IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito Regolamento;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, di seguito Codice;
Vista la legge 11 dicembre 2016, n. 232 (legge di bilancio 2017), che, all’art. 1, commi 545 e 546, ha introdotto misure volte contrastare il fenomeno del cd. secondary ticketing, cioè il mercato di rimessa in vendita di titoli di accesso ad attività di spettacolo parallelo a quello ufficiale, “Al fine di contrastare l'elusione e l'evasione fiscale, nonché di assicurare la tutela dei consumatori e garantire l'ordine pubblico”;
Visto il decreto del Ministero dell’Economia e delle finanze 12 marzo 2018, attuativo delle citate disposizioni, che ha stabilito misure finalizzate ad aumentare l’efficienza e la sicurezza informatica delle vendite dei titoli di accesso mediante sistemi di biglietterie automatizzate, attraverso reti di comunicazione elettronica, che “siano in grado di identificare l’acquirente” (art. 3, comma 1), demandando poi ad un provvedimento del Direttore dell’Agenzia delle Entrate il compito di definire le specifiche tecniche per la realizzazione di tali sistemi informatici (art. 3, comma 2);
Vista la legge 30 dicembre 2018, n. 145 (legge di bilancio 2019), la quale ha modificato l’art. 1 della legge di bilancio 2017, aggiungendo i commi da 545-bis a 545-quinquies, con i quali ha stabilito che:
- “A decorrere dal 1° luglio 2019, ferme restando le specifiche disposizioni in materia di manifestazioni sportive, per le quali continua ad applicarsi la specifica disciplina di settore, i titoli di accesso ad attività di spettacolo in impianti con capienza superiore a 5.000 spettatori sono nominativi, previa efficace verifica dell'identità, e riportano la chiara indicazione del nome e del cognome del soggetto che fruisce del titolo di accesso, nel rispetto delle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196. L'accesso all'area dello spettacolo è subordinato al riconoscimento personale, attraverso controlli e meccanismi efficaci di verifica dell'identità dei partecipanti all'evento, compresi i minorenni”, indicando di seguito le tipologie di manifestazioni escluse da tali obblighi (comma 545-bis);
- “I siti internet di rivendita primari, i box office autorizzati o i siti internet ufficiali dell'evento assicurano la possibilità di rimettere in vendita i titoli di ingresso nominativi e garantiscono adeguata visibilità e pubblicità alla rivendita, agendo da intermediari e provvedendo alla modifica dei dati richiesti dal comma 545-bis. […] I siti internet di rivendita primari, i box office autorizzati e i siti internet ufficiali dell'evento consentono inoltre la variazione a titolo non oneroso dell'intestazione nominativa del titolo” (comma 545-quater);
- “Con provvedimento del direttore dell'Agenzia delle entrate, adottato previa intesa con il Ministero per i beni e le attività culturali e sentita l'Autorità per le garanzie nelle comunicazioni, entro sessanta giorni dalla data di entrata in vigore della presente disposizione, sono stabilite le regole tecniche attraverso cui i siti internet di rivendita primari, i box office autorizzati o i siti internet ufficiali dell'evento assicurano la rimessa in vendita dei titoli di ingresso nominativi o il cambio di nominativo” (comma 545-bis);
Vista la richiesta di parere del 13 febbraio 2019, integrata e modificata in data 6 e 13 giugno 2019, da parte dell’Agenzia delle Entrate, sullo schema di provvedimento del Direttore, formulato d’intesa con gli altri enti coinvolti, recante “Misure attuative in materia di vendita o qualsiasi altra forma di collocamento di titoli di accesso, ai sensi dell’articolo 1, commi 545-bis e seguenti, della Legge 11 dicembre 2016, n. 232, introdotti dall’articolo 1, comma 1100, della Legge 30 dicembre 2018, n. 145, e Decreto del Ministro dell’Economia e delle Finanze 12 marzo 2018, nonché modifiche alla disciplina relativa ai sistemi di biglietterie automatizzate”, che è stato altresì pubblicato sul sito web della medesima Agenzia in data 1° marzo 2019, al fine di coinvolgere gli operatori del settore e raccoglierne le eventuali osservazioni, in vista della prevista operatività di tale sistema, ai sensi del citato comma 545-bis, a partire dal 1° luglio 2019;
Rilevato che lo schema di provvedimento in questione è finalizzato alla predisposizione di specifiche tecniche in relazione sia alla realizzazione di biglietterie automatizzate in grado di identificare l’acquirente (art. 3, comma 2, d.m. 12 marzo 2018), che alla possibilità di rimessa in vendita dei titoli di accesso nominativi o del cambio di nominativo presso i siti internet di rivendita primari, i box office autorizzati o i siti internet ufficiali dell’evento (art. 1, comma 545-bis, l. 232/2016);
Rilevato che lo schema di provvedimento, per quanto di competenza, disciplina i seguenti profili:
1) Trattamento dati in fase di acquisto. In caso di titolo nominativo obbligatorio, ai sensi del comma 545-bis, sul biglietto vengono indicati i soli nome e cognome del fruitore dell’evento. Se l’acquisto viene effettuato direttamente online, l’acquirente, al momento della registrazione, è tenuto a fornire il set di dati richiesto dal d.m. 12 marzo 2018 al fine di identificare con certezza la persona fisica, e cioè: nome, cognome, luogo e data di nascita, indirizzo di posta elettronica, numero cellulare (punto 3.3). Se invece l’acquisto viene effettuato presso il box office, le regole non prevedono alcun obbligo di identificazione dell’acquirente e, pertanto, non sono previsti obblighi di raccolta dei dati dello stesso in tale fase (punto 6.1).
