GDPR: cosa cambia per gli hotel e le strutture ricettive (seconda parte)

GDPR: cosa fare se gestisci un hotel o una struttura ricettiva

Cosa cambia per un hotel o un qualsiasi tipo di struttura ricettiva con il GDPR 2018? Ecco 4 cose da fare subito per adeguarti al nuovo regolamento ed evitare sanzioni. Gli interventi da adottare cambiano a seconda del tipo e della quantità di dati che raccogli. Per farti un esempio: non tutte le strutture ricettive hanno un sistema di videosorveglianza. Più informazioni e tecnologie utilizzi, più sarà complessa la loro gestione.

 

  1. Dai al cliente il modo di esprimere il suo consenso

Ogni cliente che ti invia i dati personali deve avere la possibilità di darti il consenso esplicitamente, deve capire come verranno usati i suoi dati ed essere attivo nel darti il consenso. Ad esempio, nel caso del form di iscrizione alla newsletter della tua struttura ricettiva deve poter spuntare la casella appositamente, non trovarla già selezionata. È una tua responsabilità utilizzare un linguaggio chiaro e comprensibile a tutti.

 

  1. Richiedi l’autorizzazione all’uso dei cookie

Informa l’utente che utilizzi cookie che raccolgono dati non in forma anonima ma personale (come le e-mail, i numeri di telefono, etc.) Probabilmente sul tuo sito già compare la barra sui cookie. In caso contrario, inseriscila.

 

  1. Scrivi un’informativa dettagliata sulla privacy

Sul tuo sito deve essere presente un’informativa dettagliata sulla privacy. Spiega bene nel documento quali dati raccogli, perché e come. Includi tutte queste informazioni: quelle che l’utente invia spontaneamente, quelle memorizzate dai cookie e quelle raccolte da altre tecnologie utilizzate. Devi indicare il periodo di conservazione dei dati e i criteri in base ai quali hai stabilito questo periodo di tempo.

 

  1. Identifica il data controller e il data processor

Per ogni dato raccolto deve essere chiaro chi è il data controller e il data processor. Per quanto riguarda il DPO (Data Protection Officer) non deve essere necessariamente interno (come per enti pubblici, attività che trattano dati giudiziari o operano su larga scala). Nel caso degli hotel e delle strutture ricettive, può essere una professionista esterno, un’associazione, un ufficio. Il DPO deve avere competenze informatiche, sulla sicurezza e la normativa europea per la protezione dei dati. Inoltre deve conoscere il settore e il modo in cui opera il titolare del trattamento.

 

Infine, un suggerimento. Se gestisci una piccola struttura ricettiva, questi 4 semplici accorgimenti dovrebbero bastare a proteggerti da eventuali sanzioni. Ma se hai un hotel o sei un property manager con decine di case vacanza, richiedi una consulenza a un professionista specializzato in privacy.

 

Dal 25 maggio la comunicazione di aziende e professionisti in Italia e in Europa cambierà totalmente con l’entrata in vigore del GDPR – General Data Protection Regulation, cioè l’aggiornamento della normativa sulla Privacy che prevede multe salate per chi non la rispetterà.

 

Il cambiamento riguarda sia le aziende sia i professionisti che si promuovono online, ma anche il consumatore finale che lascia i propri dati per ricevere un servizio.

 

Premetto di non essere un “tecnico” tanto meno un legale e non è mia intenzione dispensare consigli, visto che la normativa per certi aspetti è ancora poco chiara. Tuttavia, di seguito ho raccolto alcune informazioni sul Regolamento che credo aiutino a chiarire cos’è e come muovere i primi passi per mettersi in regola.

 

 COS’È LA GDPR E CHI RIGUARDA

Il Regolamento Privacy Europeo è un aggiornamento dell’attuale vigente decreto legislativo 196/2003 “Il Codice Privacy”, redatto prima dell’avvento di Internet e quindi obsoleto.

 

Riguarda i dati sensibili delle persone come nome, cognome, età, sesso ma anche email, numero di telefono e simili, che in ambito digitale hanno un valore altissimo, in quanto considerati “moneta di scambio” per accedere a prodotti e servizi.

