Ok. Capisco. Allora mi limiterò a pubblicare qui quello che ho messo insieme. Almeno condivido con voi un paio d'ore di ricerca.
PARTE 1
La DETERMINAZIONE DIRETTORIALE Prot.83685/RU del 18 marzo 2021 dell’AGENZIA delle DOGANE e MONOPOLI indicante le disposizioni per la commercializzazione dei prodotti da inalazione ai sensi delle norme introdotte dalla L.178 del 2020, in relazione alla vendita di prodotti di inalazione online, dispone all’art. 10 l’obbligo da parte del venditore di:
(art. 10 comma b) prevedere l’acquisto dei prodotti solo previa registrazione degli utenti e con modalità di pagamento che consentano la tracciabilità delle transazioni;
(art. 10 comma c) richiedere all’acquirente dei prodotti l’esibizione di un documento di identità al fine di accertarne la maggiore età, in ottemperanza all’obbligo sancito dall’articolo 25 del Testo unico delle leggi sulla protezione e assistenza della maternità e dell’infanzia (Regio decreto 24 dicembre 1934, n. 2316), come sostituito dall’articolo 24, comma 3, del decreto legislativo n. 6 del 2016;
A seguito della disposizione all’art. 10 comma c) molti negozi che effettuano vendite di liquidi da inalazione online hanno pubblicato sui propri siti internet nonché comunicato via e-mail ai propri clienti che a far data dal mese di aprile 2021 era necessario per gli stessi clienti trasmettere copia del proprio documento di identità al venditore per essere inserito in un archivio digitale gestito dal venditore stesso e necessario alla conclusione delle vendite online.
In riferimento alla trasmissione di copia del documento di identità, si deve precisare che il
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 identifica, all’art. 4 comma1 1 i dati anagrafici e la stessa copia del documento di identità quali dati personali e quindi soggetti alle norme indicate dal succitato regolamento.
Assunto che i dati richiesti dai negozi che effettuano vendite online di liquidi da inalazione a seguito di quanto indicato dall’art. 10 comma c, D.D. 83685/RU ADM sono appunto soggetti al Regolamento UE 2016/679, si rende necessario esaminare in prima istanza la liceità dell’acquisizione di tali dati da parte dei negozianti online ai sensi del Regolamento stesso.
La necessità da parte del venditore di acquisire una serie di dati personali dell’acquirente è giustificata da quanto indicato all’art. 6 comma 1.b del Regolamento UE 2016/679 (condizioni che rendono lecito il trattamento dei dati personali) che recita:
nella vendita al dettaglio online di qualsiasi prodotto, i dati cui si fa riferimento sono:
- Il nome e cognome dell’acquirente;
l’indirizzo di ricezione merce dell’acquirente;
il recapito telefonico dell’acquirente per eventuali comunicazioni;
i riferimenti ai metodi di pagamento dell’acquirente;
il codice fiscale dell’acquirente (in caso di emissione fattura);
La trasmissione della copia del documento di identità dell’acquirente non rientra espressamente tra quei dati necessari alla esecuzione del contratto di vendita di per sé.
Poiché l’esibizione del documento di identità dell’acquirente è richiesto come obbligo normativo dal D.D. 83685/RU ADM, la richiesta dei venditori di fornire tale documento potrebbe essere giustificata da quanto indicato all’art. 6, comma 1, c, del Regolamento UE 2016/679 (condizioni che rendono lecito il trattamento dei dati personali) che recita:
Ipotizzando in via preliminare che tale condizione di liceità del trattamento dei dati personali sia applicabile in quanto espressamente derivata dalla disposizione dell’art. 10 comma c del D.D. 83685/RU ADM, ci si troverebbe di fronte a una situazione nella quale un trattamento di dati obbligatorio ai fini della conclusione di un negozio tra venditore e acquirente è però non espressamente normato in riferimento alle modalità di gestione dei dati personali.
Lo stesso Regolamento UE 2016/679, nella “nota per la lettura del testo” in riferimento al
trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (nota 45 riferita all’art. 6 comma 1.c) recita:
È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo giuridico cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale.
Assunto per ipotesi che la liceità del trattamento dei dati personali (copia documento di identità) sia data dalla necessità da parte del venditore di assolvere a un obbligo normativo (il farsi mostrare il documento di identità da parte degli acquirenti online) il Regolamento UE sulla protezione dei dati personali indica che lo Stato che dispone tale obbligo con una norma specifica o generica (
Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo giuridico cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri); sempre la
nota per la lettura del testo relativa all’art. 6 comma 1.c, indica che lo Stato che pone l’obbligo al trattamento dei dati personali,
con la stessa legge che pone tale obbligo, debba:
stabilire le finalità del trattamento;
precisare le condizioni generali che presiedono alla liceità del trattamento dei dati personali;
il titolare del trattamento;
il tipo di dati personali oggetto del trattamento degli interessati;
i soggetti cui possono essere comunicati i dati personali;
le limitazioni della finalità;
il periodo di conservazione;
altre misure per garantire un trattamento lecito e corretto.
Da quanto si evince dalla breve disamina di quanto disposto dalle norme europee sulla protezione dei dati personali, si può affermare che, se quanto disposto dall’art. 10 comma c del D.D. 83685/RU ADM sia da interpretare quale obbligo dei negozianti a ricevere, registrare, archiviare e gestire le copie dei documenti di identità dei propri clienti, il Direttore Generale dell’Agenzia delle Dogane e Monopoli abbia omesso di ottemperare a quanto disposto dal Regolamento UE sulla protezione dei dati personali in materia di: finalità, condizioni generali di liceità, identificazione dei responsabili del trattamento, limitazioni alla finalità, periodo di conservazione, misure per garantire un trattamento lecito e corretto.
