Alla luce della crescente popolarità delle piattaforme di viaggio online e delle applicazioni mobili, l’Office of the Privacy Commissioner for Personal Data (PCPD) ha esaminato 10 piattaforme di viaggio online (inclusi i siti Web e le applicazioni mobili pertinenti) comunemente utilizzate dai cittadini per comprendere come queste piattaforme raccolgono e utilizzano i dati personali dei loro utenti e ha pubblicato oggi un rapporto intitolato “Uno studio sulla raccolta di dati personali da parte di 10 piattaforme di viaggio online”. Le 10 piattaforme sono (in ordine alfabetico ) Agoda, EGL Tours, Expedia, Goldjoy Holidays, Miramar Travel, Sunflower Travel, Travel Expert, Trip.com, Wing On Travel e WWPKG.

Nel corso della revisione, alcune delle piattaforme di viaggio hanno adottato misure per apportare miglioramenti alla fornitura di informazioni sulla protezione della privacy e alla progettazione dell’interfaccia utente delle loro piattaforme. Al termine della revisione da parte del PCPD, le pratiche relative alla raccolta dei dati personali degli utenti da parte delle piattaforme sono riassunte come segue:

• Tutte le piattaforme di viaggio online esaminate hanno pubblicato le loro informative sulla privacy sui loro siti web e sulle applicazioni mobili (se presenti);
• Tutte le piattaforme di viaggio online esaminate hanno dichiarato nelle loro informative sulla privacy le finalità della raccolta dei dati personali e le categorie di terze parti (ad esempio compagnie aeree, hotel e compagnie assicurative, ecc.) a cui i dati personali raccolti possono essere trasferiti;
• Solo sette delle piattaforme di viaggio online esaminate ( Agoda, EGL Tours, Expedia, Goldjoy Holidays, Trip.com, Wing On Travel e WWPKG) hanno dichiarato le loro politiche di conservazione dei dati nelle loro informative sulla privacy ;
• Expedia si classifica al primo posto tra le 10 piattaforme per quanto riguarda la leggibilità della sua informativa sulla privacy, tra le altre cose per la sua presentazione chiara e succinta e per l’uso efficace di titoli e tabelle;
• Tutte le piattaforme esaminate tracciano le attività degli utenti sulle loro piattaforme , raccogliendo dati quali informazioni sulla posizione dell’utente e/o cronologie di navigazione;
• Tutte le piattaforme esaminate hanno ottenuto il consenso degli utenti per il marketing diretto. Sunflower Travel fornisce solo un’opzione per gli utenti di fornire i loro consensi in bundle . Expedia, Goldjoy Holidays, Travel Expert, Trip.com e Wing On Travel forniscono agli utenti l’opzione di accettare o rifiutare l’uso dei loro dati personali per il marketing diretto, ma l’opzione predefinita è “agreed” ;
• Su tutte le piattaforme esaminate, gli utenti non sono tenuti a registrarsi o ad accedere a un account per effettuare prenotazioni o acquistare alcuni prodotti di viaggio;
• Se gli utenti scelgono di registrare un account, le piattaforme esaminate raccoglieranno da uno a sei tipi di dati personali durante il processo di registrazione ;
• Quattro delle piattaforme esaminate (Agoda, Expedia, Trip.com e Wing On Travel) forniscono un’opzione nella pagina di pagamento per salvare automaticamente i dati personali inseriti dagli utenti ; e
• Agoda ed Expedia dichiarano nelle loro informative sulla privacy di utilizzare tecnologie di intelligenza artificiale (IA) per fornire servizi che potrebbero comportare l’utilizzo dei dati personali degli utenti .

