L’informativa privacy in contesti di marketing turistico

Il Regolamento n. 679/2016 o GDPR che ha ridefinito i contorni del trattamento dei dati personali da parte degli operatori europei, all’art. 6 prevede quelle che sono definite basi legali per un trattamento lecito, ovvero condizioni alternative, delle quali almeno una deve sussistere perché un soggetto possa trattare in maniera lecita i dati personali (come ad esempio nome, cognome, indirizzo email, numero telefonico, ma anche tutti quei dati che direttamente o indirettamente consentono di identificare una persona fisica) di un terzo, si tratta

 

  1. del consenso espresso del soggetto di cui si trattano i dati personali (interessato) per una o più specifiche finalità oppure
  2. del fatto che il trattamento deve essere necessario:
  • all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso oppure
  • per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure
  • per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
  • oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento oppure
  • per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Ciò significa che se un operatore turistico raccoglie i dati personali per eseguire un contratto di cui è parte un suo cliente, come ad esempio rispondere ad una richiesta di informazioni o procedere alla conferma di una prenotazione presso la propria struttura, sta raccogliendo e trattando i dati personali del cliente o potenziale cliente per tali scopi. A fronte di ciò dovrà tenere a mente che in virtù dei principi applicabili al trattamento dei dati personali, le informazioni da raccogliere e trattare dovranno essere quelle minime necessarie per eseguire lo scopo per cui vengono raccolte e adeguate, pertinenti e limitate a quanto necessario rispetto alle finalità per le quali le medesime informazioni personali sono trattate («minimizzazione dei dati»). In altri termini, se è legittimo chiedere i dati anagrafici del soggetto che intende prenotare, non è legittimo chiedere il nome dei figli che lo accompagnano oppure chiedere ad esempio al cliente la targa del proprio veicolo o altre informazioni personali che nulla hanno a che fare con la finalità di raccolta del dato.

Se al momento della raccolta del dato personale del cliente per consentirgli di ultimare la prenotazione della nostra struttura intendiamo utilizzare i suoi dati per altre finalità, diverse dalla prenotazione, come ad esempio inviargli una comunicazione via email (newsletter) con cui intendiamo informarlo su promozioni, offerte o pacchetti di viaggio da noi organizzati durante l’anno, dobbiamo necessariamente informarlo che i suoi dati personali verranno trattati anche per tale finalità, indicando eventualmente anche che i suoi dati potrebbero essere comunicati ad un soggetto esterno che si occupa del servizio di email marketing per nostro conto, sempre se abbiamo esternalizzato tale servizio. In tal caso, per essere in regola con le nuove norme, dovremmo aver verificato che tale soggetto esterno sia affidabile, che la sua organizzazione rispetti le nuove norme in materia di privacy, in particolare dovremmo aver verificato le misure tecniche e organizzative da lui adottate, accertarci che tratti i dati dei nostri clienti solo per le finalità per cui glieli abbiamo affidati, aver verificato in particolare dove sono localizzati i server da lui usati e dovremmo averlo designato responsabile del trattamento, come indicato dall’art. 28 attraverso un contratto che disciplini tutto quanto ivi previsto.

Tornando al trattamento dei dati del cliente per l’invio della newsletter informativa, a fronte del fatto che utilizzeremo solo l’indirizzo email del cliente e nessun altro dato personale, che il nostro fornitore, cui trasferiamo tali indirizzi email è stato verificato, istruito e quindi designato mediante il contratto di cui all’art. 28, che il cliente ha già manifestato interesse per i nostri prodotti/servizi, avendoli acquistati, non è necessario chiedere il consenso espresso preventivo al cliente per inviargli le nostre comunicazioni, ma questo fino a che le tematiche della newsletter hanno ad oggetto solo prodotti/servizi che lui ha già acquistato presso di noi o prodotti/servizi simili. Attenzione, però perché se all’interno della newsletter, oltre a comunicazioni promozionali che riguardano prodotti/servizi simili a quelli già acquistati dal cliente, abbiamo inserito anche il banner pubblicitario di un terzo, ad esempio un’azienda che vende/affitta imbarcazioni o un’azienda che noleggia auto o altri veicoli ai turisti, non stiamo più inviando una newsletter informativa su prodotti/servizi simili a quelli già acquistati dal nostro cliente, ma stiamo facendo pubblicità a terzi soggetti (ma questo vale anche se il prodotto/servizio diverso è da noi gestito), cosa che potrebbe infastidire il nostro cliente e per la quale dobbiamo necessariamente chiedere il preventivo consenso espresso. Questo vale anche se intendiamo cedere l’indirizzo email di un nostro cliente ad un a scuola di kite che ha una convenzione con la nostra struttura che intende inviare pubblicità sui suoi corsi ai clienti che hanno prenotato da noi, diverso è invece se nel contesto di un nostro “pacchetto” che vogliamo rendere noto al cliente, il corso di kite è incluso.

In ogni caso, sia che la newsletter sia meramente informativa dei nostri prodotti/servizi che se inviamo anche comunicazioni promozionali di prodotti/servizi di terzi o comunque diversi da quelli che il cliente ha già acquistato, dobbiamo consentire in ogni momento al cliente di cancellarsi dalla newsletter, esercitando quello che viene definito diritto di opposizione, del quale dovremmo aver reso nota al cliente in sede di informativa. E sì, perché quando raccogliamo i dati del cliente/potenziale cliente dobbiamo procedere coll’informarlo in merito a tutto quello che faremo con i suoi dati personali e adempiere a quanto stabilito dall’art. 13 del Regolamento.

Cosa dovrà quindi contenere l’informativa per il cliente nel caso di strutture turistiche?

In base a quanto stabilito dall’art. 13, l’informativa dovrà contenere:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (indicando i motivi per cui tratto i dati personali, ovvero per eseguire la prenotazione e consentire al cliente di soggiornare nella struttura, per comunicazioni nel contesto del rapporto contrattuale, per adempimenti di legge, quali contabili, fiscali o amministrativi; per inviargli la newsletter; per eventuali altre operazioni di marketing, previo consenso espresso);

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), occorrerà indicare i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) i soggetti o eventuali soggetti cui i dati verranno comunicati (quindi ad esempio al commercialista per finalità contabili e di legge; in questura mediante il sistema alloggiati Web, per fini di legge; all’Agenzia delle Entrate; all’eventuale fornitore del servizio di email marketing; ad eventuali soggetti che ci forniscono il servizio di back up in cloud dei dati aziendali; ecc);

f) se i dati verranno trasferiti all’estero fuori dall’Unione Europa (qui occorrerà verificare anche dove sono localizzati i server del nostro sito web ad esempio o del servizio cloud che utilizziamo o di altri fornitori cui eventualmente comunichiamo i dati dei clienti perché abbiamo ad essi affidati delle operazioni tecniche);

g) per quanto tempo conserveremo i dati personali;

h) come potrà procedere il cliente che intende accedere ai suoi dati personali da noi raccolti e conservati o ricevere maggiori informazioni sul trattamento;

i) come comunicarci eventuali modifiche ai dati, come chiederci la cancellazione degli stessi o la limitazione (ad esempio in caso di contenzioso con noi), come potrà opporsi al trattamento e nel caso abbia acconsentito al trattamento dei dati per finalità di marketing come potrà ritirare quel consenso, garantendo che esso possa essere ritirato in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

Dovremo informarlo anche della possibilità di esercitare reclamo davanti al Garante per il trattamento dei dati da noi effettuato e se ad esempio effettuiamo operazioni di marketing profilato, dobbiamo rendergli nota logica utilizzata, l’importanza e le conseguenze che potrà avere su di lui tale trattamento.

Naturalmente, queste sono solo le informazioni che in generale un titolare del trattamento deve indicare nell’informativa al cliente che andrà resa al momento della raccolta del dato, ogni titolare, ogni struttura ricettiva e quindi, ogni casa vacanze, ogni albergo, ogni agriturismo, ogni masseria ha le proprie finalità di trattamento, i propri fornitori esterni, le proprie modalità di trattare i dati personali, i propri assett, le misure di sicurezza personalizzate adottate; per cui se ad esempio per una struttura non sarà necessario chiedere il consenso al trattamento, per un’altra se ne dovrà chiedere più d’uno, pertanto è necessario procedere ad un’analisi del contesto organizzativo per poter redigere l’informativa che dovrà essere tagliata a misura, come l’abito di un sarto.

 

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy