Occorre un consenso specifico del cliente per l'uso dei dati a fini di marketing

Anche quando raccolgono via web, a fini di marketing, informazioni su gusti abitudini o preferenze dei clienti, le catene alberghiere devono richiedere uno specifico consenso per poter utilizzare quei dati. Per le finalità di marketing e di promozione commerciale la richiesta di consenso deve essere chiaramente distinta dal resto della scheda normalmente utilizzata per la raccolta dei dati ai fini della fornitura del semplice servizio alberghiero.
Lo ha ribadito il Garante con un provvedimento (di cui è stato relatore Giuseppe Fortunato), adottato a seguito di una serie di accertamenti, con il quale ha vietato ad una catena alberghiera il trattamento dei dati raccolti illecitamente mediante il proprio sito. La catena alberghiera, a differenza di quanto correttamente fatto per i moduli sottoposti ai clienti presso le sedi degli alberghi, non aveva messo a punto un modello on line di richiesta del consenso conforme alla disciplina della privacy. Il modulo presente nella scheda da compilare via web non consentiva, infatti, al cliente di esprimere un consenso libero e specifico al trattamento dei dati a scopo commerciale.
Oltre al divieto di trattamento i dati illecitamente raccolti, la società alberghiera dovrà individuare specifiche modalità per la richiesta del consenso per finalità di marketing.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

1. Trattamento di dati personali della clientela da parte di Baglioni hotels S.p.A.
1.1. A seguito di accertamenti svolti in data 7 dicembre 2005 presso la sede del Regina Hotel Baglioni, appartenente alla catena di alberghi riconducibile a "Baglioni hotels S.p.A." (di seguito, la società), l'Autorità ha effettuato in data 23 marzo 2006 e, successivamente, il 21 novembre 2007 alcuni controlli per verificare la conformità alla disciplina in materia di protezione dei dati personali dei trattamenti di dati raccolti (anche mediante posta elettronica) con le schede di rilevazione delle preferenze dei clienti con finalità di profilazione e analisi delle abitudini e scelte di consumo; hanno altresì formato oggetto di verifica i trattamenti effettuati in occasione della prenotazione del servizio alberghiero.

1.2. Dagli accertamenti effettuati è emerso che Baglioni hotels S.p.A., titolare dei predetti trattamenti (cfr. verbale 7 dicembre 2005, p. 2), raccoglie i dati personali che la clientela fornisce in occasione della compilazione (anche on line sul sito web www.baglionihotels.com) della c.d. scheda di notificazione (cfr. all. 2 al verbale cit.) e della scheda di rilevazione delle preferenze (cfr. all. 3 al verbale cit.).

I dati personali contenuti nella c.d. scheda di notificazione, richiesti al cliente al momento della prenotazione, consistono, in particolare, in:

• dati anagrafici: nome, cognome, data e luogo di nascita e cittadinanza;
• residenza e recapiti, tra i quali indirizzo, e-mail e numero del telefono;
• dati relativi ad altri componenti del nucleo familiare in caso di soggiorno dei medesimi (con l'indicazione del nominativo e della data e del luogo di nascita).

È altresì emerso che nella medesima circostanza (ossia al momento della prenotazione) la società fornisce alla clientela l'informativa di cui al modello in atti (all. 1 al verbale cit.). Al riguardo la società ha precisato che si tratta di "un unico modello di informativa al quale dovrebbero attenersi tutte le unità locali della società, ovvero tutti i singoli alberghi dislocati sul territorio nazionale" (cfr. verbale cit. p. 2).

Per la prenotazione effettuata on line l'informativa è resa tramite un apposito link alla "Privacy Policy" presente sul sito web della società (cfr. all. 5 al verbale cit.).

1.3. Ulteriori dati personali vengono raccolti nell'ambito del programma "Elite Service", finalizzato a personalizzare i servizi che la società intende rendere a una specifica categoria di clienti, ossia a quelli che "prenotano una particolare tipologia di camera (Suite, Junior Suite) o che appartengono ad una delle seguenti categorie: persone che prenotano attraverso l'Agenzia americana "Virtuoso", American Express, membri della Leading, giornalisti" (cfr. verbale cit. p. 2).

