Provvedimento del 1° giugno 2023 [9980043]
Provvedimento del 1° giugno 2023 [9980043]
Condividi[doc. web n. 9980043]
Provvedimento del 1° giugno 2023
Registro dei provvedimenti
n. 229 del 1° giugno 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTI gli accertamenti ispettivi condotti dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia Finanza in data 8, 9 e 10 ottobre 2019 presso la sede legale di NH Italia S.p.A. (in Milano); in data 16 ottobre 2019 presso l’Hotel NH Collection Roma Centro (con sede in Roma) e, da ultimo, il 17 ottobre 2019 presso gli uffici di NH Italia S.p.A. (con sede in Roma);
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’attività ispettiva nei confronti della Società.
Nell’ambito di un’attività di controllo avviata d’ufficio dall’Autorità, in data 8, 9, 10, 16 e 17 ottobre 2019 è stato effettuato, per il tramite del Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, un accertamento in loco (presso le sedi sopra indicate) nei confronti di “NH Italia S.p.a.” (di seguito “Società” o “NH Italia”).
La predetta Società, che ha sede legale a Milano e fa parte del gruppo alberghiero “NH Hotel Group” sito in Madrid (Spagna), gestisce diverse strutture alberghiere dislocate sul territorio nazionale.
Nello specifico, l’attività di controllo del Garante ha riguardato i trattamenti dei dati personali relativi alla clientela raccolti da NH Italia, nell’ambito dell’espletamento dell’attività alberghiera esercitata presso le suddette strutture.
In merito, in sede di accertamento, sulla base delle dichiarazioni ivi rese dalla Società, è emerso che:
NH Italia è una società facente parte del gruppo NH Hotel Group ed avente licenza d’uso dei brand NH, NH Collection e NH Now “costituita[si] il 21.05.2004”, che “effettua attività di “Alberghi” ed attività accessorie (ad es. Ristorante, bar)” tramite diverse strutture alberghiere (circa 50) dislocate su tutto il territorio nazionale;
la titolarità del trattamento dei dati personali dei clienti “che effettuano la prenotazione attraverso il sito web www.nh-hotels.it o attraverso i centri di prenotazione (Central Reservation Office-CRO)” è in capo NH Hotel Group S.A., società capogruppo di NH Hotel Group (v. verbale dell’8 ottobre 2019, pag. 4);
la Società ha precisato che alcune delle sopra citate strutture sono gestite direttamente da NH Italia, altre, invece, “hanno un contratto di management” (v. verbale dell’8 ottobre 2019, pag. 3);
qualora sia “stato sottoscritto un contratto di management”, in ordine al trattamento “dati relativi alla fatturazione, la titolarità è in capo alla società che ha sottoscritto il contratto di management proprietaria della struttura alberghiera” (v. verbale dell’8 ottobre 2019, pag. 4 e verbale del 9 ottobre 2019, pag. 2);
NH Italia agisce quale autonomo titolare rispetto ai dati personali dei clienti raccolti, in ragione del loro soggiorno, presso le strutture alberghiere direttamente gestite dalla stessa, tutto ciò ai fini del perseguimento delle finalità connesse ai relativi adempimenti di carattere amministrativo-contabile (v. verbale dell’8 ottobre 2019, pag. 4 e verbale del 9 ottobre 2019, pag. 2);
in tale veste, in occasione del check-in degli ospiti, NH Italia acquisisce, “i dati identificativi/anagrafici, contabili e fiscali” e di contatto, degli interessati, ossia: nome, cognome, data e luogo di nascita, provincia di nascita, nazionalità, indirizzo e-mail, nonché, gli estremi di un documento di riconoscimento e degli strumenti di pagamento (v. verbale del 9 ottobre 2019, pag. 4 e all. 4 recante gli screenshot di un check in effettuato a seguito di una prenotazione di un soggiorno presso una struttura alberghiera gestita da NH Italia);
la raccolta dei dati sopra indicati avviene al momento della compilazione e sottoscrizione, da parte della clientela in sede di check-in, del modello denominato “Registration form”; modello ove tra l’altro è riportata la c.d. “Informativa di base sulla protezione dei dati” resa, in tale circostanza, dalla Società alla clientela (v. verbale del 9 ottobre 2019, pagg. 2 e 4 e all. 4 recante il suddetto form);
inoltre “potrebbe capitare che un cliente […] comunichi liberamente, nel campo note, dati relativi ad eventuali allergie e/o intolleranze alimentari”; in merito la Società ha dichiarato che “tale informazione viene conservata solo per il tempo relativo al soggiorno del cliente” (v. verbale del 9 ottobre 2019, pag. 4);
infine, “in quasi tutte le […] strutture alberghiere è installato […] un sistema di videosorveglianza”; al riguardo la Società ha puntualizzato che rispetto al sotteso trattamento di dati la titolarità “è esclusivamente in capo alla NH Italia S.p.A.” (v. verbale del 9 ottobre 2019, pag. 2);
in merito ai trattamenti di dati personali posti in essere da NH Italia in ragione dell’installazione dei predetti sistemi di videosorveglianza presso le strutture alberghiere indicate dalla Società e alla designazione a responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, da effettuarsi nei confronti delle società manutentrici degli impianti, “non sono state effettuate nomine specifiche per tale trattamento” (v. verbale del 17 ottobre 2019, pag. 2 e all. 28 recante l’elenco delle strutture gestite da NH Italia, ove sono stati installati gli impianti).
