Conto alla rovescia per il Gdpr: la nuova privacy per agenzie e t.o.

by Claudia Ceci | 22 Maggio 2018 7:00

Il 25 maggio 2018 – ovvero, venerdì prossimo – è la data ultima per adeguarsi al Gdpr, il nuovo Regolamento sulla privacy che sostituisce definitivamente la legge 196 del 2003. Il General Data Protection Regulation[1] (Gdpr) contiene una serie di obblighi per chi raccoglie le informazioni dei propri clienti, per evitare la circolazione dei dati e soprattutto un loro uso distorto rispetto a quanto consentito. Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Agenzie di viaggi e tour operator sono tra i soggetti che dovranno prestare particolare attenzione alla normativa e alle novità imposte dall’Ue. Nel momento stesso, infatti, in cui un’adv o un t.o. provvedono alla prenotazione di un viaggio aereo o all’organizzazione vacanza per conto di un determinato cliente, automaticamente effettuano un trattamento di dati personali, ai sensi dell’articolo 4.2 del Regolamento, perché tali operazioni implicano necessariamente la raccolta, la registrazione, l’organizzazione, nonché la comunicazione a terzi soggetti dei dati stessi. Ne abbiamo parlato con Carmen Chiara Di Donato, avvocato esperto in privacy dello studio associato Ferrante Lombardi Caiaffa.

Cosa devono fare agenzie di viaggi e tour operator per adeguarsi?
«La compliance al Gdpr non deve essere intesa come un insieme di regole che possono applicarsi in modo indiscriminato a qualsiasi azienda ma deve essere, più correttamente, intesa come un abito cucito su misura della singola realtà imprenditoriale del titolare del trattamento, sia essa un’agenzia di viaggi o un tour operator. Già con l’articolo 13 del d.lgs. 196/2003, il titolare del trattamento era obbligato a informare e ad acquisire il consenso dell’interessato circa l’utilizzo che avrebbe fatto dei dati di quest’ultimo. Con il Gdpr, tuttavia, tale obbligo viene ulteriormente ampliato a informazioni precedentemente non previste. Nel caso in cui adv o t.o., al fine di offrire un servizio più aderente alle preferenze della propria clientela, intendano effettuare operazioni di profilazione, non sarà più sufficiente acquisire il solo consenso dell’interessato ma l’informativa dovrà ulteriormente specificare la logica sottesa alla profilazione svolta e le conseguenze che tale operazione di profilazione comporta per l’interessato».

Carmen Chiara Di Donato avvocato privacy GdprQuali sono le opportunità e le insidie per gli operatori turistici?
«Una delle principali opportunità offerte dal Gdpr è sicuramente quella, per chi non è in regola, di mettersi in compliance con la nuova normativa e quindi di iniziare a trattare i dati personali in conformità a quanto previsto dalla legge. Ciò anche al fine di evitare di andare incontro alle insidie conseguenti a un errato e inconsapevole trattamento e consistenti nelle ingenti sanzioni che possono essere erogate del Garante, sia a seguito dei controlli sia a seguito di istanze di parte per presunti trattamenti illeciti».

Quali controversie vi aspettate di affrontare?
«Ci aspettiamo l’emergere di controversie che abbiano come oggetto il risarcimento del danno per l’illegittimo trattamento dei dati degli interessati connesso alla violazione della normativa da parte dei titolari del trattamento, ma anche contenziosi connessi all’impugnazione delle sanzioni amministrative erogate dal Garante il cui ammontare è stato significativamente aumentato rispetto al passato. Ai sensi dell’articolo 83 del Gdpr, infatti, la violazione delle disposizioni relative ai principi di base del trattamento, comprese le condizioni relative al consenso, come pure dei diritti dell’interessato è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore ai 20 milioni».

Quale sarà il primo effetto del Gdpr?
«Possiamo dire che l’effetto Gdpr si sta già avvenendo in questi giorni. Si sta riscontrando un considerevole incremento dei soggetti pubblici e privati che stanno rivedendo le proprie privacy policy al fine di tutelare i diritti degli interessati, ma anche per evitare le sanzioni».

Come sarà delineata la figura del Data protection officer (Dpo), visto che il Gdpr non prevede né certificazioni, né certificatori?
«L’assenza di una normativa italiana di coordinamento del Gdpr 679 rispetto all’ordinamento italiano rende difficile rispondere. Quello che invece, ad oggi, è certo è che, in considerazione del principio dell’accountability incombente sul titolare, in base al quale il titolare del trattamento sarà responsabile della compliance rispetto al Gdpr e dovrà essere in grado di dimostrarla, sarà opportuno rivolgersi a professionisti di comprovata esperienza nel settore. Il Dpo ha, infatti, il compito di informare e consigliare il titolare o il responsabile del trattamento nonché i dipendenti in merito agli obblighi derivanti dal Regolamento e dalle norme interne in materia di data protection, nonché di verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate e applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit. Su richiesta dovrà fornire pareri in merito alla valutazione d’impatto sulla privacy».

Quale può essere l’utilità del Registro dei trattamenti per agenzie e tour operator?
«Partiamo dal presupposto che il dovere di tenuta dei Registri (la normativa ne prevede due: quello del titolare del trattamento e quello del responsabile) non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (nello specifico dati sensibili e biometrici o dati personali relativi a condanne penali e reati). Penso che l’esigenza dei Registri si attagli meglio a quei tour operator che operano a livello mondiale e effettuano trasferimento di dati tra i vari uffici, consentendo una vera e propria mappatura di come vengono trattati i dati personali all’interno di una realtà imprenditoriale. In ogni caso, proprio per l’intrinseca potenzialità dei registri dei trattamenti a ricostruire l’esatto iter del trattamento dati, ritengo possa essere molto utile anche per le realtà più piccole che vogliono essere certe di effettuare un trattamento dei dati secondo diritto».

Endnotes:
  1. General Data Protection Regulation: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

Source URL: https://www.lagenziadiviaggimag.it/conto-alla-rovescia-gdpr-la-nuova-privacy-agenzie-tour-operator/