La privacy non è un diritto stagionale e, poiché si viaggia durante tutto l’anno, occorre che tutti i soggetti dell’ecosistema viaggi (per vacanze o lavoro) siano consapevoli di diritti e doveri che le norma UE e nazionali prevedono.
La questione riguarda il singolo turista che organizza da sé il proprio viaggio (e che potrà avere a che fare, quindi, con più titolari che tratteranno i propri dati sia per i transfer che per i soggiorni), chi opera per una organizzazione e debba spostarsi per lavoro, i tour operator che producono e collocano, direttamente o meno, pacchetti di viaggio, operando in genere come titolari del trattamento), le agenzie di viaggio che possono organizzare viaggi per singoli e gruppi (dai meri biglietti per i vettori a viaggi inclusivi di soggiorno) oppure collocano i pacchetti dei tour operator, potendo, quindi, rivestire a seconda dei casi il ruolo di titolare o di responsabile del trattamento.
La loro attività può essere frontale e/o tramite propri portali web.
L’ecosistema viaggi comprende, dunque, una miriade di soggetti: dagli alberghi a chi propone servizi alternativi di soggiorno come i B&B; dai grandi player che possono fornire servizi diversi di viaggio e alloggio a operatori che creano nuovi mercati come quello della messa a disposizione di alloggi privati.
Indice degli argomenti
Tour operator e agenzie di viaggio: le questioni privacy
In questa sede ci soffermiamo sulle principali questioni che tour operator e agenzie di viaggio di minori dimensioni – dunque con una organizzazione interna meno complessa come, ad esempio, quella dei piccoli operatori, con possibile minore esperienza sulla privacy – dovranno osservare per tutelare i dati dei propri utenti.
Dal 25 maggio 2018 sappiamo che tutti i soggetti – del settore pubblico o privato che siano – che trattano dati personali sono tenuti a rispettare il GDPR e a impostare trattamenti privacy by design e by default.
Ma la questione non è nuova, basti ricordare che in passato, per gli operatori del settore turistico, il Garante privacy era già intervenuto e va citata l’Autorizzazione n. 5/2012 afferente il trattamento di dati sensibili da parte di diverse categorie di titolari: dati particolari, infatti, possono riguardare ad es. lo stato di disabilità di alcuni viaggiatori o intolleranze alimentari.
Occorre considerare che nel provvedere già dalla mera prenotazione di un biglietto per qualsiasi vettore sino alla organizzazione di un viaggio di gruppo individuale, agenzie di viaggio e tour operator trattano dei dati personali.
Che occorre fare allora?
“Semplicemente” osservare il GDPR a partire dalla consapevolezza che è importante:
- fornire una compiuta informativa ai clienti sul trattamento dei loro dati;
- raccogliere il consenso da parte dei viaggiatori-clienti.
Se poi si procedesse alla profilazione degli utenti, per fornire – nel reciproco interesse – un servizio migliore, ciò dovrà essere ben specificata nell’informativa indicando la logica seguita, come prevede l’art. 13.2.f del GDPR, e le conseguenze che ciò comporta.
Tour operator e agenzie di viaggio: ruoli privacy
Va anche considerato che tali soggetti potranno avvalersi di responsabili del trattamento: oltre che per la gestione dei processi interni (ad es. contabilità e gestione dei profili retributivi del personale) anche quando, ad esempio, ricorrano al cloud di un provider per la conservazione dei propri dati.
Oppure, quando siano controparte di scuole per l’organizzazione di viaggi scolastici: in tal caso, dovrebbero essere nominati responsabili del trattamento da parte delle scuole committenti e rispettare le indicazioni delle scuole circa il trattamento dei dati dai loro studenti (e dovranno comunque porre attenzione a definire il loro ruolo quando l’istituto scolastico committente non provveda).
Le necessarie autorizzazioni al trattamento dati
Nel caso ci si avvalga di propri referenti per accompagnare i turisti in viaggio, per gli stessi come per i propri dipendenti occorrerà a provvedere alla autorizzazione al trattamento dei dati personali e fornire loro adeguate istruzioni.
Particolare cura andrà poi posta nel gestire le categorie particolari di dati personali dei clienti e, questione non secondaria, anche sui viaggi da loro acquisiti: sia perché si tratta di informazioni da cui si possono desumere informazioni sulle persone e sulle loro preferenze sia perché conoscere quando persone siano in viaggio può essere una informazione utile per i malintenzionati che si dedicano alla “professione” di svaligiatori di case.
Pure a cavallo fra privacy e security è la gestione dei dati dei documenti degli utenti, di cui andrebbero raccolti e verificati i dati ma – ove non vi siano particolari e motivate esigenze – non conservarne copia (che potrebbe essere impropriamente acquisita e utilizzata per motivi fraudolenti).
Nel caso, poi, di operatori che gestiscono le trasferte di personale delle organizzazioni, dovranno – in quanto responsabili del trattamento – aver cura di fornire adeguato riscontro alle organizzazioni committenti.
Come gestire i fornitori di servizi
Può accadere che tali travel agency abbiano dei fornitori corrispondenti per ottimizzare le spese di alloggio. Un punto delicato è quello degli eventuali feedback sugli utenti che dovessero pervenire / essere richiesti per la eventuale loro richiesta diretta a tali esercizi di negoziazioni per prestazioni extra-budget diverse da quelle previste ma a parità di costo (specie nel caso di trasferte prolungate, sfruttando il relativo volume economico): di tale questione – rasentando i feedback su richieste estemporanee gli estremi del whistleblowing – dovrebbe esservi cenno nelle informative anche al fine di consentire agli utilizzatori finali di esserne consapevoli e all’occorrenza poter presentare la loro versione.
Quindi: tour operator e agenzie di viaggio devono (i soggetti già esistenti dal 2018 dovrebbero averlo già fatto) effettuare una sorta di viaggio nel GDPR per attuarlo per la tutela del diritto alla privacy degli utenti e per osservare consapevolmente le regole europee e nazionali sulla privacy.
Anche nella consapevolezza che dal mancato rispetto potrebbero derivare sanzioni da parte del Garante o richieste di risarcimento da parte dei viaggiatori che abbiano subito danni da un trattamento non compliant.
Come gestire un portale Web per offrire i servizi di viaggio
Una questione che rende ancora più complessa la materia è – come spesso avviene – l’utilizzo di portali web per presentare e/o collocare servizi. Tali portali dovranno essere privacy compliant anche solo se raccolgono dati tecnici di navigazione.
Dovrebbe essere, quindi, disponibile una privacy policy sul portale e una idonea informativa come sopra citato.
Inoltre, il portale, se utilizzato per acquisti diretti dovrebbe avere le caratteristiche tecniche per garantire pagamenti in sicurezza e nel rispetto della privacy. Per il relativo amministratore di sistema andrebbero osservate le previsioni del provvedimento del Garante del 2008 e aggiornato nel 2009.
Gestire i viaggi in Paesi dove non vige il GDPR
Last but not least, i viaggiatori potrebbero voler visitare qualsiasi parte del mondo, anche Paesi in cui il quadro normativo a protezione della privacy non è all’altezza del GDPR; lo stesso può avvenire per trasferte di dipendenti di organizzazioni pubbliche e private.
Gli operatori in questione organizzando un qualsiasi servizio di viaggio, anche solo un viaggio ferroviario, devono fornire alle loro controparti di qualsiasi Paese i dati personali dei propri clienti.
In assenza delle condizioni poste dal GDPR in tema di trasferimento garantito dei dati in tali Paesi, occorrerà, secondo l’art. 49 del GDPR, raccogliere l’esplicito consenso dell’interessato, dopo che sia stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate (ciò, è da ritenere, pur considerando che il trasferimento è necessario per l’esecuzione del contratto).
Se poi si tratta di travel agency che forniscono i predetti servizi ad organizzazioni titolari del trattamento andrebbe vagliato se, per i viaggi in Paesi non GDPR-compliant, tali titolari non debbano comunque fornire una idonea informativa nella loro travel policy per i dipendenti.
Conclusioni
Da dove devono quindi partire i nuovi tour operator e le nuove agenzie di viaggio per osservare la privacy?
Il viaggio all’interno della data protection dovrà prevedere almeno le seguenti tappe:
- impostazione dei trattamenti (vagliando anche se ricorrono le condizioni per tenere un apposito registro);
- individuazione delle misure di sicurezza dei dati;
- produzione di informative per i loro utenti alla designazione delle persone autorizzate al trattamento;
- nomina di responsabili del trattamento (provvedendo anche a controlli sulla loro attività per evitare culpa in vigilando);
- rispetto del ciclo di vita dei dati trattati;
- collaborazione con il titolare del trattamento laddove rivestissero il ruolo di responsabile dello stesso.
Un bel viaggio da fare, assieme a tutela dei viaggiatori – clienti. Con il consiglio, per questi ultimi, di prendere buona nota dei suggerimenti (estivi, ma validi durante tutto l’anno e per tutti i viaggi) del Garante per una E-state in privacy.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove l’autore presta servizio.
