Via libera del Garante Privacy alla banca dati volta a “raccogliere ed ordinare le informazioni inerenti alle strutture ricettive e agli immobili” destinati alle locazioni brevi purché si rispettino almeno quattro condizioni: così si è espresso il Garante lo scorso luglio  sullo schema di regolamento che disciplina  le modalità di realizzazione e gestione della relativa banca dati istituita dall’articolo 13-quater, co.4, del DL 34/2019(come successivamente convertito e modificato).

Il tema si pone essenzialmente per i dati personali dei locatori di alloggi per periodi brevi solo se ed in quanto persone fisiche, unici destinatari della protezione normativa di cui al GDPR (Regolamento UE 679/2016).

L’articolo prevede l’istituzione di “una banca di dati delle strutture ricettive, nonche’ degli immobili destinati alle locazioni brevi … identificati mediante un codice da utilizzare in ogni comunicazione inerente all’offerta e alla promozione dei servizi all’utenza, fermo restando quanto stabilito in materia dalle leggi regionali. La banca di dati raccoglie e ordina le informazioni inerenti alle strutture ricettive e agli immobili di cui al presente comma…”

Conflitto tra diritto alla riservatezza e diritti del consumatore

Il provvedimento intende unificare a livello statale gli elenchi delle strutture ricettive e degli immobili dati in locazione per brevi periodi, già presenti a livello regionale. Il focus è posto sulla necessità di bilanciamento tra due interessi primari del diritto nazionale ed Europeo: la tutela dei consumatori da un lato e la tutela della privacy del titolare dei dati dall’altro. L’istituzione della banca dati è infatti, funzionale alla tutela dei consumatori, ai quali si intende offrire uno strumento utile ad identificare l’offerta turistica globale, in maniera chiara e trasparente. Dall’alto lato, la costituzione della banca dati, a seconda della tipologia dei dati personali trattati, delle finalità e modalità del trattamento e della possibilità di diffusione degli stessi, fa sorgere criticità per la tutela della privacy delle persone fisiche coinvolte. L’attività regolamentare richiede pertanto uno specifico equilibrio tra i due principi.

Il parere del Garante

Il Garante ha prima di tutto confermato che l’alimentazione e la gestione della banca dati, “presuppone un trattamento di dati anche personali e, in particolare, di quelli inerenti il soggetto esercente l’attività ricettiva, anche in forma di locazione breve”. Ha disposto, quindi, l’integrazione dello schema di regolamento, tenendo in considerazione alcuni aspetti:

• la finalità del trattamento, “svolto evidentemente nell’esercizio di pubblici poteri o di un compito di pubblico interesse” per essere lecito, necessita di una più compiuta definizione normativa. Come prescritto dagli articoli 6, par.1, lett.e) e 3 del GDPR, nonché 2-ter del Codice Privacy (D.Lgs 196/2003 e succ.  mod.)

• è opportuno: “anzitutto individuare- nel rispetto del principio di minimizzazione di cui all’articolo 5, paragrafo 1, lettera c) del Regolamento– le tipologie di dati personali di cui si legittima (in quanto funzionale allo scopo perseguito) il trattamento e, segnatamente, la stessa acquisizione…”  

• occorre disciplinare: “i tempi di conservazione dei dati personali all’interno della Banca dati e gli effetti (in particolare in termini di cancellazione) che conseguano allo scadere del termine.”

• occorre considerare: “i profili relativi alla sicurezza del trattamento (anche ai fini di cui all’articolo 32 del Regolamento) e alla gestione degli accessi da parte delle persone autorizzate”

Un’ultima questione, tra le più delicate, è la possibilità di pubblicazione sul sito istituzionale del Ministero, delle “informazioni contenute nella banca dati” previsto dallo schema di regolamento. Tale previsione, secondo il Garante “integra un’ipotesi di diffusione (anche) di dati personali che, ai sensi dell’articolo 2-ter, comma 3, del Codice Privacy necessita di un disposto legislativo o, nei casi previsti dalla legge, regolamentare.”

Rimarrà da comprendere se e in che misura l’impostazione della banca dati coinvolgerà i proprietari persone fisiche che affidano in gestione i loro alloggi, con le più diverse modalità contrattuali, ai cd. Property Manager con la modalità della locazione breve. Questo perché, se la formula contrattuale lo consente, i dati personali del proprietario dell’immobile potrebbero non dover essere raccolti nella nuova banca ministeriale, in virtù del principio di minimizzazione posto alla base del GDPR (art. 5), che richiede che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.”

Gli interessati, possono leggere il parere a questo link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9688040