- Concorsi PA, dal Garante Privacy 50mila euro di sanzione a INPS Diffusi i dati personali di oltre 5mila partecipanti
- Telemarketing: il Garante Privacy sanziona Sky Italia Oltre 840mila euro per consensi e informative non in regola
- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
Tutti i problemi della nuova privacy di Booking che hai accettato
Alla fine di gennaio Booking ha avvertito i suoi clienti di aver aggiornato le linee guida sulla privacy in Europa. Una mail che viene spontaneo chiudere dopo le prime righe, benché il documento (24 pagine in pdf) sia scritto in un inglese piano e colloquiale. Tuttavia, arrivando in fondo e incrociando commi e definizioni, le condizioni sul trattamento dei dati personali riservano qualche sorpresa.
Perché le informazioni possono essere usate non solo per completare e gestire le prenotazioni che un cliente effettua, per esempio spedendo nome, cognome, indirizzo mail e carta di credito all’albergo scelto, ma anchecondivise con fornitori esterni, social network e altre aziende della galassia di Booking. Senza, però, un consenso ad hoc.
La sede europea potrà “condividere informazioni tra i marchi di Booking holdings”, la multinazionale americana che controlla l’omonimo sito e altri cinque portali per prenotare voli, viaggi, ristoranti o noleggiare auto: Kayak, Priceline, Agoda, Rentalcars e Opentable. Basta aver ricevuto l’informativa, se si è già iscritti, per essere soggetti alla nuova politica sui dati. “Svariate piattaforme, un solo documento sulla privacy”, rivendica il sito.
Tuttavia, secondo alcuni avvocati ed esperti del settore consultati da Wired, Booking non rispetterebbe alcune norme del regolamento europeo sui dati personali (Gdpr), benché l’azienda rivendichi il contrario.
L’uso delle informazioni
Riavvolgiamo il nastro e partiamo dall’informativa.
La scambio di dati, si legge, serve innanzitutto a completare una prenotazione, che è lo “scopo primario” per cui si usa il sito di Booking. Informazioni base, come nome, cognome e indirizzo email, e quelle relative a strumenti di pagamento, dati di altri viaggiatori, recensioni, allergie alimentari o bisogni legati alla mobilità, vengono condivise con i diretti interessati. Ossia i fornitori del servizio (i trip provider), come hotel e case vacanze.
Nella privacy policy si legge che Booking si riserva il diritto di usare questi dati anche per altri scopi. Per “migliorare i servizi”, “sviluppare nuovi marchi”, o per “ricerche di mercato”, con partner pubblicitari e di affari, che “distribuiscono o promuovono i servizi” della piattaforma. O ancora, con le altre società della galassia Booking. Quindi con aziende che non sempre sono direttamente coinvolte nella prenotazione del viaggio dell’utente.
Sono previsti “anche i trasferimenti oltre mare di dati personali verso paesi le cui leggi sulla protezione delle informazioni non sono complete come quelle dei paesi all’interno dell’Unione europea”. La holding ha sede a Norwalk, Connecticut. Ha chiuso il terzo trimestre del 2018 con 4,8 miliardi di dollari di fatturato. E nel 2017 (ultimo bilancio annuale disponibile) ha maturato ricavi per 12,6 miliardi. La sola Booking conta oltre 1,5 milioni di immobili online.
Infine, i dati possono essere arricchiti con quelli che un utente condivide sui social network, se connette i due mondi, o da fonti esterne. “Significa che quando tu clicchi su un bottone (come quello di “mi piace” su Facebook) alcune informazioni sono condivise con questi social network”, si legge nel documento sulla privacy.
Facebook è un fan di questa formula di condivisione. Nei carteggi con i manager di alcune app (non con Booking), sequestrati dalla commissione digitale del parlamento della Gran Bretagna, il papà del social network, Mark Zuckerberg, perora i vantaggi del reciproco scambio di dati.
