Privacy in albergo: vietato “spiare” i gusti dei clienti
Dalla Newsletter del Garante n. 303 del 21 marzo 2008
Occorre un consenso specifico del cliente per l’uso dei dati a fini di marketing
Anche quando raccolgono via web, a fini di marketing, informazioni su gusti abitudini o preferenze dei clienti, le catene alberghiere devono richiedere uno specifico consenso per poter utilizzare quei dati. Per le finalità di marketing e di promozione commerciale la richiesta di consenso deve essere chiaramente distinta dal resto della scheda normalmente utilizzata per la raccolta dei dati ai fini della fornitura del semplice servizio alberghiero.
Lo ha ribadito il Garante con un provvedimento (di cui è stato relatore Giuseppe Fortunato), adottato a seguito di una serie di accertamenti, con il quale ha vietato ad una catena alberghiera il trattamento dei dati raccolti illecitamente mediante il proprio sito. La catena alberghiera, a differenza di quanto correttamente fatto per i moduli sottoposti ai clienti presso le sedi degli alberghi, non aveva messo a punto un modello on line di richiesta del consenso conforme alla disciplina della privacy. Il modulo presente nella scheda da compilare via web non consentiva, infatti, al cliente di esprimere un consenso libero e specifico al trattamento dei dati a scopo commerciale.
Oltre al divieto di trattamento i dati illecitamente raccolti, la società alberghiera dovrà individuare specifiche modalità per la richiesta del consenso per finalità di marketing.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
PREMESSO
1. Trattamento di dati personali della clientela da parte di Baglioni hotels S.p.A.
1.1. A seguito di accertamenti svolti in data 7 dicembre 2005 presso la sede del Regina Hotel Baglioni, appartenente alla catena di alberghi riconducibile a “Baglioni hotels S.p.A.” (di seguito, la società), l’Autorità ha effettuato in data 23 marzo 2006 e, successivamente, il 21 novembre 2007 alcuni controlli per verificare la conformità alla disciplina in materia di protezione dei dati personali dei trattamenti di dati raccolti (anche mediante posta elettronica) con le schede di rilevazione delle preferenze dei clienti con finalità di profilazione e analisi delle abitudini e scelte di consumo; hanno altresì formato oggetto di verifica i trattamenti effettuati in occasione della prenotazione del servizio alberghiero.
1.2. Dagli accertamenti effettuati è emerso che Baglioni hotels S.p.A., titolare dei predetti trattamenti (cfr. verbale 7 dicembre 2005, p. 2), raccoglie i dati personali che la clientela fornisce in occasione della compilazione (anche on line sul sito web www.baglionihotels.com) della c.d. scheda di notificazione (cfr. all. 2 al verbale cit.) e della scheda di rilevazione delle preferenze (cfr. all. 3 al verbale cit.).
I dati personali contenuti nella c.d. scheda di notificazione, richiesti al cliente al momento della prenotazione, consistono, in particolare, in:
- dati anagrafici: nome, cognome, data e luogo di nascita e cittadinanza;
- residenza e recapiti, tra i quali indirizzo, e-mail e numero del telefono;
- dati relativi ad altri componenti del nucleo familiare in caso di soggiorno dei medesimi (con l’indicazione del nominativo e della data e del luogo di nascita).
È altresì emerso che nella medesima circostanza (ossia al momento della prenotazione) la società fornisce alla clientela l’informativa di cui al modello in atti (all. 1 al verbale cit.). Al riguardo la società ha precisato che si tratta di “un unico modello di informativa al quale dovrebbero attenersi tutte le unità locali della società, ovvero tutti i singoli alberghi dislocati sul territorio nazionale” (cfr. verbale cit. p. 2).
Per la prenotazione effettuata on line l’informativa è resa tramite un apposito link alla “Privacy Policy” presente sul sito web della società (cfr. all. 5 al verbale cit.).