Le informazioni richieste nell'ambito di tale programma consistono nell'indicazione da parte dell'ospite delle proprie preferenze in ordine a:

• il tipo di stanza e la sua ubicazione;
• il giornale quotidiano che desidera ricevere;
• i pasti, l'illuminazione della stanza, i servizi a pagamento di cui il cliente desidera fruire (servizio di baby sitter, servizio di limousine, ecc.).

Tali informazioni sono raccolte mediante l'utilizzo di un modulo cartaceo, reso disponibile presso la reception, come pure tramite l'invio al cliente, che ha effettuato la prenotazione sul sito web o telefonicamente, di una apposita e-mail. In entrambi i moduli (cartaceo e on-line) è inclusa l'informativa relativa al particolare trattamento di dati contenuti nella c.d. scheda di rilevazione preferenze. I dati così raccolti vengono registrati in un'apposita banca dati e sono accessibili tramite un sistema denominato "Opera Hotel Edition".

1.4. Dalle dichiarazioni rese per conto della società e in particolare dall'informativa, è emerso che i dati personali della clientela di cui al punto 1.2. del presente provvedimento sono raccolti per "le seguenti finalità: 1°: adempimenti di Legge quali comunicazioni agli Enti di Pubblica Sicurezza ed altri organi di vigilanza, Pubbliche amministrazioni, per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla Legge e dai regolamenti, alle società esterne designate "responsabili" del trattamento; 1b: ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale solo ed esclusivamente da Baglioni Hotels e sue associate" (cfr. all. 1 al verbale cit.).

Con riferimento agli altri dati raccolti dalla società (cfr. punto 1.3.), nell'informativa contenuta nella scheda cartacea di rilevazione delle preferenze è fatto presente che i medesimi sono trattati "per una profilazione dei clienti ai fini di una maggior personalizzazione del servizio" (cfr. all. 3 al verbale cit.). Al riguardo la società ha precisato che il sistema "Opera Hotel Edition", sopra menzionato, "non consente di effettuare alcuna elaborazione sui singoli clienti" avendo "la sola utilità di evidenziare le preferenze dei clienti, così come riportato sulle prefate schede di rilevazione" (cfr. verbale cit., p. 2).

2. Liceità del trattamento: consenso

2.1. Nell'ambito dello svolgimento dell'attività alberghiera la società tratta i dati personali dei clienti per assolvere ad alcuni obblighi (quelli derivanti dalla legge o necessari per dare esecuzione al contratto), consentendo agli ospiti la fruizione del servizio secondo le modalità previste dall'adesione al programma "Elite Service". Ciò con lo scopo di personalizzare e migliorare il servizio, senza dar vita a un'attività di profilazione in senso stretto (cfr. Provv. 9 marzo 2006, in www.garanteprivacy.it, doc. web n. 1252220 e Provv. 24 febbraio 2005, punti 1 e 4, doc. web n. 1103045 ). Inoltre, i dati possono essere trattati per il compimento di attività di marketing.

In ordine alle finalità appena descritte deve rilevarsi che la società, in ragione delle modalità prescelte per acquisire il consenso, non risulta aver sempre rispettato la disciplina in materia di protezione dei dati personali nella parte in cui essa prevede che, per il trattamento dei dati della clientela per la finalità di marketing, deve essere acquisito un consenso libero, specifico e distinto (art. 23 e 24 del Codice; v. pure, fra gli altri, Provv. 24 febbraio 2005, cit., punto 7).

Diversamente da quanto accade in relazione al modello di acquisizione del consenso contenuto nella c.d. scheda di notificazione, che lascia correttamente libero l'interessato di prestare o meno il proprio consenso per lo svolgimento della finalità di marketing (e che è quindi conforme alla disciplina vigente), nel modello di prenotazione da effettuarsi on-line (all. 5 al verbale cit.) −nonostante quanto previsto nella relativa informativa− non risulta, dagli accertamenti effettuati, che la società abbia effettivamente adottato nella procedura di prenotazione le misure idonee a consentire agli interessati di manifestare un consenso libero e specifico al trattamento dei dati per finalità di marketing (cfr. Provv. 24 febbraio 2005, cit., punto 6).