Successivamente, a scioglimento delle riserve formulate nel corso dell’attività ispettiva, NH Italia, con le comunicazioni del 31 ottobre 2019 e del 5 novembre 2019, ha fornito ulteriori elementi, anche di natura documentale, rispetto ai trattamenti di cui sopra; tutto ciò ad integrazione di quanto emerso a seguito degli accertamenti espletati.
In particolare, con le predette comunicazioni sono stati, tra l’altro, acquisiti il dato relativo al numero complessivo dei clienti registrati (ossia 29 milioni) nella banca dati Customer Relationship Management (c.d. CRM) della Società, nonché la conferma dell’avvenuta comunicazione al Garante, il 21 ottobre 2019, dei dati di contatto del Responsabile della protezione dei dati (individuato nella figura del Responsabile della protezione dei dati per NH Hotel Group, già designato a suo tempo dal Gruppo).
Merita evidenziare che, all’esito della complessa istruttoria avviata e a fronte dell’esame degli elementi risultanti agli atti, sono stati riscontrati alcuni profili di criticità meritevoli di una più approfondita analisi a cura dell’Autorità.
Pertanto, con le note del 29 gennaio 2021 e del 30 settembre 2021, sono state avanzate, nei confronti di NH Italia, due ulteriori richieste di informazioni ai sensi dell’art. 157 del Codice, ciò con particolare riguardo agli aspetti concernenti:
a) la previsione dell’acquisizione di uno specifico consenso per la raccolta dei dati relativi alle eventuali allergie e/o intolleranze alimentari forniti dalla clientela e il ruolo rivestito rispetto a tale trattamento da NH Italia;
b) la regolamentazione dei rapporti contrattuali con le società che trattano, per conto di NH Italia, i dati personali acquisiti tramite gli impianti di videosorveglianza;
c) le modalità con cui viene resa l’informativa agli ospiti in ragione del soggiorno degli stessi presso le strutture gestite da NH Italia, tenuto conto di quanto riportato nel c.d. Registration Form, in ordine alla possibilità per la clientela di poter “reperire maggiori ragguagli circa la […] Politica sulla protezione dei dati” in occasione del check in.
Innanzitutto, in merito al profilo di cui al punto sub a), la società, con la nota di riscontro del 26 febbraio 2021 alla prima richiesta di informazioni del 29 gennaio 2021, ha ribadito quanto precedentemente dichiarato, in sede di accertamenti ispettivi, in ordine alle modalità di acquisizione dei dati personali della clientela concernenti le allergie e/o intolleranze alimentari (v. supra par. 1), chiarendo, al contempo, che tali informazioni non vengono raccolte di regola durante la fase di check-in, trattandosi di dati non necessari ai fini del soggiorno.
Le stesse, invero, come precisato da NH Italia in tale comunicazione, possono essere fornite successivamente dal cliente, il quale “volontariamente” e “in via residuale” le rende note al personale dell’hotel (qualora lo stesso, ad esempio, intenda avvalersi del servizio ristorativo).
In tale circostanza, il personale della struttura chiede verbalmente all’interessato di poter registrare, per il periodo della durata del soggiorno, la relativa indicazione nel “campo note” del programma di prenotazione, denominato “sistema TMS”, della Società, informandolo altresì “che il dato verrà cancellato al termine dello stesso” (v. nota del 26 febbraio 2021, pag. 2 e all. 1 recante il modulo di registrazione sottoscritto da un cliente in fase di check in e copia di uno screenshot del sistema TMS ove nel “campo note” si evince la preferenza rilasciata dall’ospite di un hotel a ricevere una “colazione senza glutine”).
Rispetto agli ulteriori profili oggetto di approfondimento, nella fattispecie quello menzionato al punto sub b), si evidenzia che la Società, con la medesima nota del 26 febbraio 2021, ha fornito un elenco aggiornato delle strutture alberghiere ove sono stati installati gli impianti di videosorveglianza (trattasi dell’all. 3 alla nota del 26 febbraio 2021, che sostituisce dunque quello già trasmesso a suo tempo in sede di accertamenti di cui all’all. 28 del verbale 17 ottobre 2019), unitamente agli accordi −stipulati successivamente all’espletamento della predetta attività ispettiva− recanti le designazioni di responsabile del trattamento, nei confronti delle società incaricate della installazione e manutenzione degli impianti di videosorveglianza.
Al riguardo, è stato inoltre precisato che “non vi sono accordi di fornitura ma il servizio [di progettazione, installazione e manutenzione] viene effettuato “a richiesta” tramite ordini ad hoc del singolo albergo sulla base di specifiche esigenze” e che “alcuni alberghi sono stati chiusi a causa dell’emergenza sanitaria e che per altri l’attività manutentiva viene svolta internamente dai collaboratori di NH Italia” (v. nota del 26 febbraio 2021, pag. 2).
Inoltre, in allegato alla medesima nota del 26 febbraio 2021, come richiesto dall’Autorità con la comunicazione del 29 gennaio 2021, NH Italia ha trasmesso l’elenco delle 51 strutture alberghiere dislocate sul territorio nazionale che hanno licenza d’uso dei brand NH, NH Collection e NH Now e che sono gestite dalla Società, dal quale si evince, tra l’altro, il numero dei dipendenti di NH Italia operanti presso ciascuna struttura (complessivamente 1335).
Successivamente, con nota pervenuta il 28 ottobre 2021, NH Italia, ad integrazione della documentazione e delle informazioni già rese all’Autorità e in ragione degli ulteriori chiarimenti richiesti al riguardo da quest’ultima in data 30 settembre 2021 attinenti ai profili di cui ai punti sub a) e b), ha precisato quanto segue:
“NH Italia è il titolare del trattamento in relazione a tutti i dati necessari per la prestazione dei servizi alberghieri” forniti presso le strutture dalla medesima gestite sul territorio nazionale (v. nota del 28 ottobre 2021, pag. 1);
in relazione al predetto trattamento dei dati della clientela effettuato da NH Italia, i clienti ricevono la relativa informativa, che, come ribadito dalla Società, è consegnata a tutti i clienti nel modulo di registrazione (c.d. Registration Form), al momento in cui gli stessi forniscono i dati alla reception dell'hotel. Essa reca le informazioni di base sulla protezione dei dati personali e indica al contempo, nella sezione “Informazioni aggiuntive”, la possibilità di ricevere una informativa in forma più estesa contenuta nella politica dettagliata sulla protezione dei dati predisposta dalla Società. Tale documento denominato “Informativa sulla protezione dei dati” (cfr. all. 3 della nota del 28 ottobre 2021), viene fornito al cliente al banco della reception o “in formato elettronico attraverso l’indirizzo email del Responsabile della Protezione dei dati” (cfr. nota del 28 ottobre 2021, pag. 2);
fermo restando quanto sopra, per quanto concerne le ulteriori ed eventuali informazioni raccolte da NH Italia relative ad allergie e/o intolleranze alimentari della clientela, che, come sopra riportato vengono “memorizzate nel campo note presente nel sistema TMS della […] Società”, la Società ha ribadito che “generalmente non raccoglie [tali] informazioni (…)” se non nel caso in cui, “per evitare incidenti”, un cliente fornisca volontariamente le stesse. È stato inoltre precisato che quest’ultime rimangono nella esclusiva disponibilità di NH Italia, sino alla conclusione del soggiorno, e sono dunque trattate “solo da NH Italia S.p.A.” (v. nota del 28 ottobre 2021, pag. 1);
è stato da ultimo rappresentato che NH Italia, a seguito degli accertamenti condotti dall’Autorità, ha definito “una procedura per regolare il trattamento [occasionale] di dati [di cui sopra] con l’obiettivo di garantire la privacy degli interessati”; procedura rispetto alla quale “NH Italia S.p.A. si configura quale titolare del trattamento” e che prevede quale base giuridica dello stesso l’espresso consenso dell’interessato (v. nota del 28 ottobre 2021, pag. 1 e all. 1 recante il modello di informativa e acquisizione del relativo consenso predisposto sul punto da NH Italia).
2. Avvio del procedimento per l’adozione dei provvedimenti correttivi.
Il 21 febbraio 2022 l’Ufficio ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a) e 9 del Regolamento; artt. 5, par. 1, lett. a) e 13 del Regolamento; nonché art. 28 del Regolamento.
Con la successiva nota del 23 marzo 2022, la Società, ha inviato i propri scritti difensivi, rappresentando che:
con riguardo al trattamento dei dati relativi alle allergie e/o intolleranze alimentari della degli ospiti posti in essere da NH Italia, gli stessi “sono stati raccolti solo nei casi in cui gli interessati li hanno forniti di loro spontanea volontà, essendo pienamente consapevoli che li stavano fornendo affinché potessero essere presi in considerazione ai fini della prestazione dei servizi da parte di NH ITALIA. Pertanto, il consenso è stato concesso dall’utente in forma orale”. Ne consegue che il relativo trattamento è stato residuale e meramente “occasionale, coinvolgendo un numero molto limitato di interessati”, dato che “di regola non viene raccolto questo genere di dati”. Ad ogni buon conto, è stato sottolineato che lo stesso è stato posto in essere al fine di salvaguardare la salute degli ospiti stante le possibili implicazioni derivanti dal mancato conferimento di tali informazioni (cfr. nota del 23 marzo 2022, pagg. 6 e 9);
a seguito degli accertamenti avviati da questa Autorità, NH Italia ha provveduto ad implementare una specifica procedura interna concernente il trattamento delle informazioni relative allo stato di salute degli ospiti delle strutture alberghiere; procedura che ha comportato da un parte la redazione di una specifica informativa in tal senso sulla protezione di tali particolari categorie di dati da rilasciare agli interessati e dall’altra la previsione di un sistema di acquisizione e registrazione, quale base giuridica di tale specifico trattamento, del consenso espresso al trattamento dei dati relativi ad allergie e/o intolleranze alimentari. La Società ha inoltre precisato che “tali informazioni saranno cancellate quando il cliente effettuerà il check-out, cosicché saranno definitivamente eliminate dai sistemi di NH ITALIA” fatta salva la possibilità per “gli ospiti che soggiornino regolarmente presso NH ITALIA” di fornire un ulteriore e distinto consenso volto a consentire “a NH ITALIA, di conservare [tali informazioni] per un periodo di due anni”. Infine, “come azione migliorativa da parte di NH ITALIA, in relazione al trattamento [delle predette] informazioni, al fine di verificare la corretta regolarizzazione dei consensi al trattamento dei dati sensibili e l'attuazione della procedura, la società (…) sta procedendo a verificare la corretta cancellazione definitiva dei dati sensibili dai sistemi di NH ITALIA, in modo tale da risultare conforme al processo disciplinato dalla [stessa] procedura” (cfr. nota del 23 marzo 2022, pagg. 3 e 9). Al riguardo, si fa presente che il documento recante la “Procedura obbligo di informazione e ottenimento del consenso per la raccolta dei dati relativi ad allergie ed intolleranze alimentari”, è stata allegata dalla Società alla nota del 23 marzo 2022;
per quanto concerne i trattamenti dei dati posti in essere per garantire la sicurezza delle persone e dei luoghi mediante gli impianti di videosorveglianza ubicati presso le strutture alberghiere gestite da NH Italia, la stessa ha adempiuto agli obblighi in materia di informativa di cui all’art. 13 del Regolamento anche per il tramite dell’esposizione di cartelli a ciò preposti, avvalendosi al contempo di vari fornitori ai fini della relativa installazione e manutenzione, previa sottoscrizione, come già precisato nella nota del 26 febbraio 2021, di contratti ad hoc con tali incaricati. Al riguardo, la Società ha inteso precisare che i predetti fornitori “non hanno accesso continuo alle immagini raccolte dalle telecamere di videosorveglianza installate”. Piuttosto “i servizi forniti da tali soggetti hanno ad oggetto la manutenzione delle telecamere come mezzo fisico attraverso il quale vengono registrate le immagini delle strutture di NH ITALIA”. I suddetti contratti, inoltre, “richiamano le norme sulla protezione dei dati di cui all’Art. 28 del RGPD” e contengono le istruzioni fornite dal titolare al responsabile in conformità a quanto previsto dalla normativa sul punto. “Pertanto, va rilevato come il rapporto con i fornitori che potrebbero avere accesso alle immagini è adeguatamente regolamentato in conformità con le norme applicabili in materia di protezione dei dati” (cfr. nota del 23 marzo 2022, pagg. 4-5).
3. Osservazioni sulla normativa in materia di protezione dei dati personali rilevante nel caso di specie e violazioni accertate.
Con specifico riferimento alla normativa in materia di protezione dei dati personali e alle violazioni accertate da codesto Ufficio nell’ambito del procedimento, si rappresenta in primis che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.
Tanto doverosamente premesso, all’esito dell’attività istruttoria e delle successive valutazioni svolte dall’Autorità in merito, è stato accertato, sulla scorta degli elementi acquisiti nel corso degli accertamenti ispettivi effettuati dal Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza e dall’esame della documentazione e degli ulteriori elementi successivamente trasmessi al Garante, che NH Italia ha posto in essere un illecito trattamento dei dati personali presso le strutture alberghiere che sono dislocate sul territorio nazionale di cui la stessa ha la relativa gestione.
Tutto ciò in quanto NH Italia, in qualità di titolare, ha effettuato, come di seguito più diffusamente esplicitato, operazioni di trattamento innanzitutto in contrasto con l’art. 5 del Regolamento; disposizione quest’ultima che individua i principi fondamentali applicabili a qualsiasi trattamento di dati personali. In virtù di tale disposizione, il titolare è infatti tenuto a rispettare i predetti principi, ivi compreso quelli in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a), del Regolamento).
In particolare, in relazione agli specifici trattamenti posti in essere da NH Italia oggetto di accertamento da parte dell’Autorità, è stato constatato che con riferimento all’avvenuta raccolta delle informazioni connesse ad eventuali allergie e/o intolleranze alimentari effettuata in ragione delle richieste avanzate dagli ospiti durante il soggiorno presso gli hotel, la stessa è stata posto in essere in assenza di un’idonea base giuridica, e pertanto in violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento, nonché sulla base di un’informativa incompleta e inidonea (sul punto), in violazione quindi degli artt. 5, par. 1, lett. a) e 13 del Regolamento (v. infra par. 3.1).
Inoltre, rispetto al trattamento dei dati effettuato a fronte dell’installazione degli impianti di videosorveglianza presso le predette strutture, è stata rilevata, in sede di accertamenti, sotto il profilo della disciplina vigente in materia di trattamento dei dati personali, la mancata previa regolamentazione da parte di NH Italia, in conformità a quanto stabilito dall’art. 28 del Regolamento, del connesso rapporto instaurato con le società deputate alla manutenzione degli stessi (v. infra par. 3.2).
In merito, si osserva quanto segue.
