Tempo di vacanze, anche le agenzie di viaggio devono rispettare le norme sulla privacy
Nel pieno della stagione estiva assume piena attualità la questione della privacy dei viaggiatori alla ricerca di luoghi in cui poter passare le vacanze nei luoghi più disparati del mondo.
In particolare, rispetto al caso in cui il turista organizzi da sé il proprio viaggio (e che potrà aver a che fare, quindi, con più titolari che tratteranno i propri dati sia per i transfer che per i soggiorni), la questione riguarda le agenzie di viaggio e i tour operator che provvedono a mettere a disposizione dei pacchetti di viaggio personalizzati o meno (ad es. di gruppo) che siano.
In questa sede ci soffermiamo sulle principali questioni che tali soggetti dovranno osservare per tutelare i dati dei propri utenti.
Dal 25 maggio 2018 sappiamo che tutti i soggetti – del settore pubblico o privato che siano - che trattano dati personali sono tenuti a rispettare il GDPR e a impostare trattamenti privacy by design e by default.
In passato, per gli operatori del settore turistico, il Garante privacy era già intervenuto e va citata la Autorizzazione n. 5/2012 afferente il trattamento di dati sensibili da parte di diverse categorie di titolari: dati particolari infatti possono riguardare ad es. lo stato di disabilità di alcuni viaggiatori o intolleranze alimentari.
Occorre considerare che nel provvedere già dalla mera prenotazione di un biglietto per qualsiasi vettore sino alla organizzazione di un viaggio di gruppo individuale, le agenzie di viaggio trattano dei dati personali.
Che occorre fare allora? “semplicemente” osservare il GDPR nella consapevolezza che importante è raccogliere il consenso da parte dei viaggiatori-clienti e fornire loro una compiuta informativa.
Se poi si procede alla profilazione degli utenti, per fornire – nel reciproco interesse – un servizio migliore, ciò dovrà essere ben specificata nell’informativa la logica seguita, come prevede l’art. 13.2.f del GDPR, e le conseguenze che ciò comporta.
Va anche considerato che le agenzie di viaggio rivestono il ruolo di titolare quando operano in proprio, ma possono rivestire anche quello di responsabile del trattamento nel caso in particolare in operino come collocatori di pacchetti prodotti da altri operatori. Ma le stesse agenzie potranno avere dei responsabili del trattamento: oltre che per la gestione dei processi interni (ad es. contabilità e gestione dei profili retributivi del personale) quando ad es. si ricorrano al cloud di un provider per la conservazione dei propri dati. Oppure quando siano controparte di scuole per l’organizzazione di viaggi scolastici: in tal caso, nominate responsabili del trattamento, le agenzie di viaggio dovranno rispettare le indicazioni delle scuole circa il trattamento dei dati dai loro studenti (e dovranno comunque porre attenzione a definire il loro ruolo quando l’istituto scolastico committente non provveda).
Nel caso ci si avvalga di propri referenti per accompagnare i turisti in viaggio, per gli stessi come per i propri dipendenti occorrerà a provvedere alla autorizzazione al trattamento dei dati personali e fornire loro adeguate istruzioni.
Particolare cura andrà poi posta nel gestire le categorie particolari di dati personali dei clienti e, questione non secondaria, anche sui viaggi da loro acquisiti: sia perché si tratta di informazioni da cui si possono desumere informazioni sulle persone e sulle loro preferenze sia perché conoscere quando persone siano in viaggio può essere una informazione utile per i malintenzionati che si dedicano alla “professione” di svaligiatori di case. Pure a cavallo fra privacy e security è la gestione dei dati dei documenti degli utenti, di cui andrebbero raccolti e verificati i dati ma – ove non vi siano particolari e motivate esigenze – non conservarne copia (che potrebbe essere impropriamente acquisita e utilizzata per motivi fraudolenti).
Quindi: le agenzie di viaggio devono (quelle già esistenti dal 2018 dovrebbero averlo già fatto) effettuare una sorta di viaggio nel GDPR per attuarlo per la tutela del diritto alla privacy degli utenti e per osservare consapevolmente le regole europee e nazionali sulla privacy. Anche nella consapevolezza che dal mancato rispetto potrebbero derivare sanzioni da parte del Garante o richieste di risarcimento da parte dei viaggiatori che abbiano subito danni da un trattamento non compliant.
Last but not least, i viaggiatori potrebbero voler visitare qualsiasi parte del mondo, anche Paesi in cui il quadro normativo a protezione della privacy non è all’altezza del GDPR. In questo caso, laddove le agenzie di viaggio debbano fornire a operatori di tali Paesi i dati personali dei propri clienti e non esistano le condizioni poste dal GDPR in tema di trasferimento garantito dei dati, occorrerà, secondo l’art. 49 del GDPR, raccogliere l’esplicito consenso dell’interessato, dopo che sia stato informato dei possibili rischi di siffatti trasferimenti per l'interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate (ciò, è da ritenere, pur considerando che il trasferimento è necessario per l’esecuzione del contratto).
Da dove devono quindi partire le nuove agenzie di viaggio per osservare la privacy?: dall’impostazione dei trattamenti (vagliando anche se ricorrono le condizioni per tenere un apposito Registro) alla individuazione delle misure di sicurezza dei dati, dalla produzione di informative per i loro utenti alla designazione delle persone autorizzate al trattamento, dalla nomina di responsabili del trattamento (provvedendo anche a controlli sulla loro attività per evitare culpa in vigilando) al rispetto del ciclo di vita dei dati trattati.
Un bel viaggio da fare, assieme a tutela dei viaggiatori – clienti. Con il consiglio, per questi ultimi, di prendere buona nota dei suggerimenti del Garante per una E-state in privacy, e anche di quelli di Federprivacy contenuti nel video tutorial “Vacanze & Privacy: 10 consigli per un'estate senza brutte sorprese”.