1.3. Ulteriori dati personali vengono raccolti nell’ambito del programma “Elite Service”, finalizzato a personalizzare i servizi che la società intende rendere a una specifica categoria di clienti, ossia a quelli che “prenotano una particolare tipologia di camera (Suite, Junior Suite) o che appartengono ad una delle seguenti categorie: persone che prenotano attraverso l’Agenzia americana “Virtuoso”, American Express, membri della Leading, giornalisti” (cfr. verbale cit. p. 2).
Le informazioni richieste nell’ambito di tale programma consistono nell’indicazione da parte dell’ospite delle proprie preferenze in ordine a:
- il tipo di stanza e la sua ubicazione;
- il giornale quotidiano che desidera ricevere;
- i pasti, l’illuminazione della stanza, i servizi a pagamento di cui il cliente desidera fruire (servizio di baby sitter, servizio di limousine, ecc.).
Tali informazioni sono raccolte mediante l’utilizzo di un modulo cartaceo, reso disponibile presso la reception, come pure tramite l’invio al cliente, che ha effettuato la prenotazione sul sito web o telefonicamente, di una apposita e-mail. In entrambi i moduli (cartaceo e on-line) è inclusa l’informativa relativa al particolare trattamento di dati contenuti nella c.d. scheda di rilevazione preferenze. I dati così raccolti vengono registrati in un’apposita banca dati e sono accessibili tramite un sistema denominato “Opera Hotel Edition”.
1.4. Dalle dichiarazioni rese per conto della società e in particolare dall’informativa, è emerso che i dati personali della clientela di cui al punto 1.2. del presente provvedimento sono raccolti per “le seguenti finalità: 1°: adempimenti di Legge quali comunicazioni agli Enti di Pubblica Sicurezza ed altri organi di vigilanza, Pubbliche amministrazioni, per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla Legge e dai regolamenti, alle società esterne designate “responsabili” del trattamento; 1b: ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale solo ed esclusivamente da Baglioni Hotels e sue associate” (cfr. all. 1 al verbale cit.).
Con riferimento agli altri dati raccolti dalla società (cfr. punto 1.3.), nell’informativa contenuta nella scheda cartacea di rilevazione delle preferenze è fatto presente che i medesimi sono trattati “per una profilazione dei clienti ai fini di una maggior personalizzazione del servizio” (cfr. all. 3 al verbale cit.). Al riguardo la società ha precisato che il sistema “Opera Hotel Edition”, sopra menzionato, “non consente di effettuare alcuna elaborazione sui singoli clienti” avendo “la sola utilità di evidenziare le preferenze dei clienti, così come riportato sulle prefate schede di rilevazione” (cfr. verbale cit., p. 2).
2. Liceità del trattamento: consenso
2.1. Nell’ambito dello svolgimento dell’attività alberghiera la società tratta i dati personali dei clienti per assolvere ad alcuni obblighi (quelli derivanti dalla legge o necessari per dare esecuzione al contratto), consentendo agli ospiti la fruizione del servizio secondo le modalità previste dall’adesione al programma “Elite Service”. Ciò con lo scopo di personalizzare e migliorare il servizio, senza dar vita a un’attività di profilazione in senso stretto (cfr. Provv. 9 marzo 2006, in www.garanteprivacy.it, doc. web n. 1252220 e Provv. 24 febbraio 2005, punti 1 e 4, doc. web n. 1103045 ). Inoltre, i dati possono essere trattati per il compimento di attività di marketing.
In ordine alle finalità appena descritte deve rilevarsi che la società, in ragione delle modalità prescelte per acquisire il consenso, non risulta aver sempre rispettato la disciplina in materia di protezione dei dati personali nella parte in cui essa prevede che, per il trattamento dei dati della clientela per la finalità di marketing, deve essere acquisito un consenso libero, specifico e distinto (art. 23 e 24 del Codice; v. pure, fra gli altri, Provv. 24 febbraio 2005, cit., punto 7).