Punti opachi
Ma l’informativa rispetta il Gdpr? Wired ha raccolto le osservazioni di tre avvocati esperti in privacy e di fonti vicine alle autorità di controllo, che hanno chiesto di rimanere anonimi per contribuire a questo articolo. La tesi comune è che ci siano alcuni passaggi opachi nel documento. Anche se, è bene precisare, al momento dell’uscita di questo articolo non risultano a Wired contestazioni ufficiali alla piattaforma.
Il primo nodo riguarda la condivisione dei dati con le altre aziende del gruppo, che svolgono attività diverse. “Incrociando le definizioni e le clausole, emerge che Booking afferma di condividere i dati con società che non sono direttamente coinvolte nella prenotazione del viaggio”, afferma un legale. Quindi non per lo scopo primario per cui un utente ricorre al sito.
Ciascuna azienda ha la sua privacy policy, quindi il consenso andrebbe raccolto di volta in volta. “Quando i soggetti mettono insieme due reti, il valore dei dati si moltiplica. Questa di Booking è un’estensione in modo unilaterale”, osserva un’altra fonte. Per uno dei legali il regolamento di Booking ricorda le contestazioni a Google e l’altolà a Facebook da parte di due garanti della privacy in Europa.
Nello specifico, l’autorità francese, il Cnil, ha inflitto una multa da 50 milioni di euro a Google, per aver raccolto, tra le altre cose, dati combinati per una serie di servizi erogati dalle piattaforme del gruppo, da Maps a YouTube, e di non aver separato i consensi informati a seconda degli scopi di trattamento delle informazioni.
Allo stesso modo il garante irlandese ha messo sul chi va là Facebook dopo la notizia di un piano per integrare i sistemi di Whatsapp e Instagram. Un progetto che avrebbe riflessi anche sul trattamento dei dati personali, tanto che Dublino ha subito avvertito che vigilerà perché sia rispettato il regolamento europeo sui dati personali.
Un’altra incongruenza, secondo uno degli avvocati, riguarda le funzioni di titolare e responsabile dei dati. Sono due figure diverse, riconosciute dal Gdpr. La prima, in inglese data controller, indica chi decide modalità e fini del trattamento delle informazioni. La seconda, il data processor, chi elabora i dati per conto del titolare.
Nell’informativa di Booking i ruoli non sono ben distinti. Si spiega che la filiale olandese è “responsabile del trattamento”. Ma, a questo punto, manca il titolare. Che, stando alle regolamento europeo, deve essere nominato in modo chiaro. Ed essere rappresentato da un’azienda del vecchio continente, se ha la testa in territori extra-Ue.
Infine, iscrivendosi al sito, uno dei legali ha riscontrato che occorre dare l’assenso alla privacy policy in blocco, senza una separazione del consenso per le attività strettamente legate alle prenotazioni su Booking da quello per le finalità di marketing. Né può scegliere chi è già scritto, se non chiudendo l’account sul sito. Vige la regola dell’opt-out: se non ti sta bene, esci. Una prassi molto diffusa tra le piattaforme digitali. Infine, per uno dei legali il ricorso a numerosi link esterni e rimandi genera una “bulimia informativa”.
La replica
A una richiesta di Wired, l’azienda ha precisato di “non vendere o affittare i dati personali” dei clienti e di condividerli con aziende “varie sulla base di molti fattori, tra i quali le leggi locali”, ribandendo di rispettare il Gdpr e, più in generale, “le leggi applicabili”.
L’azienda ha anche dichiarato che qualsiasi “potenziale condivisione dei dati dei clienti tra società sorelle sarebbe in accodo con le leggi applicabili e da intesa solo per aiutare a creare migliori esperienze per il cliente”. Wired ha chiesto anche se, dopo l’entrata in vigore del Gdpr, quanti reclami abbia ricevuto Booking dai clienti. La piattaforma non ha fornito un dato preciso, ma ha spiegato che “non ha osservato rilevanti tendenze di incremento”
Fonte: wired.it