Il Regolamento si integra con la norma Cookie law introdotta alcuni anni fa.

 

Il GDPR riguarda le persone fisiche e non le aziende, ma non c’è distinzione tra B2B e B2C. Nel momento in cui la nostra attività richiede di raccogliere una o più di queste informazioni ne diventiamo titolari e quindi responsabili.

 

GDPR PRINCIPI FONDAMENTALI INTRODOTTI

privacy by design, cioè il sistema di trattamento dei dati deve essere concepito sia a livello strutturale sia a livello concettuale alla base (by default) del progetto che si vuole mettere online. Dovrà quindi essere strutturato per prevenire e non per correggere eventuali falle nella riservatezza e protezione dei dati, potendo adottare liberamente le misure tecnologiche per farlo.

accountability, indica che l’intera responsabilità del dato ricade su chi lo richiede che pertanto dovrà progettare il sistema di trattamento in modo da garantire la conservazione dei dati, evitandone perdite, furti e altro.

 

GDPR FIGURE PRINCIPALI INTRODOTTE:

titolare del dato, colui che richiede i dati

DPO – Data Protection Officer, colui che sovraintende il trattamento nel rispetto delle normative

incaricato, colui o coloro che “metteranno le mani” sul database.

 

TRATTAMENTO DEL CONSENSO

Rispetto ad oggi, quando andiamo a chiedere questi dati concernenti la privacy delle persone tramite form online, dobbiamo fornire:

  • consenso informato
  • specifico
  • libero
  • revocabile
  • documentato per iscritto.
  • Vediamo uno alla volta questi aspetti.

 

La richiesta del consenso è obbligatoria per poter trattare i dati e deve essere espressa, dichiarata e non sottintesa. Quindi non solo andranno chiariti gli scopi della raccolta, consenso informato appunto, ma non saranno validi check box già spuntati nel caso in cui ci fossero più finalità.

In effetti, il consenso deve essere anche specifico, cioè non allargato ad altri consensi ma presentare una finalità alla volta.

 

Specifico che l’invio di DEM, quindi di comunicazione di marketing diretto è già legiferata dalle norme antispam per cui non è possibile inviare messaggi pubblicitari a chi non ne ha fatto richiesta.

 

Il consenso deve essere revocabile quindi l’iscritto non solo deve essere in grado di potersi cancellare ma, addirittura, di poter cancellare i propri dati in modo definitivo ricorrendo al diritto all’oblio in presenza di motivazioni “forti”. Anche se per motivi di legge, ad esempio amministrativi, sarà possibile continuare a gestire il dato fino all’estinzione dell’obbligo che ne vietava la cancellazione.

 

Il GDPR prevede che l’utente possa procedere alla consultazione e/o alla cancellazione del dato. Non è previsto però un obbligo di accesso diretto a queste informazioni. Tuttavia, il titolare non dovrà disattendere la richiesta dell’interessato e quindi dovrà munirsi di strumenti atti ad accoglierla.

 

Il consenso deve essere documentato, cioè il titolare deve essere in grado di provare che ha raccolto il consenso attraverso la tecnologia quindi, ove possibile, fornendo tramite un supporto digitale la chiamata al server con il consenso. In ogni caso, deve essere fornito in una forma leggibile e organizzata.

 

CHI È ESONERATO DAL CHIEDERE IL CONSENSO

Sono esonerati da queste procedure i titolari che trattano i dati ai fini del “legittimo interesse“. Ad esempio, per il normale svolgimento di attività di lavoro per cui devo comunicare con dipendenti, clienti e fornitori o nel caso in cui si debba emettere fatturazione o stipulare un contratto. In questo caso, i titolari sono esonerati dalla richiesta del consenso esplicito.

Ovviamente le comunicazioni commerciali, anche se saltuarie, non rientrano mai nel legittimo interesse. Di conseguenza è necessario ottenere il consenso per inviarle.

 

DIRITTI DEL TITOLARE

La modifica alla Privacy prevede il diritto di portabilità quindi se cambiamo piattaforma siamo autorizzati a trasferire i dati da un gestore a un altro e continuarne l’uso.