3.1 Illecito trattamento dei dati relativi ad eventuali allergie e/o intolleranze alimentari della clientela.
All’esito delle verifiche poste in essere da questa Autorità è in primo luogo emerso che NH Italia, in occasione del soggiorno della clientela presso le strutture alberghiere, acquisisce e registra nel sistema di prenotazione, seppur non in via sistematica, anche i dati personali degli ospiti relativi ad eventuali allergie e/o intolleranze alimentari.
Al riguardo, si fa in primis presente che, ai sensi dell’art. 4, par. 1, punti 15 e 2 del Regolamento i “dati relativi alla salute” sono quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, mentre per “trattamento” si intende “qualsiasi operazione o insieme di operazioni […] come la raccolta, la registrazione, l’organizzazione, […], la conservazione […], la consultazione […], la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione”.
Si rappresenta altresì che per quanto attiene alla protezione dei dati personali che rientrano nelle cc.dd. “categorie particolari”, l’art. 9, par. 1, del Regolamento, dispone il divieto di effettuare i trattamenti di tali informazioni.
Posto che tra le categorie particolari di dati personali sono ricompresi anche i dati relativi alla salute, si evidenzia quindi come rispetto agli stessi viga il divieto di porre in essere una qualsiasi operazione di trattamento tra quelle sopra indicate (art. 9, par. 1, del Regolamento). Il divieto in questione può essere però derogato in presenza delle condizioni di liceità previste dal successivo par. 2 dell’art. 9 del Regolamento, tra le quali è ricompresa anche la previa acquisizione del consenso esplicito dell’interessato.
Sul punto, merita innanzitutto evidenziare che il consenso, quale presupposto di legittimità del trattamento, deve essere sempre reso attraverso un atto positivo mediante il quale l’interessato manifesta una volontà libera, specifica e inequivocabile in ordine al trattamento dei dati personali che lo riguardano (Cons. 32 e 43, artt. 4, par. 1, punto 11, 5, 6, par. 1, lett. a) e 7 del Regolamento; v. anche Linee guida 5/2020 sul consenso ai sensi del Regolamento (UE) 2016/679, adottate dal Comitato europeo per la protezione dei dati personali, il 4 maggio 2020, in particolare par. 3 e Sentenza C-61/19, dell’11 novembre 2020). Inoltre, con specifico riferimento ai dati sulla salute −tenuto conto della natura di tali informazioni, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali− il legislatore, affinché il consenso possa considerarsi validamente prestato, ha previsto, come già sopra puntualizzato, un ulteriore requisito: ossia che lo stesso sia fornito in forma esplicita (art. 9, par. 2, lett. a) e Cons. 51 del Regolamento e par. 4 delle Linee guida 5/2020 cit.).
Fermo restando quanto sopra in merito alle modalità di acquisizione del consenso da parte del titolare, si tenga altresì conto che, in base al principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento, sussiste un ulteriore obbligo in capo a quest’ultimo previsto dall’art. 13 del Regolamento.
In base a tale previsione normativa, il titolare è infatti tenuto a fornire all’interessato, nel momento i cui i dati personali sono ottenuti, tutte le informazioni inerenti ai dati che lo riguardano, tra le quali anche quelle relative alle finalità e alle modalità dello specifico trattamento, nonché l’indicazione in ordine alla base giuridica dello stesso. Tutto ciò nella prospettiva di assicurare che il trattamento sia effettuato in maniera corretta e trasparente, nel rispetto di quanto previsto dagli artt. 5, par. 1, lett. a), 12, par. 1, e 13 del Regolamento (v. anche Cons. 39 e 58 del Regolamento), e affinché l’interessato, qualora il consenso rappresenti la condizione di liceità del trattamento, possa “individuare agevolmente le conseguenze del consenso prestato e […] questo sia espresso con piena cognizione di causa” (cfr. C-61/19, dell’11 novembre 2020, cit., par. 53).
Quanto, infine, all’onere della prova dell’esistenza di una valida manifestazione di volontà alla raccolta dei dati, tale onere incombe sul titolare del trattamento (il quale potrebbe, ad esempio, predisporre una richiesta in tal senso nella forma della dichiarazione scritta da presentarsi in modo comprensibile e facilmente accessibile agli interessati; cfr. punto 4 delle Linee Guida 5/2020, cit.). È infatti quest’ultimo, in virtù di quanto previsto dal Regolamento, che deve essere in grado di dimostrare che l’interessato abbia acconsentito al trattamento dei dati che lo riguardano (art. 5, par. 2 e 7, par. 1 e Cons. 42 del Regolamento).
Tanto doverosamente premesso, muovendo dal quadro normativo complessivamente sopra descritto, dalla documentazione in atti risulta che NH Italia abbia posto in essere un trattamento di dati degli ospiti che avanzano specifiche richieste durante il soggiorno, in ragione delle proprie condizioni di salute, in violazione dei principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento).
Tutto ciò, considerato che i dati afferenti alle eventuali allergie e/o intolleranze alimentari della clientela, oggetto di specifico accertamento nel caso di specie, rientrano nella categoria dei dati personali relativi alla salute (cfr., in tal senso, anche Provvedimento del Garante del 20 dicembre 2012, doc. web n. 2337668 e da ultimo Provvedimento del Garante del 20 ottobre 2022, doc. web n. 9831081); categoria che ricomprende, invero, ”tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica […] passata, presente o futura dello stesso” (Cons. 35 del Regolamento).
Pur prendendo atto, infatti, che, in ragione della raccolta di informazioni effettuata in occasione del check in degli ospiti da NH Italia al fine di consentire, nell’ambito dell’esercizio dell’attività alberghiera, il soggiorno degli stessi presso le proprie strutture, la Società fornisce a quest’ultimi le connesse informazioni riportate nel c.d. Registration form (cfr. all. 4 del verbale del 9 ottobre 2019) e nel documento recante la Politica dettagliata sulla protezione dei dati (v. all. 3 della nota della Società del 28 ottobre 2021), occorre evidenziare che, per quanto concerne l’eventuale ulteriore trattamento di particolari categorie di dati personali, la Società non fornisce agli interessati, prima che il trattamento abbia inizio e in ossequio al sopra menzionato principio di trasparenza, alcuna chiara informazione in ordine alle modalità e alle finalità dello stesso, nonché rispetto alla corrispondente base giuridica (art. 13, par. 1, lett. c) del Regolamento).
Inoltre, la circostanza sostenuta dalla Società (cfr. supra paragrafi 1 e 2) −ossia che i dati di cui sopra vengano comunicati liberamente e in forma orale dagli interessati in occasione della formulazione di eventuali specifiche richieste da parte della clientela durante il soggiorno in hotel− non costituisce una valida base di legittimità del trattamento in esame.
L’interessato, infatti, oltre a non essere stato informato dal titolare sul punto ai sensi dell’art. 13 del Regolamento, non è stato messo nella condizione di prestare il proprio esplicito consenso attraverso un’azione positiva inequivocabile e “di avere il [consapevole] controllo sui suoi dati” nella convinzione “che questi saranno trattati esclusivamente per le finalità [specifiche connesse al predetto trattamento]” (cfr. punto 58, ma in generale par. 3.2-3.4 delle Linee Guida n. 5/2020, cit.; cfr. anche Provvedimento del 20 ottobre 2022, cit.).
Parimenti non può considerarsi sufficiente a configurare l’adempimento dell’obbligo della puntuale dimostrazione dell’ottenimento di un consenso valido da parte dell’interessato di cui all’art. 7, par. 1 del Regolamento, l’indicazione riportata, in merito alle allergie e/o intolleranze alimentari del cliente, nel campo note del sistema TMS della Società, trattandosi di una mera annotazione in ordine alle preferenze avanzate dalla clientela che viene posta in essere dal personale della struttura alberghiera.
Da tutto ciò ne consegue che il quadro delineato in ordine alle modalità prescelte dalla Società ai fini della raccolta dei suddetti dati, non soddisfa i requisiti del consenso e dell’informativa previsti dalla disciplina vigente in materia di protezione dei dati personali. Dall’esame delle risultanze istruttorie, non risultano, infatti, essere state fornite le informazioni di cui sopra agli interessati, né è stato acquisito dal titolare alcun esplicito, specifico ed informato consenso al trattamento dei dati degli ospiti relativi alle allergie e/o intolleranze alimentari al momento della relativa raccolta; da cui ne consegue la violazione dei principi generali di cui all’art. 5, par. 1, lett. a) del Regolamento, nonché dell’art. 13 del Regolamento, e del divieto generale di trattamento di particolari categorie di dati personali previsto nell’art. 9 del Regolamento.
L’evidenza delle richiamate violazioni emerge anche con riferimento a quanto rilevato nel corso del procedimento in merito all’iniziativa assunta dalla Società che ha messo in atto, a seguito delle verifiche condotte dal Garante, una serie di successive misure proprio al fine di rendere il suddetto trattamento conforme al quadro normativo in materia di protezione dei dati personali. In particolare, ci si riferisce alle azioni intraprese e descritte nella nota del 23 marzo 2022 (v. supra par. 2).
NH Italia ha ivi rappresentato, infatti, di aver previsto alcuni interventi correttivi proprio in ordine ai requisiti relativi ad una manifestazione del consenso esplicita, specifica ed informata.
Tali interventi hanno comportato la redazione di una informativa sulla protezione di tali particolari categorie di dati da rilasciare agli interessati, nonché la previsione di un sistema di acquisizione e registrazione, quale base giuridica del trattamento, di un consenso espresso al trattamento di tali dati.
Per tutte le ragioni sopra esplicitate, la condotta tenuta dalla Società risulta in contrasto con i richiamati principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) ed è stata posta in essere, rispetto al trattamento particolari categorie di dati personali afferenti alle eventuali allergie e/o intolleranze alimentari della clientela, in violazione dell’art. 9 del Regolamento e in assenza di una idonea informativa al riguardo come stabilito all’art. 13 del Regolamento.
3.2. Mancata regolamentazione del rapporto con le società manutentrici degli impianti di videosorveglianza.
In merito all’ulteriore profilo di contestazione concernente le modalità di regolamentazione da parte della Società del rapporto con le società manutentrici degli impianti di videosorveglianza, occorre fare riferimento, rispetto ai profili connessi alla normativa in materia di protezione dei dati personali, a quanto previsto dal legislatore negli artt. 4, par. 1, punto 8 e 28 del Regolamento.
Tali disposizioni individuano le figure che nel contesto delle operazioni di trattamento dei dati possono operare sotto la responsabilità del titolare; circostanza, quest’ultima, ravvisabile nel caso di specie proprio con riferimento alle suddette società in ragione dei servizi dalle medesime resi e delle operazioni dalle stesse poste in essere a seguito dell’installazione degli impianti di videosorveglianza presso le strutture alberghiere gestite da NH Hotel, come indicate dalla Società nel corso degli accertamenti.
Il titolare, può decidere di avvalersi di un responsabile esterno per lo svolgimento di alcune attività (cfr. art. 28 e Cons. 81 del Regolamento). In tal caso, la responsabilità generale per i trattamenti posti in essere ricade in primis sul titolare (v. in tal senso Provvedimento del Garante del 17 settembre 2020, doc. web n. 9461168) che determina le finalità e le modalità del trattamento dei dati, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento (v. artt. 5, par. 2, c.d. “accountability”, e 24 del Regolamento). Al contempo lo stesso identifica con precisione i soggetti che, quali responsabili del trattamento, possono trattare i dati personali anche per suo conto definendone chiaramente le attribuzioni.
Tali soggetti sono infatti legittimati a trattare i dati degli interessati purché il rapporto con il titolare sia adeguatamente regolato da un contratto o da altro atto giuridico, stipulato per iscritto. Trattasi di un atto che, oltre a vincolare reciprocamente le due parti, consente al titolare, ai sensi dell’art. 28, par. 3 del Regolamento, di impartire istruzioni al responsabile, anche sotto il profilo della sicurezza e della conservazione dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile. Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (cfr. Provvedimento del Garante del 14 gennaio 2021, doc. web n. 9542113 e più diffusamente sul rapporto tra il titolare del trattamento e il responsabile del trattamento, v. le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate dal Comitato per la protezione dei dati personali il 7 luglio 2021).
Tanto doverosamente premesso, nel corso dell’attività di indagine condotta dall’Ufficio è stato rilevato che NH Italia tratta dati personali presso le strutture di cui ha la gestione sul territorio nazionale, in qualità di titolare, assumendone le corrispondenti responsabilità e avvalendosi, in ordine agli impianti di videosorveglianza ubicati presso tali strutture, dei servizi di progettazione, installazione e manutenzione offerti da alcuni soggetti terzi, in qualità di fornitori.
Tenuto conto che nel caso di specie, l’erogazione del predetto servizio di installazione e manutenzione può comportare trattamenti di dati personali da parte di quest’ultimi nell’interesse della Società (anche solo, di per sé, in ragione degli accessi alle immagini registrate dalle telecamere in occasione dello svolgimento dell’attività di manutenzione), ne consegue che tali trattamenti richiedono la predisposizione di “un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri” ai sensi dell’art. 28 del Regolamento.
I predetti fornitori invero possono agire come responsabili del trattamento, purché sia definito a monte un atto che, che vincoli le società manutentrici degli impianti −in qualità di responsabili− a NH Italia −titolare del relativo trattamento−, e che individui la materia disciplinata e la durata del trattamento, la natura e la finalità del medesimo, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile; tutto ciò nel rispetto dei termini previsti dall’art. 28, par. 3 del Regolamento.
Sul punto, nel corso dei predetti accertamenti, NH Italia ha dichiarato di non avere adeguatamente definito il profilo relativo a tali operazioni di “trattamento sulla videosorveglianza” (v. verbale del 17 ottobre 2019, p. 2); seppur la stessa abbia fatto presente che “si [stava] adoperando [per] effettuare autorizzazioni specifiche” in tal senso (cfr. ancora verbale del 17 ottobre 2019, p. 2).
A riprova di ciò, con particolare riferimento alla fornitura del servizio di installazione e manutenzione, solo con la nota del 26 febbraio 2021, sono stati trasmessi gli accordi denominati “Contratto per il trattamento dei dati personali” sottoscritti da NH Italia, in qualità di titolare del sotteso trattamento, e dalle società incaricate della manutenzione degli impianti di videosorveglianza, quali responsabili, recanti la relativa designazione (cfr. al riguardo all. 4 del verbale cit.).
Risulta pertanto accertato che il rapporto tra la Società e i fornitori sopra indicati non è stato opportunamente regolato, sotto il profilo della protezione dei dati, avendo NH Italia a suo tempo omesso, pur essendovi tenuta, di regolare sulla base di un contratto o di un atto giuridico idoneo ai sensi dell’art. 28, par. 3 del Regolamento, il trattamento dei dati personali in questione effettuato, per proprio conto e nel proprio interesse, da un soggetto esterno (nel caso di specie le società che prestano il servizio di progettazione, installazione e manutenzione degli impianti).
Tutto ciò quantomeno fino alla predisposizione degli “accordi relativi al trattamento dei dati personali” di cui all’allegato 4 della nota del 26 febbraio 2021 che, come comprovato da documentazione in atti, sono stati sottoscritti dalla Società posteriormente alle date in cui hanno avuto luogo gli accertamenti posti in essere dall’Autorità.
Per tutte le ragioni suesposte, ne consegue la violazione nel caso di specie, sulla base degli elementi acquisiti e di quanto confermato dalla stessa Società nei termini di cui sopra, dell’art. 28 del Regolamento.
