Domanda - Come mai i player della Hospitality sono particolarmente esposti al rischio di sanzioni per mancata compliance con il GDPR?
Donatella Marino - Gli operatori della Hospitality si ritrovano quotidianamente a trattare dati di persone fisiche sia nell’esercizio fisiologico dei loro processi operativi sia nel cercare di individuare i lead cui offrire i loro servizi. Sfruttano così tutti gli strumenti che oggi, grazie all’alta digitalizzazione del settore e alle opportunità offerte dai social e dagli esperti di digital marketing sono sempre più efficienti ma altrettanto invasivi. Si trovano dunque quotidianamente a trattare dati personali, anche su larga scala, senza rendersi conto delle responsabilità connesse a ciascuno di questi trattamenti, che potrebbero esporli a sanzioni severe. Come nel caso del mediatore milanese.
Domanda - Ma perchè così tanta attenzione ai dati personali?
Donatella Marino - La protezione dei dati personali delle persone fisiche è riconosciuto dal Trattato di Lisbona come diritto fondamentale ed è disciplinata a livello europeo dal Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR). In vigore dal 2016, la sua attuazione è avvenuta solo nel maggio 2018. Scopo del Regolamento è armonizzare la Personal Data Protection all'interno dell'Unione europea e alimentare la fiducia dei cittadini nel Mercato Unico Digitale (Digital Single Market).
Domanda - Quando i player della Hospitality rischiano sanzioni?
Donatella Marino - Gli operatori della Hospitality sono tra i più esposti: le nuove formule operative, commerciali e promozionali sfruttano sempre più canali tecnologici e digitali per ottenere una penetrazione capillare nel mercato e porre in essere trattamenti di dati personali con finalità di profilazione e marketing. Trattamenti per lo più posti in essere inconsapevolmente violando rigide prescrizioni normative e quindi fortemente esposti a sanzioni anche molto severe. Si pensi non solo ai dati dei proprietari - persone fisiche - raccolti dai Property Manager nell’acquisire alloggi da offrire sulle piattaforme di intermediazione, o dagli agenti immobiliare che svolge la sua attività di mediazione, ma anche ai dati degli inquilini o degli ospiti di un alloggio locato per breve periodo o di una struttura ricettiva, spesso raccolti - almeno inizialmente - solo per le comunicazioni alla Questura.
Domanda - Ma cos'è, in concreto, un trattamento di dati personali?
Donatella Marino - I trattamenti sono elencati dal Regolamento: vanno dalle modalità di raccolta dei dati personali a quelle di registrazione, di organizzazione, di conservazione, di consultazione, di elaborazione, di modificazione fino alla comunicazione, diffusione, cancellazione e distruzione dei dati. Tutti trattamenti consentiti solo e nei limiti delle finalità ammesse dalla normativa e, nei casi previsti, dal consenso dell’interessato.
Domanda - Quali sono le sanzioni?
Donatella Marino - Si tratta di sanzioni per lo più amministrative. Per alcune violazioni il massimo edittale è pari a 20 milioni di euro ma per le imprese di grandi dimensioni si può arrivare al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Esistono però criteri per valutare circostanze aggravanti o attenuanti, fermo restando però che la sanzione deve in ogni caso essere “effettiva, proporzionata e dissuasiva”. Nei casi più gravi il D.Lgs. 196/2003 e succ. mod. prevede sanzioni penali.
Domanda - Cos’è capitato al mediatore immobiliare milanese?
Donatella Marino - Non bisogna immaginare necessariamente illeciti importanti o reati, quando si parla di trattamenti illegittimi. Anche operazioni banali e considerate quasi normali per un operatore commerciale possono comportare conseguenze. E’ il caso della recentissima ordinanza-ingiunzione emessa nei confronti dell’agenzia La Prima S.r.l. di Milano lo scorso 16 settembre 2021. La società è stata coinvolta dal provvedimento del Garante perché un collaboratore aveva contattato una proprietaria su Linkedin, ancorché con messaggio privato, per proporre servizi immobiliari in merito ad uno specifico immobile di sua proprietà, individuato attraverso i pubblici registri immobiliari. La proprietaria però iscrivendosi su Linkedin aderiva alle finalità ivi indicate, e non aveva espresso consenso a essere contattata per altre finalità, tanto più che non era interessata alla vendita del suo immobile. La proprietaria ha proposto quindi reclamo al Garante.
Domanda - Qual’è stata la decisione del Garante?
Donatella Marino - Il Garante ha inizialmente mosso alcuni rilievi, ma la Società non ha risposto. Conseguentemente ha ammonito la Società affinché conformi in generale tutti i propri trattamenti di dati personali a quanto previsto dal Regolamento. Ha inoltre ingiunto, in particolare, di adottare misure idonee ad evitare l’effettuazione, da parte dei suoi dipendenti, di attività promozionale in assenza di un’idonea base giuridica. Infine, per non aver fornito la Società riscontro alle reiterate richieste di informazioni del Garante è stata condannata al pagamento di una sanzione amministrativa pecuniaria di 5.000 euro. Una sanzione molto ridotta in considerazione di alcune circostanze attenuanti specifiche, tra cui gli effetti critici della pandemia e le micro dimensioni dell’azienda. Ancor più rilevante forse è la condanna alla sanzione accessoria della pubblicazione integrale della decisione.
Domanda - Quali sono dunque gli interventi di cui intermediari, property manager e operatori della ricettività devono occuparsi per essere compliant?
Donatella Marino - L’impianto del GDPR si traduce nell’onere in capo all’imprenditore di individuare analiticamente tutti i trattamenti di dati personali posti in essere nella propria attività, valutare i rischi connessi e progettare il sistema si misure più adeguato alla tipologia di trattamento effettuato. Non esiste una formula unica. All’operatore della Hospitality, così come ad ogni altro imprenditore, è quindi imposto di ragionare, insieme ad adeguati professionisti, su natura, contesto e finalità dei trattamenti che si svolgono, in modo da organizzarli in termini di liceità, trasparenza, adeguatezza e minimo impatto per l’interessato, secondo i criteri chiariti dal Regolamento.