Il Commissario per la privacy dei dati personali, la Sig.ra Ada CHUNG Lai-ling, ha affermato: “Sono lieta di vedere che alcuni operatori delle piattaforme di viaggio online hanno adottato misure per migliorare la fornitura di informazioni sulla protezione della privacy e la progettazione dell’interfaccia utente delle loro piattaforme nel corso della revisione. La revisione mira ad aiutare le piattaforme di viaggio a migliorare la qualità dei loro servizi e ad aumentare la trasparenza nella raccolta di dati personali. Cerca inoltre di aiutare i cittadini a comprendere meglio le politiche di protezione della privacy e la progettazione dell’interfaccia utente di queste piattaforme, rafforzando così la protezione della privacy dei dati personali quando effettuano ordini di prodotti di viaggio online”.

Alla luce dei risultati della revisione, il PCPD desidera formulare le seguenti raccomandazioni agli operatori delle piattaforme di viaggio online sulle migliori pratiche e sul miglioramento della protezione della privacy:

1. Implementare un programma di gestione della privacy dei dati personali e nominare un responsabile della protezione dei dati per monitorare il rispetto delle normative sulla privacy;
2. Incorporare elementi di protezione della privacy nella progettazione delle piattaforme adottando “Privacy by Design” e “Privacy by Default”. Ad esempio, impostando l’opzione più protettiva della privacy come opzione predefinita e fornendo agli utenti opzioni di consenso pertinenti in modo tempestivo;
3. Raccogliere solo i dati personali necessari ;
4. Fornire un’informativa sulla privacy chiara e di facile comprensione ;
5. Migliorare la trasparenza nel trattamento dei dati personali da parte dell’IA : se una piattaforma utilizza l’IA per elaborare dati personali per decisioni automatizzate o per altri scopi nel suo funzionamento, la piattaforma dovrebbe divulgare nella sua informativa sulla privacy le finalità dell’uso dell’IA e le categorie di dati personali coinvolte, nonché fornire una spiegazione chiara su come gli utenti possono esercitare le loro opzioni a tale riguardo;
6. Fornire un’opzione comoda per eliminare gli account ;
7. Utilizzare con cautela i servizi di terze parti (ad esempio i sistemi di pagamento ) : garantire l’affidabilità dei fornitori di servizi terzi negli ambiti della protezione della privacy e della sicurezza dei dati;
8. Fornire un controllo utente sufficiente , comprese le preferenze per la ricezione di vari messaggi, l’eliminazione dei record utente, ecc.; e
9. Fornire un’opzione per l’utilizzo dei dati personali nel marketing diretto : ottenere il consenso degli utenti. Si dovrebbe evitare di configurare l’impostazione predefinita come “concordato”. Si dovrebbero anche evitare i consensi raggruppati degli utenti.

Il PCPD fornisce inoltre i seguenti suggerimenti agli utenti delle piattaforme di viaggio online:

• Leggi l’informativa sulla privacy ;
• Regola le impostazioni sulla privacy ;
• Prestare attenzione alle impostazioni di marketing diretto e fare scelte corrispondenti in base alle esigenze personali;
• Fornire la quantità minima di dati personali ;
• Prestare attenzione all’uso dell’intelligenza artificiale , comprendere se la piattaforma utilizza l’intelligenza artificiale per elaborare dati personali per decisioni automatizzate o per altri scopi e comprendere le opzioni disponibili per gli utenti a questo proposito; e
• Eliminare gli account che non si utilizzano più per ridurre il rischio di fuga di dati.

Inoltre, il PCPD ha notato che di recente ci sono truffatori che si spacciano per operatori di piattaforme di viaggio online e creano pagine fasulle sulle piattaforme dei social media per perpetrare frodi. Il PCPD esorta i membri del pubblico a verificare l’ autenticità dei siti Web e delle pagine dei social media prima di acquistare prodotti di viaggio online. Dovrebbero rimanere vigili sui nomi di pagamento e sui numeri di conto bancario dei commercianti e dovrebbero acquistare prodotti di viaggio solo tramite canali ufficiali per evitare di essere imbrogliati.

https://www.pcpd.org.hk/english/news_events/media_statements/press_20241118.html