Emirates multata dal Garante Privacy: 180mila euro per i dati sanitari dei passeggeri

Il Garante per la protezione dei dati personali ha inflitto a Emirates una sanzione da 180.000 euro per violazioni nella gestione dei dati sanitari dei passeggeri con disabilità o mobilità ridotta. Il provvedimento è scaturito dal reclamo di una passeggera.

Secondo quanto riportato dal Garante Privacy, la viaggiatrice aveva segnalato che Emirates subordinava l'erogazione dell'assistenza alla compilazione del modulo Medif (Medical Information for Fitness to Travel or Medical Assistance) — un documento che raccoglie informazioni sullo stato di salute del passeggero, sui dati del medico curante e sugli eventuali accompagnatori — pur non rientrando tra le categorie di passeggeri tenute a fornire quella documentazione. L'informativa sul trattamento dei dati raccolti tramite il modulo è stata giudicata, inoltre, del tutto inadeguata.

Nel corso dell'istruttoria, alla quale ha partecipato anche l'Ente nazionale per l'aviazione civile (Enac), il Garante ha riconosciuto come legittimo il trattamento in sé dei dati sanitari, in quanto necessario a garantire la sicurezza del trasporto e l'assistenza ai passeggeri con disabilità o mobilità ridotta: la normativa di settore consente alle compagnie aeree di raccogliere queste informazioni anche senza un consenso esplicito, proprio perché in certi casi le condizioni cliniche del viaggiatore sono indispensabili per organizzare il volo in sicurezza.

Ciononostante, sono emerse due violazioni distinte. La prima riguarda la trasparenza: Emirates non forniva agli interessati un'informativa sufficientemente chiara e completa, né attraverso il proprio sito web né tramite il personale addetto all'assistenza in aeroporto. La seconda riguarda i tempi di conservazione dei dati: la compagnia tratteneva le informazioni sanitarie raccolte con il Medif per sette anni, un periodo che l'Autorità ha giudicato eccessivo e sproporzionato rispetto alla finalità del trattamento, limitata all'organizzazione e al corretto svolgimento del singolo viaggio. Emirates aveva giustificato quella durata con la necessità di tutelarsi in eventuali contenziosi legali e di rispettare gli obblighi normativi degli Emirati Arabi Uniti, ma il Garante ha respinto l'argomentazione, rilevando che il rischio di liti a distanza di anni dal viaggio è del tutto astratto e di scarsa probabilità.

Oltre alla sanzione pecuniaria, il Garante ha impartito alla compagnia una serie di ordini correttivi: aggiornare l'informativa privacy specificando con esattezza quali categorie di passeggeri siano tenute a compilare il modulo Medif e quali sezioni siano effettivamente obbligatorie, definire tempi di conservazione coerenti con le finalità del trattamento e procedere alla cancellazione dei dati conservati oltre il limite ritenuto congruo. La compagnia ha 30 giorni dalla notifica del provvedimento per adeguarsi.