L’Autorità Garante della Privacy, con provvedimento del 20 giugno 2019, ha ritenuto che i biglietti di accesso ad attività di spettacolo, che siano in grado di identificare l’acquirente, rispettino perfettamente i principi contenuti nella normativa riguardante la protezione dei dati personali.

La vicenda in questione nasceva da una richiesta di parere avanzata dall’Agenzia dell’Entrate circa lo schema di provvedimento formulato dal Direttore, di concerto con altri enti coinvolti. Il provvedimento incriminato aveva ad oggetto la predisposizione di misure specifiche in materia di vendita ed altre forme di collocamento di titoli di accessi a determinate manifestazioni, nell’ottica di attuazione di quanto previsto nella legge di bilancio del 2019 e, secondo la segnalazione che ha dato avvio a tale decisione, era stato adottato senza consultare l’Autorità Garante della Privacy ed in violazione di alcuni principi basilari del Reg. UE 2016/679 (GDPR).

Il fenomeno del secondary ticketing e gli ultimi interventi normativi

Il biglietto nominativo sarà, a partire dal 1° luglio 2019, l’unico titolo di accesso alle manifestazioni (escluse le manifestazioni sportive, le attività di lirica, sinfonica e cameristica, della prosa, jazz, balletto, danza e circo contemporaneo), che presentino una capienza superiore a 5.000 spettatori. La sua funzione è quella di individuare l’intestatario del biglietto, che sarà indicato con nome e cognome visibile sul biglietto, affinché in sede di accesso all’evento possa essere identificato. La legge n. 145/2018, all’art. 1 comma 1100, che ha previsto la modifica degli articoli 545-546 della legge di bilancio 2017 ed introdotto il biglietto nominativo, rientra nella cosiddetta lotta al “secondary ticketing”.

L’esigenza di “controllare” i nominativi degli acquirenti, in effetti, nasce proprio dalla diffusione del fenomeno di rivendita dei biglietti online e non online svolta da rivenditori non autorizzati e ad un prezzo maggiorato. Già la legge di bilancio del 2017 aveva tentato di porre freno al dilagante fenomeno che, negli ultimi periodi – è clamoroso l’esempio di alcuni concerti di cantanti di livello internazionale -, aveva visto letteralmente scomparire quasi tutti i ticket messi in vendita sui siti dei rivenditori ufficiali a pochi minuti dall’apertura delle vendite. Tutti questi biglietti erano andati a finire proprio in un canale di vendita parallelo non ufficiale, ovvero sui siti dei rivenditori secondari, che, a prezzi maggiorati, avevano rimesso in vendita, guadagnandoci, i biglietti acquistati poco prima in massa.

Il biglietto nominativo e le altre misure previste per la gestione delle biglietterie automatizzate dovrebbero porre fine a queste attività. Ma a quale prezzo? Il prezzo da pagare, secondo la segnalazione presentata all’Autorità garante, riguarderebbe la rinuncia al rispetto dei principi di minimizzazione e proporzionalità nel trattamento dei dati personali.

Il trattamento dei dati personali nei biglietti nominativi

Non è la prima volta che l’Autorità Garante della Privacy viene interpellata in materia di biglietti nominativi. Già nel 2005, in effetti, il Garante aveva espresso a riguardo la propria preoccupazione. Il caso in oggetto faceva riferimento all’introduzione del biglietto nominativo, sancito dal decreto-legge n. 28/2003, per la partecipazione a competizioni calcistiche. Ora come allora, l’esigenza dell’Autorità Garante non è cambiata e coincide sempre con la necessità di “garantire una rigorosa difesa dei diritti fondamentali dei cittadini stabiliti dalla normativa in materia di privacy”.

Dietro la preoccupazione dell’Autorità Garante vi è proprio il Reg. UE 2016/679. Tutte le operazioni poste in essere a partire dall’acquisto, avvenuto fornendo il proprio nominativo, sino all’identificazione all’ingresso dell’area dello spettacolo, rientrano nella definizione fornita dall’art. 4 GDPR e, quindi, configurano un trattamento dei dati personali, che, in quanto tale, dovrà avvenire nel rispetto dei principi in esso previsti.

La fase di acquisto

Il primo trattamento dei dati avviene nella fase di acquisto. L’acquisto tramite siti di rivenditori autorizzati prevede, in primis, l’identificazione dell’utente acquirente ed, in secondo luogo, l’identificazione del soggetto che prenderà parte alla manifestazione. L’identificazione dell’utente acquirente avviene mediante la registrazione sul sito. A tal fine occorre, secondo lo schema di provvedimento, fornire il proprio nome, cognome, luogo e data di nascita, indirizzo di posta elettronica e numero di cellulare. La fase di registrazione sarà terminata solo a seguito di riscontro mediante il numero di cellulare, che dovrà essere verificato e risultare associato ad un unico utente. Successivamente l’utente riceverà le credenziali, con cui potrà accedere all’area riservata personale. L’alternativa a questo procedimento è l’identificazione mediante identità SPID.

Secondo lo schema di provvedimento e la legge di bilancio queste sarebbero le uniche modalità da adottare affinché il soggetto acquirente possa essere perfettamente identificato. Vero è, però, che online rimarrà traccia non solo dei dati personali forniti, i quali saranno trasmessi alle autorità di vigilanza e di controllo preposte, ma anche di tutte le operazioni svolte da quel soggetto identificato mediante numero di cellulare.

Il sistema di identificazione dell’acquirente, difatti, ha lo scopo di impedire l’acquisto, per lo stesso evento, di un numero di titoli di accesso superiore a 10. La fase successiva sarà quella dell’acquisto, dove occorrerà fornire il nominativo dell’intestatario del biglietto. I dati aggiuntivi forniti in questa fase relativi alla modalità di pagamento e di consegna del ticket non vengono in tal caso presi in considerazione, perchè rispondono regolarmente alle normative sull’e-commerce. L’acquisto sarà finalizzato solamente a seguito della compilazione del test CAPTCHA (Completely Automated Public Turing test to tell Computers and Human Apart) che ha l’obiettivo di riconoscere se l’acquirente sia una persona fisica o un programma automatico, come i cosiddetti bot.

Recandosi direttamente in un box office, invece, non ci sarebbero obblighi di identificazione per l’acquirente – pur restando sempre quelli relativi ai partecipanti, che dovranno essere associati ai biglietti acquistati.

Sarà possibile modificare il nominativo?

Il secondo trattamento dei dati forniti avviene nella fase di “rimessa in vendita o cambio nominativo”. In tal caso, si prevede che sia l’acquirente che l’intestatario del ticket, in possesso del titolo munito di sigillo, possano chiedere di rimettere in vendita il biglietto al prezzo nominale oppure di cambiare il nominativo sullo stesso impresso. A seguito della richiesta di cambio del nominativo, presentata online (siti internet ufficiali o rivenditori autorizzati) o fisicamente (box office), l’originario biglietto sarà annullato con l’indicazione della causale e contestualmente ne sarà emesso un altro con il nuovo nominativo. Nel caso in cui si utilizzi il sistema online, allora si dovrà fare ricorso alle credenziali fornite in sede di registrazione presso il rivenditore online. Al fine di assicurare la trasparenza, mancante nel fenomeno del secondary ticketing, si prevede che la ri-vendita del biglietto debba essere svolta da qualsiasi sistema di collocamento dei ticket e avvenga esponendo le stesse informazioni offerte in sede di prima vendita. Per quanto riguarda la variazione dell’intestazione nominativa del titolo, l’art. 1 comma 545-quater della legge 232/2016, così come modificata con legge 145/2018, precisa che tale variazione avverrà a titolo non oneroso “addebitando unicamente i congrui costi relativi alla gestione della pratica di modifica”.

L’ingresso alle manifestazioni

L’ultimo trattamento svolto è quello in sede di fruizione dell’evento.

All’ingresso dei luoghi adibiti alla manifestazione, il partecipante dovrà affrontare dei controlli ulteriori rispetto a quelli già svolti, diretti al riconoscimento personale per accertare che la propria identità coincida con il nominativo impresso sul ticket.

Qualora ciò non accada – e quindi il soggetto che si presenta all’evento non corrisponde con il titolare del biglietto – secondo lo schema di provvedimento, il titolo perderà la validità per l’accesso.

Se tutto corrisponde, invece, i dati così forniti, nome e cognome, confluiranno in una lista unica dei titoli di accessi, utilizzata per le identificazioni ed eventuali controlli.

Il punto di vista del Garante

Secondo l’Autorità Garante della Privacy, lo schema di provvedimento dell’Agenzia delle Entrate e, di conseguenza, le modifiche apportate alla l. 232/2017 dalla legge di bilancio del 2019 (legge n. 145/2018), prevedono trattamenti dei dati personali che garantiscono il rispetto dei diritti e delle libertà degli interessati così come sanciti nel GDPR. In modo particolare, si ritengono soddisfatti i principi di minimizzazione dei dati trattati e di proporzionalità delle misure rispetto agli obiettivi perseguiti per legge.

Gli obiettivi perseguiti, che, in tal caso, coincidono con il contrasto dell’elusione e dell’evasione fiscale, la tutela del consumatore e la garanzia dell’ordine pubblico, secondo l’Autorità Garante, hanno una centralità tale da giustificare l’inserimento del nominativo sul biglietto.

La proporzionalità delle misure adottate si rintraccia anche nella scelta di limitare la necessità del biglietto nominativo solamente ad alcune tipologie di spettacoli.

In aggiunta a ciò, l’Autorità Garante ha sottolineato che il trattamento dei dati, così come prospettato nello schema di provvedimento e nella legge di bilancio, può essere definito lecito, corretto e trasparente, secondo quanto previsto dall’art. 5 del Reg. UE.

 Il trattamento effettuato

Il principio di minimizzazione dei dati viene garantito in ognuna delle fasi del trattamento.

In primis, il biglietto nominativo in sé contiene solamente il nome ed il cognome, ovvero i dati minimi essenziali affinché nella fase di fruizione del ticket sia possibile procedere al riconoscimento personale, mediante confronto con un documento di identità. Tutti i dati forniti in sede di registrazione online per l’acquisto, in effetti, non vengono riportati sul biglietto, né nella lista unica sui titoli di accesso. In tal modo, anche la fruizione avviene rispettando la minimizzazione.

Per quanto riguarda la fase dell’acquisto occorre, peraltro, fare una distinzione tra ciò che accade per gli acquisti online e quanto succede per gli acquisti al box office. Nel primo caso, i dati forniti servono per la registrazione, per l’identificazione dell’utente e, infine, per evitare gli acquisti multipli. Negli acquisti al box office, invece, questi rischi non si pongono. All’acquirente è riconosciuta la facoltà di fornire, a seguito di informativa, il proprio nome e cognome per consentire un successivo cambio di nominativo oppure la ri-vendita. C’è un cambio delle finalità. Nell’acquisto online, in effetti, i dati richiesti servono per identificare e controllare gli acquisti, mentre, nell’acquisto al box office, l’unica finalità rimanente è l’identificazione.

Tale finalità impone, di conseguenza, come sottolinea l’Autorità Garante della Privacy, che l’Agenzia delle Entrate non tratti alcun dato personale degli acquirenti e dei fruitori. Gli unici dati che riceverà le perverranno sotto forma di dati aggregati relativi ai proventi di ciascun organizzatore delle manifestazioni dalla SIAE (Società Italiana Autori ed Editori). Pertanto, spetterà ai titolari dei sistemi di biglietterie automatizzate adottare tutte le misure previste dalla normativa in materia di protezione dei dati personali.

Le conclusioni

In un certo senso, in questi meccanismi di prevenzione, la privacy cede il passo alle esigenze di ordine pubblico, elusione e contrasto dell’evasione e tutela del consumatore.

Questo prezzo, però, ha portato ad una nuova conquista. Seppur non vi sia ancora un’ipotesi di reato ad hoc, il secondary ticketing è considerato, pur sempre un illecito. Chiunque metta in vendita o adotti qualsiasi altra forma di collocamento di titoli di accesso ad attività di spettacolo senza esserne titolare, commette un illecito amministrativo che sarà punito con sanzioni pecuniarie del valore massimo di 180 mila euro.

Redazione Diritto dell’informatica

Ultimi aggiornamenti

contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]
email garante
Con il provvedimento n. 642 del 21/12/2023 il Garante Privacy ha emanato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati, con cui porta alla luce […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.