Gdpr agenzia viaggi, come comportarti e quali sono le cose che dovresti conoscere se hai il desiderio di intraprendere un’attività di agenzia viaggi per evitare di incorrere in penalizzanti sanzioni?
Ebbene si,dopo piu di 3 anni dall’entrata in vigore del Regolamento Ue 2016/679, la normativa in materia di tutela della privacy,quali sono i progressi fatti per tutelare le persone fisiche dall’utilizzo improprio dei loro dati da parte delle imprese ed organizzazioni? Il report di Finbold esprime chiaramente come l’Italia sia il paese europeo con il più alto valore di sanzioni emesse. Questo non è certamente confortante,visto considerato che le sanzioni riguardano grandi società di telecomunicazione che dovrebbero tutelare in primis i nostri dati personali.
È vero che i dati non sono riferiti in modo specifico alle agenzie di viaggio, però è altrettanto vero che non bisogna mai sottovalutare aspetti importanti riguardanti la comunicazione online e gli strumenti tecnologici che oggi giorno permettono di raggiungere potenziali clienti praticamente ovunque. Questo soprattutto per le agenzie viaggi online, che operano,comunicano e vendono prodotti turistici attraverso più canali di vendita.
Gdpr Agenzia viaggi: Quali sono i dati personali utilizzabili dalle agenzie viaggi e per quali servizi?
Per svolgere l’attività di organizzazione viaggi,le ADV necessitano di entrare in posssesso di dati anagrafici (Nome e cognome,data e luogo di nascita, codice fiscale, indirizzo, recapito telefonico, indirizzo e‐mail ), nonché dati relativi ai sistemi di pagamento ( IBAN,Carte di credito,Istituti finanziari e sistemi di pagamento elettronici )
Lo svolgimento dell’attività di agenzia viaggi sia online che in maniera tradizionale,presenta delle complessità maggiori dal punto di vista del Regolamento Europeo sulla privacy rispetto ad altra tipologia di imprese. Infatti per il tipo di attività svolta, le agenzie viaggi devono non solo ottenere i dati personali dei potenziali clienti,ma anche comunicarli a terzi soggetti.
I dati di un interessato infatti possono essere utilizzati da un’agenzia viaggi in relazione a diverse tipologie di servizi,quali
- Organizzazione pacchetto turistico
- Agevolare l’acquisto di servizi turistici collegati
- Eseguire opera di intermediazione turistica per l’acquisizione di un pacchetto turistico organizzato da terzi
- Intemediazione nell’acquisizione di polizze assicurative connesse ad un pacchetto turistico o a servizi acquistati singolarmente
- Adempimento per il rilascio di visti o passaporti
- Registrazione a siti web,portali di viaggio,app attraverso la compilazione sui form di iscrizione e registrazione.
Pertanto l’agenzia viaggi è tenuta ad indicare sull’Informativa del trattamento dei dati personali e acquisizione consenso a cosa servono i dati personali degli utenti. L’agenzia di viaggi in qualità di titolare del trattamento dati, secondo l’art 13 del GDPR deve fornire
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’intenzione di trasferire dati personali a un paese terzo o a un’organizzazione internazionale
Gdpr agenzia viaggi: Cosa dice il Regolamento europeo in materia di privacy?
L’Agenzia viaggi come qualunque altra organizzazione aziendale o impresa,che tratta dati personali delle persone è tenuta ad agire in maniera conforme al Regolamento,ovvero assicurare che l’attività di trattamento dati personali sia conforme alla normativa in materia di privacy. L’art. 5 del gdpr infatti stabilisce il principio di responsabilizzazione o accountability,attraverso la quale,il il titolare del trattamento dati è responsabile dei dati raccolti e dovrà garantire di aver operato in modo corretto come previsto dal GDPR.
IL GDPR tra i principi applicabili al trattamento di dati personali,ha anche la minimizzazione dei dati raccolti. Infatti partendo dallo scopo per la quale si richiedono i dati personali delle persone,il titolare del trattamento dati deve raccogliere solamente i dati pertinenti allo scopo.
Ad esempio ipotizziamo che un’agenzia viaggi voglia raccogliere gli indirizzi email delle persone per inviare newsletter promozionali in relazione ai viaggi offerti. Questo prevede l’iscrizione attraverso un form di registrazione su un sito web. In questo specifico caso,il titolare deve garantire che non vengano raccolti altri dati che non sono pertinenti allo scopo. Chiedere ad esempio l’età non è pertinente in relazione allo scopo,che è l’invio di newsletter.
Il titolare del trattamento,è tra l’altro responsabile della conservazione dei dati limitatamente nel tempo. Quando si raccolgono e conservano i dati degli utenti in qualche supporto durevole o in un server, bisogna indicare nell’informativa privacy un tempo massimo di conservazione di tali,oltre la quale il dato deve essere eliminato.
Quando un trattamento dei dati personali è considerato lecito?
L’art 6 regolamento privacy stabilisce le basi giuridiche del trattamento,ovvero le condizioni che devono esserci affinche un trattamento dei dati personali sia considerato lecito. Per le agenzie viaggi o tour operator,che operano nel ramo del marketing,affinchè il trattamento sia considerato legittimo è sufficiente che avvenga solo una di queste condizioni:
1) consenso esplicito e informato
Il trattamento è lecito se l’interessato ha espresso il proprio consenso al trattamento dati per una o più specifiche finalità
2) Esecuzione contrattuale
Altra condizione che stabilisce la liceità del trattamento dati,è il caso in cui il soggetto sia parte di un contratto o nel qual caso lo stesso sia il richiedente di misure precontrattuali. Nel caso specifico di agenzie viaggi,se un potenziale cliente chiede un preventivo di viaggio,quello è considerato una misura precontrattuale che attesta la liceità del trattamento dati. Altro esempio di esecuzione contrattuale è il contratto di viaggio o la compravendita di un pacchetto turistico,attraverso la quale una persona conferisce il mandato all’agenzia viaggi di organizzare il viaggio o di acquistare un pacchetto turistico preconfezionato.
Un ulteriore caso è quando l’agenzia viaggi ha nel proprio sito web un form di contatto con la quale un utente può inviare una richiesta di preventivo online.
3) Adempimento obbligo legale
Qualora il trattamento dati serva per adempiere ad un obbligo legale,in questo caso il trattamento è considerato legittimo a tutti gli effetti ( conservazione delle fatture )
Quali sono gli obblighi per le agenzie viaggi che fanno marketing online?
Per le imprese turistiche che operano online,sono 2 gli obblighi fondamentali stabiliti dal GDPR
1) Informativa sulla privacy
Prima di raccogliere qualsiasi dato personale di un utente, un’organizzazione aziendale ha l’obbligo di informare i propri utenti,in modo scritto,chiaro e facilmente comprensibile con l’informativa sulla privacy.
L’informativa serve a stabilire
- L’interessato alla quale si riferiscono i dati
- Chi esegue il trattamento
- I tipi di dati raccolti e la loro finalità
- Nome del DPO qualora sia presente
- Responsabili esterni al trattamento dati oltre al titolare del trattamento
- Profilazione degli utenti
- Limite di conservazione dei dati personali
- Diritti dell’interessato
2) Acquisire il consenso dell’utente
Il Regolamento Europeo in materia di privacy per quanto riguarda il consenso,sostanzialmente ricalca quanto era già espresso con il Codice privacy italiano. Per finalità di marketing online, il consenso deve essere:
-
Preventivo
Per finalità di promozione o marketing è possibile inviare comunicazioni email,sms o attraverso altri canali di comunicazione (facebook messenger) solo dopo aver ottenuto il consenso preventivo da parte della persona. In pratica non puoi inviare alcuna comunicazione se non hai ottenuto il consenso prima dell’invio. Questo a meno che nel contesto di vendita di un prodotto turistico o servizio, il cliente non ti abbia fornito un indirizzo email. Allora in questo caso puoi utilizzare il suo indirizzo email per inviare delle comunicazioni promozionali inerenti servizi o prodotti analoghi a quelli acquistati.
-
Libero
Altra importante condizione è che il consenso deve essere libero! Ovvero nei siti web di viaggi o nei portali turistici non devono esserci checkbox pre-flaggate. In pratica deve essere solo l’utente a flaggare liberamente un checkbox a seconda che desideri autorizzare il consenso al trattamento dati o no. In via cautelare,un’agenzia viaggi può offrire sconti o voucher agli utenti in cambio di dati personali per finalità di marketing,purchè l’interessato possa revocare o rifiutare il consenso in qualunque momento senza subire alcun tipo di pregiudizio.
Un’agenzia viaggi online ad esempio può anche inviare ai soli iscritti ad una mailing list,attraverso una newsletter, un questionario per ottenere delle informazioni o dati più accurati riguardanti una persona, per creare delle offerte personalizzate. In questo caso specifico il consenso è da considerare libero.
-
Informato
Il consenso è da intendersi informato,quando una persona prima di accettare il trattamento dei dati e flaggare una checkbox è messa in condizione di leggere l’informativa della privacy in modo visibile,semplice e comprensibile.
-
Specifico
Il consenso al trattamento dei dati personali deve essere specifico. Ovvero per ciascuna finalità di marketing che un’agenzia viaggi desidera intraprendere,deve essere presente una checkbox con un’indicazione chiara e precisa delle finalità che un’azienda intende perseguire con i dati raccolti. Ogni consenso al trattamento è diverso. Richiedere il consenso per l’invio di newsletter promozionali,non è la stessa cosa che chiederlo per attività di profilazione utenti.
-
Inequivocabile
Un’altra condizione che è il Gdpr prevede,è che il consenso deve essere inequivocabile,ovvero esente da incertezze,dubbi.. In pratica l’azione del consenso deve essere chiara e positiva. Poniamo un’esempio pratico. Se un’agenzia viaggi che opera e vende i propri pacchetti online, ha il tracciamento dei cookies nel proprio sito web,l’autorizzazione al tracciamento deve avvenire attraverso un’azione positiva dell’interessato, (come ad esempio la pressione su un pulsante o il flag su una checkbox ).
-
Dimostrabile
La dimostrabilità dei dati raccolti è un’altra condizione richiesta dal Regolamento Europeo. Il titolare al trattamento dati deve infatti dimostrare che l’interessato ha effettivamente acconsentito al trattamento specifico. Praticamente bisogna dimostrare
- Chi ha prestato il consenso
- Quando è stato prestato
- Per quale finalità è stato prestato
- Quale informativa esisteva quando un soggetto ha prestato il consenso
- Attraverso quale form l’interessato ha espresso il consenso
Tipi di finalità al trattamento dati delle agenzie di viaggio
Non tutte le agenzie viaggi hanno le stesse finalità al trattamento dati, però in linea di massima, le finalità al trattamento come base giuridica sono :
Finalità relativa alla prestazione contrattuale
Qualora come espresso in precedenza si sia in presenza di un contratto tra un soggetto ed un’agenzia viaggi,le finalità dei dati trattati sono relative all’organizzazione del pacchetto turistico o all’intermediazione per l’acquisto di servizi turistici collegati. I dati personali raccolti dall’agenzia viaggi servono quindi per adempiere agli obblighi contrattuali tra l’impresa turistica e il cliente. Pertanto, i dati saranno anche trasmessi ad eventuali vettori aerei,transfer,strutture ricettive ed attività turistiche connesse al pacchetto turistico acquistato.
Inoltre i dati raccolti dall’impresa turistica,sempre correlata alla stessa finalità,servono per informare il cliente riguardo alle modifiche contrattuali del pacchetto viaggio, annullamento del viaggio,acquisizione di ulteriori servizi turistici oppure per quanto concerne la conclusione del contratto stesso tra ADV e cliente.
Finalità di legge
I dati personali dell’interessato sono utilizzabili anche per finalità ed assolvimento degli obblighi di legge,o normative nazionali. Inoltre sono intese come finalità di legge anche gli obblighi fiscali e contabili delle agenzie di viaggio oltre che per adempiere agli obblighi di sicurezza e salute dei viaggiatori.
Finalità legate al business
La richiesta e l’utilizzo dei dati personali delle persone,può avere anche finalità di business legati all’attività di agenzia viaggi. Tra questo tipo di finalità possiamo trovare le statistiche o le ricerche di mercato,allo scopo di offrire un servizio qualitativamente migliore.
Finalità di marketing
I dati personali possono essere trattati dal titolare del trattamento dati anche per finalità di marketing,comprendenti
1) attività di marketing promozionale
riguardano le attività di promozione ad opera dell’agenzia viaggi o di società specializzate individuate allo scopo per eseguire attività di marketing tradizionale ( cartacea ) o automatizzate ( email marketing,sms,chat,o applicazioni di messaggistica istantanea).
Per questo tipo di attività è richiesto il consenso da parte dell’interessato.
2 ) attività di profilazione utenti
La profliazione è un’altra finalità di marketing che le agenzie viaggi possono implementare tramite soggetti terzi,allo scopo di raccogliere ulteriori dati riguardanti le persone per offrire pacchetti turistici “su misura” o personalizzati in base agli interessi o alle esigenze espresse dall’utente.
Riepilogando,Gdpr agenzia viaggi e la natura del conferimento dei dati raccolti da un’agenzia,assumono una duplice valenza a seconda delle finalità del trattamento.
Il conferimento dei dati diventa obbligatorio quando la base giuridica del trattamento è l’esecuzione di un contratto di viaggio,il cui mancato conferimento comporta l’impossibilità di eseguire delle prenotazioni ed adempiere al contratto.
Mentre il conferimento dei dati è facoltativo quando la base giuridica del trattamento è per finalità di marketing. In tal senso,il mancato consenso,non modifica la parte concernente al contratto di viaggio,ma comporta l’impossibilità dell’agenzia viaggi di inviare comunicazioni commerciali o promozionali.
Gdpr agenzia viaggi e tra comunicazione e promozione
Il Gdpr agenzia viaggi come abbiamo visto, tutela i dati personali degli utenti che per diversa natura entrano in contatto con un’agenzia viaggi. In ottica di digital marketing,come strategia comunicativa e promozione turistica però è bene prestare molta attenzione,ancor più del marketing tradizionale. Bisogna infatti essere attenti non solo ai procedimenti di raccolta dati e finalità di trattamento, ma soprattutto ad adottare gli accorgimenti necessari per fare in modo che tutti i processi di trattamento e conservazione dei dati siano conformi.
Mi riferisco in particolare alle piattaforme di email marketing per l’invio delle newsletter,ai moduli di contatto,ai form di registrazione utente o alle modalità di acquisizione clienti con strategie di lead generation sui social network. Il fatto che la tecnologia abbia rivoluzionato il modo di comunicare e connettersi con il mercato e i propri clienti,non deve assolutamente far dimenticare che dietro una comunicazione esiste sempre il rispetto della privacy della persona.