Diversamente da quanto accade in relazione al modello di acquisizione del consenso contenuto nella c.d. scheda di notificazione, che lascia correttamente libero l’interessato di prestare o meno il proprio consenso per lo svolgimento della finalità di marketing (e che è quindi conforme alla disciplina vigente), nel modello di prenotazione da effettuarsi on-line (all. 5 al verbale cit.) −nonostante quanto previsto nella relativa informativa− non risulta, dagli accertamenti effettuati, che la società abbia effettivamente adottato nella procedura di prenotazione le misure idonee a consentire agli interessati di manifestare un consenso libero e specifico al trattamento dei dati per finalità di marketing (cfr. Provv. 24 febbraio 2005, cit., punto 6).
La società risulta aver trattato illecitamente i dati degli interessati raccolti on-line con riferimento alla finalità di marketing; limitatamente a tale finalità va disposto il divieto di cui in dispositivo e la società non potrà altresì ulteriormente trattare i dati già raccolti in violazione di legge (artt. 11, commi 1, lett. a) e 2; 23, comma 3).
Fermo restando che per quanto riguarda il trattamento dei dati preordinato all’esecuzione del contratto e all’assolvimento di obblighi legali non è necessario il consenso al trattamento dei dati (e che lo stesso non dovrebbe essere quindi, per correttezza, acquisito: art. 24, comma 1, lettere a) e b), del Codice), la società deve pertanto individuare specifiche modalità che consentano ai clienti di esprimere liberamente e specificamente, anche nel modello on−line, le proprie scelte in ordine allo svolgimento da parte della stessa di attività di marketing, trattandosi di una finalità differente da quella concernente la prestazione alberghiera.
Qualora la società intenda porre in essere ulteriori attività di marketing con i dati raccolti in occasione della prenotazione del servizio alberghiero, dovrà servirsi di una modulistica dal contenuto diverso rispetto a quella attualmente in uso sul sito web menzionato, in modo da consentire alla clientela di autodeterminarsi in ordine al trattamento dei dati per detta finalità, rendendo possibile l’acquisizione di un consenso specifico per il suo perseguimento (ad esempio, predisponendo un distinto check box per chi, oltre a richiedere il servizio, intenda autorizzare il titolare del trattamento allo svolgimento di tale attività).
Valutati gli adempimenti da svolgere e tenuto conto dei diritti delle persone interessate è necessario che la società ottemperi senza ritardo alle prescrizioni sopra indicate fornendo a questa Autorità (entro e non oltre il 15 marzo 2008, intervallo di tempo da ritenersi congruo in relazione alle attività da porre in essere) un dettagliato e documentato riscontro.
TUTTO CIÒ PREMESSO IL GARANTE
1) ai sensi dell’art. 154, comma 1, lett. c), del Codice, prescrive a “Baglioni hotels S.p.A.”, qualora intenda porre in essere ulteriori attività i marketing con i dati raccolti in occasione della prenotazione del servizio alberghiero, di individuare modalità che assicurino in sede di prenotazione on-line del servizio una libera e specifica manifestazione del consenso degli interessati con riferimento a detta finalità (punto 2.1.);
2) ai sensi dell’art. 154, comma 1, lett. d), del Codice, ferma restando l’inutilizzabilità dei dati già trattati in modo illecito e non corretto (art. 11, comma 2), vieta a “Baglioni hotels S.p.A.”, limitatamente all’utilizzo dei dati raccolti on-line per finalità di marketing, ulteriori trattamenti in violazione della disciplina di protezione dei dati personali (punto 2.1.);
3) ai sensi dell’art. 157 del Codice prescrive a “Baglioni hotels S.p.A.” di dare conferma a questa Autorità, entro e non oltre il 15 marzo 2008, dell’attuazione delle prescrizioni di cui al presente dispositivo allegando adeguata documentazione.
Roma, 31 gennaio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli