di trattamento se sono in possesso del biglietto stesso munito del sigillo fiscale.
Lo schema di regolamento incide, poi, anche sul trattamento dei dati nel momento in cui si fluisce dell’evento a cui il biglietto dà diritto ad accedere, in quanto i soggetti addetti al controllo degli accessi all’evento verificano l’identità di colui il quale si presenta all’ingresso, confrontando i suoi dati con i nomi e cognomi contenuti in una lista unica dei titoli di accesso che viene loro consegnata.
Lo schema di regolamento rileva, poi, nella individuazione delle misure di sicurezza connesse al trattamento dei dati, in quanto per poter procedere alla propria registrazione sul sito Internet dove viene venduto il biglietto, il potenziale acquirente deve identificarsi attraverso il sistema SPID; inoltre, vengono tracciate le operazioni di acquisto e conservati i relativi file di log.
Infine, lo schema si occupa anche della trasparenza informativa, prevedendo una chiara ed esaustiva informativa in ordine alle modalità, i tempi e i costi delle operazioni per cambiare il nominativo contenuto sul biglietto e per rimettere in vendita il biglietto stesso nonché stabilendo che, in caso di rivendita, i biglietti debbono essere offerti all’acquisto (e quindi anche pubblicizzati) soltanto indicando l’le stesse informazioni che sono visibili sul titolo (cioè nome cognome), mentre non possono essere resi visibili delle informazioni personali ulteriori.
Il garante ha, quindi, ritenuto che lo schema di regolamento garantisca la liceità e la correttezza del trattamento dei dati personali nelle varie fasi sopra individuate in quanto:
- stabilisce delle modalità informative a favore dei soggetti interessati rispettose dei principi di liceità, correttezza e trasparenza richiesti dalla normativa in materia di protezione dei dati personali;
- garantisce il rispetto del principio di minimizzazione dei dati, nella misura in cui sul biglietto sono stampati soltanto il nome cognome dell’acquirente e, in fase di controllo durante l’accesso all’evento, l’interessato deve soltanto esibire il proprio documento di identità; inoltre, in quanto, per poter acquistare on-line i biglietti, l’acquirente deve fornire soltanto i dati personali che sono indispensabili per poterlo identificare in maniera univoca nonché il suo numero di cellulare per raggiungere la finalità di confermare l’identità del cliente e impedire gli acquisti multipli; inoltre, in quanto, per gli acquisti effettuati presso i box office, l’acquirente ha la facoltà di fornire al venditore il proprio nominativo nel caso in cui egli voglia avere la possibilità successivamente di rimettere in vendita il biglietto o di chiedere il cambio di nominativo, mentre, nel caso in cui non voglia avere tale possibilità, può non fornire detto nominativo; inoltre, in quanto, nella lista unica dei titoli di accesso consegnata ai soggetti che hanno il compito di controllare gli accessi all’evento sono contenuti soltanto il nome e il cognome degli interessati, in modo da permettere a detti incaricati di svolgere il controllo degli accessi; infine, in quanto, la agenzia delle entrate non tratta alcun dato personale del soggetto al quale è intestato il biglietto né tantomeno del successivo acquirente, in caso di rimessa in vendita o cambio nominativo del biglietto stesso;
- prevede delle misure di sicurezza che appaiono adeguate, in quanto l’uso del sistema SPID permette di fornire i dati personali dell’interessato nel rispetto del principio di minimizzazione a seconda delle funzioni che l’acquirente intende esercitare (in particolare, nel caso in cui egli voglia avere anche lo storico dei biglietti acquistati o rimessi vendita o per i quali ha fatto il cambio nominativo, dovrà utilizzare le credenziali SPID di livello 2; mentre, nel caso in cui voglia soltanto procedere alla propria identificazione, potrà utilizzare soltanto le credenziali di livello 1).
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Scrivi un commento
Accedi per poter inserire un commento