 

Il GDPR consente, ad esempio alle aziende, di assegnare il ruolo del responsabile (DPO – Data Protection Officer) anche a una persona fisica o giuridica. La scelta non è vincolante e può ricadere anche su un individuo esterno all’azienda.

 

ONERI IN BREVE

in tutti i casi di raccolta dati va chiesto il consenso, il consenso va documentato indipendentemente dai fini del trattamento dei dati, non vanno bene caselle precompilate, non vanno bene consensi poco chiari, non si devono chiedere più dati del necessario.

Tra i vari oneri, rientra il dovere di dichiarare eventuali fughe di dati. La notifica va fatta entro le 72 ore dalla violazione del database.

 

 DA DOVE PARTIRE

Un buon punto per iniziare a mettersi in regola con il GDPR è rediggere il documento di attestato di rischio del proprio sistema. Il Risk Assessment dovrà definire che tipo di dati trattiamo, per quanto tempo, con quale finalità, con quali mezzi (elettronici o cartacei) e altro. In base a quanto raccolto, si stabiliscono le misure di sicurezza da adottare.

 

LINEE GUIDA DEL GDPR PER ESSERE COMPLIANT

Posso dimostrare di essere in grado di gestire la privacy in modo adeguato utilizzando i dati anonimi e tramite la criptografia del database con la possibilità di risalire al dato, in modo da non essere soggetto a eventuali fughe di dati o furti. Inoltre, l’uso della criptografia eviterebbe l’obbligo di notifica di violazione.

 

Un altro modo è tenere il Registro delle attività del trattamento, obbligatorio per realtà aziendali superiori ai duecentocinquanta dipendenti e gli enti pubblici, ma anche per professionisti e PMI che trattano i dati in modo continuativo.

 

Ovvero, se conservi i dati dei tuoi clienti per analisi statistiche e/o per fatturare, sei tenuto ad avere un Registro del Trattamento, cioè un giornale fisico o virtuale dove annotare il tipo di dati raccolti, le finalità e, se comunicati a terzi parti, la loro destinazione.

 

 

 

GDPR SE SEI UN BLOGGER

Se fai blogging e tramite il tuo blog o sito fai raccolta di email per la newsletter il regolamento prevede che tu rispetti le stesse norme delle aziende anche se probabilmente non avrai bisogno di eleggere un DPO, che è facoltativo, né di iscriverti al registro del trattamento. Ma dovrai fornire la possibilità alle persone di accedere ai dati e cancellarsi secondo i punti descritti nel Trattamento del consenso.

 

GDPR SE SEI UN’AGENZIA WEB

Nel caso di una web agency o professionista che gestisce il sito di un cliente, l’ente esterno è quello che tratta i dati. Quindi anche in questo caso il cliente resta il titolare del trattamento ma dovrà formalizzare tramite un contratto la modalità del trattamento dei dati. Il contratto di fornitura incarica il responsabile esterno, cioè l’agenzia web, del trattamento delimitando i confini di responsabilità e/o inserendo delle manleve.

 

CONCLUSIONI

In generale, credo che la GDPR sarà un’occasione per fare pulizia dei database e per rendere più chiari i messaggi sulle finalità del trattamento dei dati. Immagino che ulteriori chiarimenti sulla corretta gestione e le responsabilità dei diversi ruoli arriveranno nelle prossime settimane.

 

Tuttavia, molte piattaforme di email marketing hanno già iniziato a rilasciare il “pacchetto GDPR“, utile per mettersi in regola in tempo, come ad esempio MailChimp una delle prime a dare indicazioni precise su cosa fare.

 

E’ chiaro che per ottenere la fiducia e le preziose informazioni dai consumatori, le aziende e i professionisti devono mostrarsi generosi e disponibili. Offrire supporto, risposte in tempo reale e un’esperienza piacevole. Ed in questo rientra anche la possibilità di conoscere, modificare e cancellare i dati in modo agevole da parte degli utenti.

 

Ho parlato di come recuperare il consenso di parte dei nostri contatti in questo articolo mentre in questo video spiego come ripulire quelli non più attivi nel caso in cui usi MailChimp come piattaforma di email marketing.