Spiegazioni in merito delle "liste nere"

Gli albergatori e i gestori di locali hanno sempre più spesso a che fare con clienti sgarbati, che se ne vanno senza pagare il conto, che causano danni materiali o assumono comportamenti aggressivi nei confronti di altri clienti. Per questo, hanno più volte interpellato l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) per chiedere se, e a che condizioni, sarebbe possibile concepire una banca dati di questi ospiti indesiderati.

Il desiderio dei gestori di locali e alberghi di rendere finalmente innocui i cattivi clienti recidivi a scopo di protezione e prevenzione è più che comprensibile. Tuttavia, non è così ovvio che, dal punto di vista della protezione dei dati, dei privati (tra cui albergatori e ristoratori) possano creare una banca dati accessibile a un vasto gruppo di persone.

Le direttive legali

Qualsiasi manipolazione di dati personali, quindi anche la registrazione dei dati di persone che hanno causato danni e la possibilità di consultarli in una banca dati, rappresenta un trattamento ai sensi della legge federale sulla protezione dei dati (LPD). Secondo la LPD, può trattare dati personali soltanto chi ha un motivo giustificativo, vale a dire il consenso della persona a cui appartengono tali dati, un interesse preponderante privato o pubblico, oppure una legge.

Ovviamente, nessun malintenzionato darebbe il proprio consenso alla registrazione dei suoi dati in una lista nera; né esiste una legge che obblighi i gestori di locali e gli albergatori a gestire una banca dati del tipo descritto. Un interesse preponderante di questa cerchia di persone può tuttavia giustificare il trattamento di dati.

Chi tratta dati personali è inoltre tenuto a osservare i principi generali della LPD, vale a dire:
  • informare chiaramente le persone interessate in merito allo scopo del trattamento dei dati e alle relative condizioni (principio della trasparenza e della buona fede);
  • trattare soltanto i dati personali necessari al raggiungimento dell'obiettivo prefissato (proporzionalità) e, a tale scopo, impiegare mezzi adeguati;
  • trattare i dati raccolti soltanto per lo scopo indicato all'atto della raccolta, risultante dalle circostanze o previsto da una legge (finalità).

Concetto di trattamento dei dati

Affinché i dati siano trattati secondo un procedimento trasparente e giuridicamente fondato, è consigliabile definire un concetto a cui debba attenersi chi registra i dati e che, allo stesso tempo, consenta di proteggere le persone registrate.
Il concetto deve specificare quanto segue:
  • scopo: è necessario determinare lo scopo del trattamento dei dati; nel caso specifico, saranno raccolti i dati di clienti che hanno assunto comportamenti manifestamente scorretti, al fine di evitare che altri gestori di locali debbano affrontare gli stessi problemi;

  • condizioni per la registrazione in una banca dati: i dati potranno essere registrati soltanto se i danni materiali subiti non sono stati risarciti o se sono stati causati danni non materiali riconducibili a un comportamento manifestamente scorretto; gli episodi rilevati devono essere di una certa gravità (p.es. reati contro la vita e l'integrità della persona, danni materiali ingenti, gravi casi di insolvenza, nessun caso di lieve entità!) e deve esistere il presupposto obiettivo che la persona colpevole potrebbe ripetere tale comportamento in altri luoghi. I casi che si basano su un conflitto personale fra danneggiatore e danneggiato non vanno dunque inseriti in una lista nera.

  • tipologia di dati personali registrati nella banca dati: è fondamentale precisare esattamente i dati da raccogliere; nel caso specifico, si ritiene sufficiente registrare soltanto le generalità degli interessati e la ragione della registrazione (tipo di danno causato). Sarà inoltre necessario indicare un identificativo della persona che ha inserito i dati, per poterla rintracciare in caso di domande;

  • avviso: per garantire una certa trasparenza, i clienti di un locale o di un albergo devono essere chiaramente informati in merito allo scopo e alle condizioni della raccolta dei dati e alla relativa registrazione in una banca dati. Queste informazioni possono ad esempio essere incluse nelle Condizioni Generali affisse nei locali oppure visualizzate quando si effettua una prenotazione online. In caso di prenotazioni in loco, potrebbero invece essere allegate al modulo di registrazione che il cliente deve compilare;

  • diritto d’accesso e di rettifica: chi gestisce una banca dati deve assicurare che le persone a cui appartengono i dati registrati possano far valere il proprio diritto d’accesso e far correggere i dati errati. Ciò significa che clienti i cui dati vengono registrati e quindi resi accessibili ad altri fornitori di servizi devono essere al corrente del proprio diritto d’accesso e di rettifica;

  • accesso alla banca dati: una simile banca dati equivale ad una lista nera e non può pertanto, in nessun caso, essere di dominio pubblico. L'accesso alla banca dati va limitato a una determinata cerchia di persone e a richieste concrete. Non è ammissibile l'accesso a liste complete di persone registrate.

  • sistema integrato: se una lista nera si trova in un sistema integrato e può essere consultata automaticamente non è più possibile verificare a ogni richiesta se una trasmissione di dati provenienti dalla lista nera è giustificata. Perciò solo coloro che hanno un interesse preponderante per i dati in questione devono ricevere il permesso d'accesso. Nella lista stessa è permesso elencare solo i casi in cui una trasmissione dei dati è sempre giustificata (situazioni gravi con rischio di reiterazione)." 

  • durata della conservazione dei dati: in osservanza al principio della proporzionalità, i dati saranno conservati per due anni (saranno cioè cancellati a distanza di due anni dall'ultimo incidente registrato nella banca dati);

  • protezione dei dati: i dati personali vanno protetti contro un trattamento non autorizzato con appropriati provvedimenti tecnici e organizzativi.

Ulteriori informazioni

https://www.edoeb.admin.ch/content/edoeb/it/home/protezione-dei-dati/handel-und-wirtschaft/liste-nere/spiegazioni-in-merito-delle--liste-nere-.html