Multa da 14,4 milioni ad Amadeus: la lezione non è per i giganti

Quattordici milioni e quattrocentomila euro. È la cifra che Amadeus IT Group ha finito per versare all’autorità spagnola di protezione dati, e la prima reazione di chi manda avanti una piccola impresa, leggendola, è tirare un sospiro e archiviarla come una rogna da grandi. Un colosso della tecnologia dei viaggi, un fascicolo con tanto di numero di protocollo, avvocati schierati da una parte e dall’altra. Roba lontana da te, che hai un furgone, sei operai e un foglio firme all’ingresso. Ed è proprio lì la trappola, perché ad affondare Amadeus non è stata la stazza, ma una domanda che la tua azienda si pone ogni giorno senza accorgersene.

La sanzione partiva da una base di 18 milioni, due tronconi da nove, scesa del 20% per pagamento volontario fino ai 14,4 finali. L’azienda ha pagato senza ammettere colpa, che è il modo elegante di chiudere una ferita senza riconoscere che sanguina. Il motivo di fondo, però, non si trucca. L’autorità ha contestato la violazione di due articoli del GDPR: l’articolo 6, che pretende una base giuridica per trattare i dati personali, e l’articolo 14, che obbliga a informare le persone quando i loro dati vengono trattati senza averli chiesti direttamente a loro.

Vale la pena guardare cosa ha combinato Amadeus, perché la lezione abita nel dettaglio. La società aveva avviato un progetto pilota che incrociava i dati di prenotazione del suo sistema, i record PNR, con gli archivi clienti di catene alberghiere, e da quell’incrocio costruiva profili di viaggiatori per quella che hanno chiamato vendita iper-personalizzata. Il pilota ha pescato prenotazioni del 2019 riutilizzandole nel 2022, tre anni dopo che quelle persone avevano prenotato un volo con tutt’altro in testa. Nessuno le ha avvisate che la loro impronta di viaggio sarebbe tornata sul tavolo a nutrire un modello commerciale. Il progetto, dice Amadeus, non è mai stato messo sul mercato. Non cambia niente. Non si viene multati per aver venduto, si viene multati per aver trattato.

Due domande, e nessuna parla di dimensioni

Togli Amadeus dalla foto e tieni lo scheletro del caso, perché quello scheletro è il tuo. La prima domanda è quella dell’articolo 6: hai una base giuridica per trattare questo dato, per questa finalità precisa? Avere il dato non è la stessa cosa che poterlo usare per ciò che ti passa per la testa. Amadeus i PNR li deteneva in modo legittimo, le servivano per gestire le prenotazioni, eppure non poteva riciclarli tre anni dopo per profilare. La finalità è cambiata, la base non l’ha seguita. La seconda domanda è quella dell’articolo 14, che da noi si lega a doppio filo all’articolo 13: la persona sa che tratti i suoi dati? Non basta avere un buon motivo chiuso in un cassetto, va detto, per iscritto, in modo chiaro e prima, non quando è già arrivata la segnalazione.

Ed è qui che il padrone del furgone smette di poter guardare altrove. Se geolocalizzi i tuoi operai, stai trattando dati personali, i loro, tutti i giorni. In Italia ci si mette pure l’articolo 4 dello Statuto dei Lavoratori, che per gli strumenti da cui può derivare un controllo a distanza pretende un accordo sindacale o l’autorizzazione dell’Ispettorato del Lavoro, e poi, sopra, l’informativa privacy del GDPR. Sono, guarda un po’, le stesse due domande di Amadeus vestite da italiane. Una finalità legittima e proporzionata con la copertura dell’articolo 4, e l’obbligo di informare per bene il lavoratore. La differenza tra una PMI tranquilla e una PMI con un fascicolo aperto non è il numero di dipendenti, è se quelle due caselle sono spuntate.

Nel quotidiano di un’azienda piccola il problema quasi mai è la malafede. È l’improvvisazione. Si installa un’app che traccia la posizione a ogni ora perché era nel pacchetto, si lascia acceso il monitoraggio continuo del mezzo anche se bastava sapere a che ora è iniziato e finito il servizio, e l’informativa al lavoratore resta un “gliel’ho detto a voce il primo giorno”. Nessuna di queste tre cose regge un controllo. Il tracciamento permanente, quando bastava l’inizio e la fine, non è proporzionato. E il detto a voce, davanti al Garante, pesa quanto una promessa elettorale.

La via d’uscita non è smettere di misurare, è misurare bene

Il paradosso è che essere a norma e avere la prova del lavoro non sono forze opposte, tirano dalla stessa parte. Ciò che la legge ti chiede, una finalità circoscritta, il dato minimo e la persona informata, è esattamente ciò che ti serve perché un rapporto regga se un cliente ti contesta le ore. Una registrazione che cattura la posizione solo nell’istante che conta, l’ingresso e l’uscita dal servizio, e niente in mezzo, è insieme quella che rispetta la proporzionalità e quella che non si può smontare. Raccogliere di meno, qui, vale di più.

Per questo GeoTapp è stato sviluppato all’opposto del pilota di Amadeus. Niente inseguimento della squadra tutto il giorno: la posizione si prende con un tocco all’inizio e un tocco alla fine, il dato resta legato a quell’unica finalità, e l’operaio sa cosa viene registrato perché l’informazione fa parte dello strumento, non di una chiacchierata sul portone. È il confine che il business di Amadeus ha varcato e che l’applicazione, di proposito, non varca.

Se vuoi vedere con che parole esatte si informa un lavoratore della geolocalizzazione, abbiamo un fac-simile di informativa GPS pronto da adattare e una guida legale completa sulla geolocalizzazione dei dipendenti. La multa di Amadeus è cara come monito, ma costa poco se ti risparmia la tua.

Quindi la domanda non è quanto fattura chi ha preso la multa, è se tu sapresti rispondere oggi a quelle due domande per iscritto. Sapresti dimostrare con quale base e con quale informativa geolocalizzi la tua squadra?