Fiavet Lazio: la nuova privacy spiegata agli agenti di viaggio

A Roma il seminario con lo specialista Mario Mazzeo.

Il 25 maggio arriva in fretta: è il giorno in cui diventa legge dello Stato italiano il GDPR europeo sulla privacy – Regolamento 2016/679 – con sanzioni pesanti per inadempienze e inosservanze, e l’ispezione affidata a un nucleo speciale della Guardia di Finanza o alla Tributaria.

Ma in pochi si sono preparati a questa novità, che poi riguarda tutto il mondo. Perché le imprese europee dovranno chiedere a tutti i loro interlocutori all’estero misure analoghe di protezione dei dati: la stampa USA – dove la privacy è un’idea vaga – se ne occupa con una certa premura. A chiarire le idee e ridurre l’ansia ha contribuito Fiavet Lazio, che in un seminario all’Hotel dei Borgia di Roma ha portato Mario Mazzeo, avvocato specialista di privacy, dal linguaggio rigoroso ma comprensibile ai profani. A introdurre il tema Ernesto Mazzi presidente Fiavet Lazio, con Caterina Claudi, revisore dei conti di Fiavet Lazioe Nazionale. Dal seminario sono uscite alcune certezze.

La nuova privacy riguarda tutti, nessuno escluso. Perché tutte le imprese trattano dati sensibili perché identificano la persona (email, numeri di telefono, indirizzi, perfino nome e cognome) e su tutto il territorio nazionale, anche in relazione con i fornitori. Mal comune grande male: pare che la gran parte delle PMI italiane sia in ritardo quanto il turismo, per non dire di molta pubblica amministrazione.

Soluzione Fiavet Lazio. L’associazione sta cercando una soluzione a costi accessibili per gli associati, e modulare, perché le imprese sono diverse: per numero di dipendenti, volume d’affari, tipologia di lavoro. Diversa anche la formazione degli addetti: amministrativi, operativi, del business travel, per la Iata. Anche qui costo spacchettato da Fiavet Lazio, all’inizio finanziato da Fondo Forte. Si parte dalla nuova informativa a clienti e fornitori che sostituisce quella del 2007: «chiara, breve, non equivoca, deve dire a cosa servono i dati, quanto saranno conservati, su quali piattaforme saranno utilizzati, Fiavet Lazio prepara un testo per gli associati.

DPO Fiavet condiviso. Il Data Protection Officer previsto dal GDPR (e servirà a tutti) dovrà essere esterno all’impresa, perché controllore e controllato non siano la stessa persona. Fiavet Lazio pensa a un’unica figura per tutti gli associati Cotav, con controlli periodici.

Chi è in regola con la 196 del 2003 se la cava con poco. «All’estero ci trattano come matti – ha detto Mazzeo – per la nostra applicazione maniacale delle norme, siamo perfino l’unico Paese che riconosce la privacy delle persone giuridiche in una legge sulle persone fisiche. Siamo avvantaggiati, il GDPR somiglia molto alla nostra legge».

Cosa non è il GDPR. Mazzeo è stato chiaro: «Non è solo burocrazia, non è vero che ci impedisce di lavorare, non riguarda solo alcuni».

Cosa è veramente il GDPR. «È lo strumento che tutela la dignità della persona, impone il rispetto di un diritto universale, anche degli stranieri appena mettono piede In Europa. Se fossimo ragionevoli la rispetteremmo già». E si riduce a poche regole e abitudini da cambiare. «La legge dice che con i dati si può fare tutto quel che è lecito, a patto di dirlo al loro titolare. Ed è ovvio che il PC va protetto con password, senza scriverla su post-it appeso al monitor». Per questo in casi estremi e recidive c’è una sanzione che arriva a 120mila euro e «perfino arresto del titolare».

I fondamentali. Il regolamento ha alcuni principi fondanti: la richiesta dei dati non deve mai eccedere la stretta necessità del caso; c’è sempre obbligo di informativa al cliente sull’uso che se ne fa; ci sono limiti di tempo per la conservazione, e tutto va eseguito come da informativa e contratto. Alla base c’è il principio della responsabilità di chi raccoglie e custodisce i dati: «Anche liberarsene è una responsabilità, non butti nell’immondizia l’elenco dei partecipanti a un viaggio, perché non sai chi lo troverà cosa potrebbe farci». Sul tema c’è già giurisprudenza, come il caso del divorziato che non pagava gli alimenti e se ne andava alle Maldive. E infine «non posso parlare di riservatezza se non parlo di sicurezza», ossia di protezione assoluta di hardware e software.

Consenso e informativa. Sono cose diverse: con il nuovo regolamento quando il cliente fornisce i dati per una prenotazione il consenso è previsto ma implicito nella sua richiesta. «Però l’agente deve sempre fornirgli l’informativa sull’uso e il trattamento che farà dei suoi dati».

Il registro delle modalità di trattamento. Basta un file excel che elenca tutto: titolare del trattamento e suoi contatti; finalità del trattamento; categorie di dati personali; categorie di destinatari dei trasferimenti di dati personali verso paesi terzi; tutti i tipi di operazioni che si fanno con i dati; termini ultimi previsti per la cancellazione delle diverse categorie di dati.

E il pregresso? Se i dati sono attivi e in uso sono soggetti alle nuove norme.

Il caso incoming. Per i gruppi il titolare del trattamento è l’organizzatore, italiano o straniero, che ha l’obbligo di informare i suoi clienti, anche del fatto che i loro dati saranno forniti a un fornitore terzo. Ogni agenzia o operatore può nominare titolare, contitolari, responsabili, incaricati del trattamento dei dati: «il GDPR non lo prevede – ha detto Mazzeo – ma il Garante della privacy in Italia consiglia di nominarli comunque perché di fatto sono necessari, anche in ogni piccola impresa. E se il capogruppo lavora per l’agenzia o operatore dovrà accertarsi che forniscano l’informativa, se lavora per sé sarà lui stesso a farlo».

Occhio ai furbi. Il rispetto del GDPR serve a proteggere le imprese. «Certa gente ha imparato che con la privacy si fanno i soldi – ha detto Mazzeo – certi clienti che se vi vogliono pizzicare in fallo con questa normativa lo fanno apposta. E nella privacy di fronte al giudice siamo tutti colpevoli fino a prova contraria, se capita un guaio ti salvi solo con il caso fortuito o la causa di forza maggiore: non è facile provare nessuno dei due».