8 luglio 2019
Vendita di biglietti nominativi per l'accesso agli spettacoli: parere favorevole del Garante sullo schema di provvedimento del Direttore dell’Agenzia delle Entrate
Il Garante per la protezione dei dati personali con il provvedimento del 20 giugno 2019 ha dato il via libera allo schema di provvedimento del Direttore dell’Agenzia delle entrate che individua le caratteristiche tecniche per la realizzazione di sistemi informatici che consentano la vendita di biglietti nominativi attraverso biglietterie automatizzate su Internet.
Al fine di contrastare il bagarinaggio, più tecnicamente definito secondary ticketing, ovvero il mercato di rimessa in vendita di titoli di accesso ad attività di spettacolo parallelo a quello ufficiale, la legge di bilancio 2019 (L. 30 dicembre 2018, n. 145), nel modificare l’art. 1 della legge di bilancio 2017 (L. 11 dicembre 2016, n. 232) aggiungendo i commi da 545-bis a 545-quinquies, ha previsto che, a partire dal 1° luglio 2019, i biglietti di accesso a spettacoli in impianti con capienza superiore a 5.000 spettatori debbano essere nominativi e che l'accesso all'area dello spettacolo sia subordinato al riconoscimento personale, attraverso controlli e meccanismi efficaci di verifica dell'identità dei partecipanti all'evento, compresi i minorenni. La stessa legge di bilancio prevede che tali biglietti nominativi siano rimessi in vendita anche attraverso i siti internet di rivendita primari, i box office autorizzati o i siti ufficiali dell’evento consentendo gratuitamente la variazione del nominativo.
La legge di bilancio ha poi demandato ad un provvedimento del direttore dell'Agenzia delle entrate, adottato previa intesa con il Ministero per i beni e le attività culturali e sentita l'Autorità per le garanzie nelle comunicazioni, la definizione delle regole tecniche attraverso cui i siti internet di rivendita primari, i box office autorizzati o i siti internet ufficiali dell'evento assicurano la rimessa in vendita dei titoli di ingresso nominativi o il cambio di nominativo.
Proprio su questo schema di provvedimento dell'Agenzia dell'Entrate il Garante ha formulato il parere in oggetto.
In primis, l'Autorità ha rilevato che le è stata presenta una segnalazione in base alla quale si lamenta l’omessa consultazione dell’Autorità sulla legge di bilancio 2019 ed il mancato rispetto del principio di proporzionalità e minimizzazione dei dati personali in violazione del Regolamento (UE) 2016/679.
Secondo il Garante, il trattamento dei dati personali previsto dalle nuove disposizioni risulta proporzionato rispetto ai fini perseguiti di contrasto all’elusione e all’evasione fiscale, di tutela dei consumatori e di garanzia dell’ordine pubblico, in quanto limita la necessità di biglietti di accesso nominativi, e la conseguente verifica dell’identità dei fruitori, ad alcune tipologie di attività di spettacolo per impianti con capienza superiore a 5000 spettatori (con esclusione di attività lirica, sinfonica e cameristica, della prosa, jazz, balletto, danza e circo contemporaneo), rinviando alla fase attuativa l’individuazione di dettaglio delle regole tecniche.
L’Agenzia delle Entrate, nel fornire chiarimenti all'Ufficio del Garante, ha sottolineato le misure inserire nel provvedimento per assicurare il rispetto della normativa sulla protezione dei dati e, in particolare, i principi del rispetto dei diritti e delle libertà degli interessati, di minimizzazione dei dati trattati e proporzionalità delle misure rispetto all’obiettivo perseguito dalla legge.
Il principio di minimizzazione è stato rispettato prevedendo che i dati dell’acquirente siano raccolti solo in caso di acquisti on line (nome e cognome e un numero di cellulare) allo scopo di asseverare la propria identità e impedire gli acquisti multipli, mentre non è richiesta alcuna identificazione in caso di acquisto tradizionale presso i box office autorizzati. Inoltre, per quanto riguarda, invece, i dati di chi partecipa all’evento, sul biglietto di accesso dovranno essere riportati esclusivamente il nome e il cognome, con verifica dell’identità de visu all’accesso mediante documento d’identità.
Più specificamente:
- i dati personali stampati sul titolo di accesso sono esclusivamente il nome e il cognome, come stabilito dal citato art. 1, comma 545-bis, e i dati richiesti per il partecipante sono quelli minimi per consentire il riconoscimento personale (de visu) tramite l’esibizione di un documento di identità al momento dell’accesso all’area dello spettacolo;
- in sede di acquisto dei titoli di accesso online sono conferiti dall’acquirente i dati personali ritenuti indispensabili per consentire l’identificazione univoca dell’utente, secondo quanto stabilito dal D.M. 12 marzo 2018, e il numero di cellulare viene utilizzato per asseverare l’identità dell’acquirente e impedire gli acquisti multipli;
- in sede di acquisto dei titoli di accesso presso i box office autorizzati, viene attribuita all’acquirente, su base volontaria e previa informativa, la facoltà di fornire al venditore il proprio nominativo, al fine di consentirgli la possibilità di richiedere successivamente il cambio di nominativo e la rimessa in vendita, non imponendo così la raccolta di tutti i dati previsti per la procedura di registrazione on line. Pertanto, presso il box office risulta necessario trattare a tal fine unicamente il nome e cognome dell’acquirente, ovvero quelli necessari a verificare de visu l’identità dell’acquirente per il cambio di nominativo e la rimessa in vendita, in analogia a quanto previsto per l’intestatario del biglietto;
- i dati personali contenuti nella lista unica dei titoli di accesso sono limitati al solo nome e cognome, in modo da consentire il previsto controllo de visu da parte degli addetti agli accessi;
- l’Agenzia non tratta alcun dato personale relativo all’intestatario o all’acquirente del titolo oggetto di vendita o a qualsiasi altra forma di collocamento, di rimessa in vendita o di cambio nominativo. Ai fini dell’attività di controllo tributario, l’Agenzia riceve dalla Società Italiana Autori ed Editori (SIAE) i dati aggregati relativi ai proventi di ciascun organizzatore/distributore per ciascuna manifestazione;
Il provvedimento contiene misure di sicurezza adeguate anche in relazione all’utilizzo dello SPID.
Come indicato nel parere,
"L’Agenzia ha, infatti, precisato che, nell’ambito delle apposite FAQ da pubblicarsi sul proprio sito web, l’utilizzo di credenziali SPID di livello 2 è necessario qualora il sistema consenta l’accesso a dati personali dell’utente, offrendo funzioni, ad esempio, di visibilità dello storico dei biglietti acquistati o di rimessa in vendita o cambio di nominativo; l’accesso con credenziali di livello 1 deve essere limitato, invece, ai casi di utilizzo dello SPID per l’identificazione dell’utente, richiedendo l’associazione di ulteriori dati idonei di riscontro presenti sul titolo di accesso (sigillo fiscale) in caso di eventuale rimessa in vendita o cambio nominativo. Ciò, ferma restando la necessità che gli attributi presenti nell’asserzione prodotta dal gestore dell’identità SPID vengano individuati nel più rigoroso rispetto del principio di minimizzazione."
In conclusione, per il Garante le regole tecniche predisposte dall’Agenzia delle Entrate per disciplinare l’acquisto, la rimessa in vendita e il cambio di nominativo dei titoli di accesso a spettacoli, mediante biglietterie automatizzate, introducono misure atte a garantire un trattamento di dati personali lecito e corretto e per questo ha espresso un parere favorevole sullo stesso.