4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.
Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, con riferimento alla violazione del principio di liceità e all’assenza dei presupposti per il trattamento di categorie particolari di dati personali (artt. 5, par. 1, lett. a) e 9 del Regolamento); del diritto alla trasparenza e alla mancata comunicazione di informazioni adeguate in relazione al trattamento (artt. 5, par. 1, lett. a) e 13 del Regolamento); nonché rispetto alla violazione dell’obbligo del titolare di cui all’art. 28 del Regolamento in ordine alla designazione dei responsabili del trattamento.
La violazione delle disposizioni sopra richiamate comporta l’applicazione delle sanzioni amministrative previste dall’art. 83, par. 4, lett. a) e dall’art. 83, par. 5, lettere a) e b), del Regolamento.
In tale quadro, considerato, in ogni caso, che sono state adottate specifiche misure per conformare il trattamento in esame alla disciplina vigente in materia di protezione dei dati personali, come sopra diffusamente riportata (v. supra paragrafi 3.1 e 3.2), non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamenti.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da NH Italia, di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:
- in relazione alla natura, gravità e durata delle violazioni è stata considerata rilevante la natura delle stesse in quanto concernenti l’inosservanza dei principi generali del trattamento, e in particolare il principio di liceità e quello di trasparenza, ed è stato altresì considerato che le violazioni sono cessate, solo dopo l’accertamento delle violazioni a seguito delle verifiche effettuate ex officio da parte del Garante (art. 83, par. 2, lett. a) del Regolamento);
- con riferimento al carattere doloso o colposo delle violazioni è stata presa in considerazione la condotta colposa della Società che, sebbene non si sia conformata alla disciplina in materia di protezione dei dati, ha dichiarato da un parte di aver effettuato il trattamento dei dati relativi alle allergie e/o intolleranze alimentari della clientela nell’interesse degli stessi ospiti a fronte di specifiche loro richieste al fine di salvaguardarne la salute e, sotto altro profilo oggetto di contestazione, che i servizi offerti dai fornitori degli impianti di videosorveglianza, che implicano un trattamento di dati personali, consistono nella sola attività di manutenzione delle telecamere che non ha comportato un accesso, quantomeno sistematico, alle immagini registrate dalle stesse (art. 83, par. 2, lett. b) del Regolamento);
- la tipologia delle informazioni oggetto di violazione (art. 83, par. 2, lett. g) del Regolamento) che sono annoverabili anche nell’ambito delle categorie particolari di dati personali. Ciò tenuto conto comunque, a favore del titolare, che rispetto quest’ultima tipologia di dati raccolti dalla Società il trattamento ha interessato un numero limitato e occasionale di clienti e per la sola durata del relativo periodo di soggiorno degli stessi presso le strutture alberghiere senza comportare alcuna comunicazione a soggetti terzi (art. 83, par. 2, lett. k) del Regolamento);
- l’adozione, da parte del titolare, di misure atte a mitigare o ad eliminare le conseguenze della violazione (art. 83, par. 2, lett. c) del Regolamento). Al riguardo va positivamente considerata la circostanza che NH Italia abbia tempestivamente adottato, una volta avuta contezza delle violazioni, le misure correttive descritte in premessa, consistenti: rispetto al trattamento dei dati posti in essere dalle società manutentrici degli impianti di videosorveglianza in assenza di una designazione delle stesse ex art. 28 del Regolamento, nell’avvenuta sottoscrizione da parte del titolare di accordi recanti una designazione in tal senso; nonché, in merito alla raccolta dei dati relativi alla salute degli ospiti posta in essere da NH Italia in assenza di una idonea base giuridica e in violazione del principio di trasparenza, nell’implementazione di una procedura ad hoc volta ad ottenere, al riguardo, un consenso espresso ed informato da parte degli interessati;
- la circostanza che la Società abbia attivamente cooperato con l’Autorità nel corso del procedimento (art. 83, par. 2, lett. f) del Regolamento);
- il fatto che non risultino precedenti violazioni commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento).
Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche del contravventore, determinate in base al volume d’affari della Società, riferito al bilancio d’esercizio per l’anno 2021 (ultimo disponibile).
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti NH Italia S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 200.000,00 (duecentomila).
In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, ossia i principi di liceità e di trasparenza, nonché alcune categorie particolari di dati personali in quanto afferenti la salute degli interessati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.
Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del reg. int. n. 1/2019.
TUTTO CIÒ PREMESSO, IL GARANTE
rileva, ai sensi degli artt. 57, par. 1, lett. a) e 83, del Regolamento e dell’art. 144, comma 2 del Codice, l’illiceità del trattamento effettuato da NH Italia S.p.A., con sede in Milano, Via G.B. Pergolesi, 2/A, Partita IVA 04440220962, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 9 e 13 del Regolamento, nonché dell’art. 28 del Regolamento;
ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a NH Italia S.p.A., di pagare la somma di euro 200.000,00 (duecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.
INGIUNGE
quindi a NH Italia S.p.A. di pagare la predetta somma di euro 200.000,00 (duecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
DISPONE
la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129.
Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 1° giugno 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