La società risulta aver trattato illecitamente i dati degli interessati raccolti on-line con riferimento alla finalità di marketing; limitatamente a tale finalità va disposto il divieto di cui in dispositivo e la società non potrà altresì ulteriormente trattare i dati già raccolti in violazione di legge (artt. 11, commi 1, lett. a) e 2; 23, comma 3).

Fermo restando che per quanto riguarda il trattamento dei dati preordinato all'esecuzione del contratto e all'assolvimento di  obblighi legali non è necessario il consenso al trattamento dei dati (e che lo stesso non dovrebbe essere quindi, per correttezza, acquisito: art. 24, comma 1, lettere a) e b), del Codice), la società deve pertanto individuare specifiche modalità che consentano ai clienti di esprimere liberamente e specificamente, anche nel modello on−line, le proprie scelte in ordine allo svolgimento da parte della stessa di attività di marketing, trattandosi di una finalità differente da quella concernente la prestazione alberghiera.

Qualora la società intenda porre in essere ulteriori attività di marketing con i dati raccolti in occasione della prenotazione del servizio alberghiero, dovrà servirsi di una modulistica dal contenuto diverso rispetto a quella attualmente in uso sul sito web menzionato, in modo da consentire alla clientela di autodeterminarsi in ordine al trattamento dei dati per detta finalità, rendendo possibile l'acquisizione di un consenso specifico per il suo perseguimento (ad esempio, predisponendo un distinto check box per chi, oltre a richiedere il servizio, intenda autorizzare il titolare del trattamento allo svolgimento di tale attività).

Valutati gli adempimenti da svolgere e tenuto conto dei diritti delle persone interessate è necessario che la società ottemperi senza ritardo alle prescrizioni sopra indicate fornendo a questa Autorità (entro e non oltre il 15 marzo 2008, intervallo di tempo da ritenersi congruo in relazione alle attività da porre in essere) un dettagliato e documentato riscontro.

TUTTO CIÒ PREMESSO IL GARANTE

1) ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a "Baglioni hotels S.p.A.", qualora intenda porre in essere ulteriori attività i marketing con i dati raccolti in occasione della prenotazione del servizio alberghiero, di individuare modalità che assicurino in sede di prenotazione on-line del servizio una libera e specifica manifestazione del consenso degli interessati con riferimento a detta finalità (punto 2.1.);

2) ai sensi dell'art. 154, comma 1, lett. d), del Codice, ferma restando l'inutilizzabilità dei dati già trattati in modo illecito e non corretto (art. 11, comma 2), vieta a "Baglioni hotels S.p.A.", limitatamente all'utilizzo dei dati raccolti on-line per finalità di marketing, ulteriori trattamenti in violazione della disciplina di protezione dei dati personali (punto 2.1.);

3) ai sensi dell'art. 157 del Codice prescrive a "Baglioni hotels S.p.A." di dare conferma a questa Autorità, entro e non oltre il 15 marzo 2008, dell'attuazione delle prescrizioni di cui al presente dispositivo allegando adeguata documentazione.

Roma, 31 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli

Anticipazione della legge quadro sulla privacy (04.02.02)
Certificazione BS 7799 sulla sicurezza informatica (10.05.02)
Come attuare le modifiche recate dal D.Lgs, 467/2001 in relazione alla notifica (02.09.02)
L'uso di internet sul posto di lavoro: le linee-guida del Garante tedesco (31.01.03)
Il viaggio on line vuole la privacy (16.05.03)
Approvato il Codice della Privacy (30.07.03)
No degli esperti UE ai test genetici sui lavoratori (10.10.03)
Lavoro: accessi ai dati e percorso professionale (10.11.03)
Malattie professionali: lecite le segnalazioni dei medici all’Inail (02.12.03)
Il nuovo Codice della Privacy (10.02.04)
Videosorveglianza e protezione dati personali (15.03.04)
Obblighi di sicurezza e documento programmatico: slitta al 30 giugno la redazione del dps (24.03.04)
Chiarimenti sui trattamenti da notificare al Garante (23.04.2004)
Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza (20.05.2004)
Adempimenti semplificati per gli avvocati (16.06.04)
Rinnovate le autorizzazioni generali (02.09.04)
La normativa in materia di privacy e il D.lgs. 626/94 (04.10.04)
Lavoro. Il fascicolo del dipendente è riservato, solo copie autorizzate (27.10.04)
Dati sanitari in busta chiusa (15.11.04)
Che cosa è un "dato personale" (09.12.04)
Nuove tecnologie: il Garante avvia la consultazione via web (12.01.05)
Videofonini. Le regole per rispettare gli altri (07.02.2005)
Controlli sulle telecamere (28.02.05)
Accesso alle banche dati e diritti dei cittadini (23.03.05)
Videosorveglianza: nuovi interventi del Garante (13.04.05)
Questionari a scuola e garanzie per alunni e genitori (05.05.05)
Accesso ai dati personali e diritti degli interessati (26.05.05)
Giornalismo: Codice della privacy e segreto professionale (20.06.05)
Il Garante potenzia l'attività ispettiva e vara il piano per i prossimi mesi (11.07.05)
No all'uso delle impronte digitali per controllare le presenze dei lavoratori (02.08.05)
Raccolta differenziata e tutela della privacy (31.08.05)
Radiotaxi: vietato schedare i clienti (20.09.05)
Scuola: più privacy per il "portfolio" degli alunni (12.10.05)
Pubblica Amministrazione e gestione dei dati in out-sourcing (02.11.05)
Protocollo di intesa Garante-Guardia di Finanza (24.11.05)
Le strutture sanitarie rispettino la dignità delle persone (19.12.05)
E' ancora proroga (04.01.06)
CNIPA, arriva la posta certificata (24.01.06)
Illecito spiare il contenuto della navigazione in internet del dipendente (15.02.06)
Filtri antispam: linee-guida dei Garanti europei (07.03.06)
Internet: motori di ricerca, il Garante chiede a Google america più tutele per gli utenti (19.04.06)
Alberghi: vietato profilare le abitudini dei clienti in modo illecito (15.05.06)
Scuola: chiarezza sui dati degli studenti (01.06.06)
Sanzionato chi diffonde virus informatici sui PC (21.06.06)
Condominio a prova di privacy (13.07.06)
Carte di fedeltà e diritti dei consumatori (02.08.06)
Informativa del medico di medicina generale e di pediatria (04.09.06)
Il diritto di accesso (27.09.06)
I ribelli della privacy (20.10.06)
Le banche dati genetiche devono tutelare la privacy (13.11.06)
Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy (13.12.06)
Privacy, adozioni e diritto di cronaca (10.01.07)
Le nuove norme in materia di privacy per le scuole (02.02.07)
Cartella clinica elettronica: linee guida dei Garanti Ue (02.03.07)
Lavoro: le linee guida del Garante per posta elettronica e internet (28.03.07)
Impronta della mano e privacy dei lavoratori (18.04.07)
Telecamere in piscina: vietato riprendere le persone negli spogliatoi (08.05.07)
Tutelare i minori nella navigazione in rete (05.06.07)
Dal Garante privacy pronta una guida pratica per facilitare la vita di piccole e medie imprese (26.06.07)
Privacy e pubblico impiego: le linee guida del Garante (17.07.07)
Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere comportamenti illeciti (10.09.07)
Il Garante definisce le regole per la messa in sicurezza dei dati di traffico telefonico e internet e avvia una consultazione (2.10.07)
Privacy e diritti degli utenti (22.10.07)
Far comprendere ai dipendenti l'importanza della sicurezza: quattro modi per garantire la sicurezza IT sul luogo di lavoro (16.11.07)
Far West videofonini, Direttiva Fioroni alle scuole: attenzione, ecco cosa si rischia (5.12.07)
Gli "spammer" rischiano il risarcimento danni (11.01.08)
Troppi dati per le "fidelity card": interviene il Garante (05.02.08)
No all'uso disinvolto di dati biometrici in banca (10.03.08)