2) Trattamento dati in fase di rimessa in vendita o cambio nominativo. Queste operazioni sono consentite sia all’intestatario del titolo di accesso che all’acquirente, purché in possesso del titolo munito di sigillo fiscale (punto 6.2).
3) Trattamento dati in fase di fruizione dell’evento. Il controllo all’accesso da parte degli addetti, al fine di accertare l’identità del partecipante, è effettuato sulla base della cd. lista unica dei titoli di accesso (punto 5.2), la quale contiene esclusivamente il nome e cognome dell’intestatario, mentre “È escluso l’inserimento nella lista unica dei titoli di accesso di ulteriori dati personali relativi agli intestatari” (punto 5.3);
4) Misure di sicurezza. In sede di registrazione dell’acquirente, è previsto che questo sia identificato univocamente tramite SPID (punto 3.4). Inoltre, è previsto il tracciamento delle operazioni di acquisto, mediante conservazione dei relativi file di log (punto 3.5), e si ricorre a canali di comunicazione HTTPS “implementando almeno la versione TLS 1.2 del protocollo di connessione” (punto 3.6);
5) Trasparenza informativa. Lo schema di provvedimento prevede “una chiara ed esaustiva informativa su modalità, tempi e costi relativi alle operazioni di cambio nominativo e di rimessa in vendita dei titoli di accesso” (punto 5.6), aggiungendo poi che “i titoli di accesso nominativi rimessi in vendita per ciascun evento sono offerti all’acquisto esponendo le medesime informazioni del titolo visibili per la vendita primaria. Non possono essere rese visibili o note, con qualsiasi modalità, informazioni ulteriori che siano relative ai soggetti coinvolti o ai tempi ed alle modalità del loro acquisto del titolo rimesso in vendita” (punto 6.4.1);
Rilevato che è pervenuta a questa Autorità una segnalazione, in base alla quale si lamenta, in particolare, l’omessa consultazione dell’Autorità sulla legge di bilancio 2019, la quale ha modificato l’art. 1 della legge di bilancio 2017, aggiungendo i citati commi da 545-bis a 545-quinquies, e il mancato rispetto del principio di proporzionalità e minimizzazione dei dati personali in violazione del Regolamento;
Visto il riscontro dell’Agenzia delle Entrate, inviato il 13 giugno 2019 a seguito di apposita richiesta di informazioni del 6 giugno 2019 da parte dell’Ufficio, nel quale vengono sottolineate le misure che l’Agenzia medesima ha inteso inserire nello schema di provvedimento al fine di assicurare il rispetto della normativa sulla protezione dei dati e, in particolare, i principi del rispetto dei diritti e delle libertà degli interessati, di minimizzazione dei dati trattati e proporzionalità delle misure rispetto all’obiettivo perseguito dalla legge;
Ritenuto che il trattamento dei dati personali previsto dalla legge di bilancio 2019, che ha introdotto all’art. 1 della legge di bilancio 2017, i commi da 545-bis a 545-quinquies, risulta proporzionato rispetto ai fini perseguiti di contrasto all’elusione e all’evasione fiscale, di tutela dei consumatori e di garanzia dell’ordine pubblico, limitando la necessità di biglietti di accesso nominativi, e la conseguente verifica dell’identità dei fruitori, ad alcune tipologie di attività di spettacolo (con esclusione di attività lirica, sinfonica e cameristica, della prosa, jazz, balletto, danza e circo contemporaneo) per impianti con capienza superiore a 5000 spettatori, e rinviando alla fase attuativa l’individuazione delle regole tecniche;
Considerato che le regole tecniche predisposte dall’Agenzia delle Entrate per disciplinare l’acquisto, la rimessa in vendita e il cambio di nominativo dei titoli di accesso a spettacoli, mediante biglietterie automatizzate, anche alla luce dei chiarimenti forniti dall’Agenzia, introducono misure atte a garantire un trattamento di dati personali lecito e corretto, prevedendo:
1. modalità informative adeguate nei confronti degli interessati (principio di liceità, correttezza e trasparenza, art. 5, § 1, lett. a), del Regolamento);
2. il rispetto del principio di minimizzazione dei dati (art. 5, § 1, lett. c), del Regolamento), in quanto:
a) i dati personali stampati sul titolo di accesso sono esclusivamente il nome e il cognome, come stabilito dal citato art. 1, comma 545-bis, e i dati richiesti per il partecipante sono quelli minimi per consentire il riconoscimento personale (de visu) tramite l’esibizione di un documento di identità al momento dell’accesso all’area dello spettacolo;
b) in sede di acquisto dei titoli di accesso online sono conferiti dall’acquirente i dati personali ritenuti indispensabili per consentire l’identificazione univoca dell’utente, secondo quanto stabilito dal d.m. 12 marzo 2018, e il numero di cellulare viene utilizzato per asseverare l’identità dell’acquirente e impedire gli acquisti multipli;
c) in sede di acquisto dei titoli di accesso presso i box office autorizzati, viene attribuita all’acquirente, su base volontaria e previa informativa, la facoltà di fornire al venditore il proprio nominativo, al fine di consentirgli la possibilità di richiedere successivamente il cambio di nominativo e la rimessa in vendita, non imponendo così la raccolta di tutti i dati previsti per la procedura di registrazione on line.
Pertanto, presso il box office risulta necessario trattare a tal fine unicamente il nome e cognome dell’acquirente, ovvero quelli necessari a verificare de visu l’identità dell’acquirente per il cambio di nominativo e la rimessa in vendita, in analogia a quanto previsto per l’intestatario del biglietto (cfr. lett. a));
d) i dati personali contenuti nella lista unica dei titoli di accesso sono limitati al solo nome e cognome, in modo da consentire il previsto controllo de visu da parte degli addetti agli accessi;
e) l’Agenzia non tratta alcun dato personale relativo all’intestatario o all’acquirente del titolo oggetto di vendita o a qualsiasi altra forma di collocamento, di rimessa in vendita o di cambio nominativo. Ai fini dell’attività di controllo tributario, l’Agenzia riceve dalla Società Italiana Autori ed Editori (SIAE) i dati aggregati relativi ai proventi di ciascun organizzatore/distributore per ciascuna manifestazione;
3. misure di sicurezza adeguate, anche in relazione all’utilizzo dello SPID. L’Agenzia ha, infatti, precisato che, nell’ambito delle apposite FAQ da pubblicarsi sul proprio sito web, l’utilizzo di credenziali SPID di livello 2 è necessario qualora il sistema consenta l’accesso a dati personali dell’utente, offrendo funzioni, ad esempio, di visibilità dello storico dei biglietti acquistati o di rimessa in vendita o cambio di nominativo; l’accesso con credenziali di livello 1 deve essere limitato, invece, ai casi di utilizzo dello SPID per l’identificazione dell’utente, richiedendo l’associazione di ulteriori dati idonei di riscontro presenti sul titolo di accesso (sigillo fiscale) in caso di eventuale rimessa in vendita o cambio nominativo. Ciò, ferma restando la necessità che gli attributi presenti nell’asserzione prodotta dal gestore dell’identità SPID vengano individuati nel più rigoroso rispetto del principio di minimizzazione;
4. l’impegno dell’Agenzia di valutare, d’intesa con le altre amministrazioni competenti, l’adozione di eventuali misure migliorative, al fine di incrementare l’efficacia delle regole tecniche in esame in relazione alle finalità della normativa primaria;
Ritenuto, pertanto, che, per i profili di competenza, sullo schema di provvedimento sottoposto a parere non vi sono rilievi da formulare;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
TUTTO CIO’ PREMESSO IL GARANTE
ai sensi dell’art. 36, § 4, del Regolamento, esprime parere favorevole sullo schema di provvedimento del Direttore dell’Agenzia delle Entrate recante “Misure attuative in materia di vendita o qualsiasi altra forma di collocamento di titoli di accesso, ai sensi dell’articolo 1, commi 545-bis e seguenti, della Legge 11 dicembre 2016, n. 232, introdotti dall’articolo 1, comma 1100, della Legge 30 dicembre 2018, n. 145, e Decreto del Ministro dell’Economia e delle Finanze 12 marzo 2018, nonché modifiche alla disciplina relativa ai sistemi di biglietterie automatizzate”.
Roma, 20 giugno 2019
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia