Settore turistico: la privacy non va in vacanza
Qualsiasi entità, privata o pubblica, è tenuta a rispettare il Regolamento Generale sulla Protezione dei Dati (GDPR). Questo l’abbiamo ribadito in più occasioni.
Oggi affrontiamo, in particolare, il settore turistico.
Iniziamo col dire che quando parliamo di operatori turistici, ci riferiamo alle agenzie di viaggio, ai tour operator, alle guide, alle strutture del settore HO.RE.CA. (hotel, ristoranti e bar) e a tutte le attività connesse.
La particolarità, di questo settore, è quella di trattare molti dati personali. Dalla prenotazione di biglietti all’organizzazione di viaggi, gli operatori turistici, trattano dati personali che possono includere informazioni sensibili. Nel caso di profilazione degli utenti, anche durante l’attività di marketing, va specificata chiaramente, nell’informativa, la logica e le conseguenze di tale trattamento ed è necessario raccogliere il consenso ex ante.
Gli operatori turistici possono essere sia titolari del trattamento, quando operano per conto proprio, sia responsabili del trattamento quando gestiscono pacchetti per conto di terzi. Devono inoltre designare responsabili del trattamento per la gestione interna, come nel caso di contabilità, quando vengono utilizzati servizi cloud o quando ci si avvale di professionisti terzi che trattano i dati dei clienti. In situazioni specifiche, come l’organizzazione di viaggi scolastici, le agenzie devono rispettare le indicazioni delle scuole riguardo al trattamento dei dati degli studenti.
Quando ci si affida a collaboratori, è necessario impartir loro istruzioni adeguate e autorizzarli al trattamento dei dati personali dei clienti. È essenziale prestare attenzione ai loro dati personali più sensibili, come le informazioni sui viaggi, i dati inerenti la salute, un’eventuale disabilità e i loro documenti personali, che potrebbero essere sfruttati da malintenzionati. La gestione dei documenti di identità deve essere scrupolosa: vanno raccolti e verificati, ma non conservati se non strettamente necessario, per evitare il rischio di utilizzo fraudolento.
Gli operatori devono anche rispettare le normative relative al trasferimento dei dati all’estero, specialmente verso Paesi con standard di protezione inferiori al GDPR. In questi casi, è fondamentale ottenere il consenso esplicito del cliente, informandolo dei possibili rischi. Se l’operatore turistico comunica i dati personali verso paesi terzi, lo deve fare rispettando il Capo V del Regolamento Europeo (GDPR).
Ultimo ma non ultimo, il trattamento dei dati degli stessi collaboratori della struttura, che si tratti di un ristorante, di un hotel o di una agenzia di viaggi. Ricordiamo che i controlli sulla conformità al GDPR potrebbero essere anche di competenza dell’Ispettorato del Lavoro.
Anche la corretta gestione dell’impianto di videosorveglianza potrebbe, in alcuni casi, rappresentare un importante adempimento, meritevole di grande attenzione.
In sintesi, tutti gli operatori del settore turistico, devono adottare un approccio sistematico al GDPR, impostando i trattamenti, implementando misure di sicurezza, producendo informative chiare, designando responsabili e autorizzati al trattamento, e monitorando il ciclo di vita dei dati trattati per garantire conformità. Si ricorda, inoltre, la redazione del registro dei trattamenti, la policy di sicurezza per i collaboratori e la formazione specifica prevista dall’art. 29 del Regolamento.
Kruzer è a disposizione degli operatori turistici per una disamina gratuita delle procedure GDPR adottate ed un eventuale successivo intervento per garantirne la conformità di legge.
