Booking, zone grigie nella nuova privacy policy
Alla fine di gennaio Booking ha avvertito i suoi clienti di aver aggiornato le linee guida sulla privacy in Europa. Una mail che viene spontaneo chiudere dopo le prime righe, benché il documento (24 pagine in pdf) sia scritto in un inglese piano e colloquiale.Tuttavia, arrivando in fondo e incrociando commi e definizioni, le condizioni sul trattamento dei dati personali riservano qualche sorpresa.
Perché le informazioni possono essere usate non solo per completare e gestire le prenotazioni che un cliente effettua, per esempio spedendo nome, cognome, indirizzo mail e carta di credito all’albergo scelto, ma anche condivise con fornitori esterni, social network e altre aziende della galassia di Booking. Senza, però, un consenso ad hoc.
La sede europea potrà “condividere informazioni tra i marchi di Booking holdings”, la multinazionale americana che controlla l’omonimo sito e altri cinque portali per prenotare voli, viaggi, ristoranti o noleggiare auto: Kayak, Priceline, Agoda, Rentalcars e Opentable. Basta aver ricevuto l’informativa, se si è già iscritti, per essere soggetti alla nuova politica sui dati. “Svariate piattaforme, un solo documento sulla privacy”, rivendica il sito.
Tuttavia, secondo alcuni avvocati ed esperti del settore consultati da Wired, Booking non rispetterebbe alcune norme del regolamento europeo sui dati personali (Gdpr), benché l’azienda rivendichi il contrario.
La scambio di dati, si legge, serve innanzitutto a completare una prenotazione, che è lo “scopo primario” per cui si usa il sito di Booking. Informazioni base, come nome, cognome e indirizzo email, e quelle relative a strumenti di pagamento, dati di altri viaggiatori, recensioni, allergie alimentari o bisogni legati alla mobilità, vengono condivise con i diretti interessati. Ossia i fornitori del servizio (i trip provider), come hotel e case vacanze.
Nella privacy policy si legge che Booking si riserva il diritto di usare questi dati anche per altri scopi. Per “migliorare i servizi”, “sviluppare nuovi marchi”, o per “ricerche di mercato”, con partner pubblicitari e di affari, che “distribuiscono o promuovono i servizi” della piattaforma.
O ancora, con le altre società della galassia Booking. Quindi con aziende che non sempre sono direttamente coinvolte nella prenotazione del viaggio dell’utente.
Sono previsti “anche i trasferimenti oltre mare di dati personali verso paesi le cui leggi sulla protezione delle informazioni non sono complete come quelle dei paesi all’interno dell’Unione europea”. La holding ha sede a Norwalk, Connecticut. Ha chiuso il terzo trimestre del 2018 con 4,8 miliardi di dollari di fatturato. E nel 2017 (ultimo bilancio annuale disponibile) ha maturato ricavi per 12,6 miliardi. La sola Booking conta oltre 1,5 milioni di immobili online.
Infine, i dati possono essere arricchiti con quelli che un utente condivide sui social network, se connette i due mondi, o da fonti esterne. “Significa che quando tu clicchi su un bottone (come quello di “mi piace” su Facebook) alcune informazioni sono condivise con questi social network”, si legge nel documento sulla privacy.
Facebook è un fan di questa formula di condivisione. Nei carteggi con i manager di alcune app (non con Booking), sequestrati dalla commissione digitale del parlamento della Gran Bretagna, il papà del social network, Mark Zuckerberg, perora i vantaggi del reciproco scambio di dati.
Ma l’informativa rispetta il Gdpr? Wired ha raccolto le osservazioni di tre avvocati esperti in privacy e di fonti vicine alle autorità di controllo, che hanno chiesto di rimanere anonimi per contribuire a questo articolo. La tesi comune è che ci siano alcuni passaggi opachi nel documento. Anche se, è bene precisare, al momento dell’uscita di questo articolo non risultano a Wired contestazioni ufficiali alla piattaforma.
Il primo nodo riguarda la condivisione dei dati con le altre aziende del gruppo, che svolgono attività diverse. “Incrociando le definizioni e le clausole, emerge che Booking afferma di condividere i dati con società che non sono direttamente coinvolte nella prenotazione del viaggio”, afferma un legale. Quindi non per lo scopo primario per cui un utente ricorre al sito.
Ciascuna azienda ha la sua privacy policy, quindi il consenso andrebbe raccolto di volta in volta. “Quando i soggetti mettono insieme due reti, il valore dei dati si moltiplica. Questa di Booking è un’estensione in modo unilaterale”, osserva un’altra fonte. Per uno dei legali il regolamento di Booking ricorda le contestazioni a Google e l’altolà a Facebook da parte di due garanti della privacy in Europa.
Un’altra incongruenza, secondo uno degli avvocati, riguarda le funzioni di titolare e responsabile dei dati. Sono due figure diverse, riconosciute dal Gdpr. La prima, in inglese data controller, indica chi decide modalità e fini del trattamento delle informazioni. La seconda, il data processor, chi elabora i dati per conto del titolare.
Nell’informativa di Booking i ruoli non sono ben distinti. Si spiega che la filiale olandese è “responsabile del trattamento”. Ma, a questo punto, manca il titolare. Che, stando alle regolamento europeo, deve essere nominato in modo chiaro. Ed essere rappresentato da un’azienda del vecchio continente, se ha la testa in territori extra-Ue.
Infine, iscrivendosi al sito, uno dei legali ha riscontrato che occorre dare l’assenso alla privacy policy in blocco, senza una separazione del consenso per le attività strettamente legate alle prenotazioni su Booking da quello per le finalità di marketing. Né può scegliere chi è già scritto, se non chiudendo l’account sul sito. Vige la regola dell’opt-out: se non ti sta bene, esci. Una prassi molto diffusa tra le piattaforme digitali. Infine, per uno dei legali il ricorso a numerosi link esterni e rimandi genera una “bulimia informativa”.
A una richiesta di Wired, l’azienda ha precisato di “non vendere o affittare i dati personali” dei clienti e di condividerli con aziende “varie sulla base di molti fattori, tra i quali le leggi locali”, ribadendo di rispettare il Gdpr e, più in generale, “le leggi applicabili”.
L’azienda ha anche dichiarato che qualsiasi “potenziale condivisione dei dati dei clienti tra società sorelle sarebbe in accodo con le leggi applicabili e da intesa solo per aiutare a creare migliori esperienze per il cliente”. Wired ha chiesto anche se, dopo l’entrata in vigore del Gdpr, quanti reclami abbia ricevuto Booking dai clienti. La piattaforma non ha fornito un dato preciso, ma ha spiegato che “non ha osservato rilevanti tendenze di incremento”.
Fonte: Wired