In questi mesi si è sentito parlare molto delle novità introdotte dal GDPR che ha modificato la tutela della privacy e il trattamento dei dati regolamentati fino al 25 maggio 2018 dal D.lgs. 196/2003.
Pur rimanendo invariate alcune norme previste dal D.lgs. 196/2003 il GDPR ha introdotto alcune novità assolute che gli enti pubblici, i professionisti e le attività commerciali – tra cui hotel e strutture ricettive – non possono ignorare se non vogliono incorrere nelle sanzioni previste.
Non ci concentreremo sulle novità, ma ci soffermeremo su cosa cambia in concreto per gli albergatori e gli adempimenti – minimi – che sono tenuti ad adottare per adeguarsi al Regolamento UE 697/2016.
Una premessa importante: a seconda del tipo di dati che vengono raccolti e della loro quantità cambiano gli interventi da adottare e le tecnologie da utilizzare. Più tecnologie e informazioni vengono utilizzate e raccolte, più complessa sarà la loro gestione.
Spetta quindi ad ogni hotel o struttura ricettiva, sulla base dell’attività effettivamente svolta, valutare quali tecnologie e adempimenti adottare.
Quali sono i nuovi adempimenti GDPR per gli hotel?
Ma veniamo al dunque, ecco di seguito quattro adempimenti minimi da adottare:
1. Il cliente deve avere la possibilità di esprimere il suo consenso
In altre parole, ogni cliente che invia o compila il modulo dei dati personali deve avere la possibilità di dare esplicitamente il suo consenso su come le informazioni inserite verranno trattate.
Deve quindi capire come verranno raccolti e usati i suoi dati e dare il suo consenso consapevolmente e in modo attivo (ad es. se è prevista l’iscrizione alla newsletter dell’hotel il cliente deve avere la possibilità di scegliere di spuntare la relativa casella e non di trovarla o già selezionata o nemmeno prevista).
A tal fine il GDPR ha anche introdotto il cd. Diritto all’oblio con il quale il cliente ha il diritto di chiedere e ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano. In questi casi il titolare del trattamento ha l’obbligo di cancellare i dati personali, sempre che i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.
2. Uso dei cookie e relativa autorizzazione
Il cliente deve essere informato del fatto che la struttura ricettiva di riferimento utilizza dei cookie che raccolgono dati in forma personale (e-mail, numeri di telefono, etc.) e non anonima.
E’ consigliato pertanto, se non è già stato previsto, di inserire nel proprio sito la relativa barra.
3. Informativa dettagliata sulla privacy
Un altro fondamentale adempimento per un hotel o struttura ricettiva è quello di inserire sul proprio sito web una dettagliata informativa sulla privacy nella quale deve essere indicato quali dati vengono raccolti, il motivo e il modo in cui vengono trattati.
Nel documento devono essere inserite tutte le informazioni che il cliente invia spontaneamente, quelle che vengono memorizzate dai cookie e quelle che vengono raccolte mediante l’uso di altre tecnologie.
Con il documento è vietato raccogliere o utilizzare i dati personali che rivelino l’origine etnica o razziale, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale del cliente/utente. Allo stesso modo è vietato trattare qualsiasi dato inteso a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale del cliente.
L’informativa sulla privacy deve anche indicare il periodo di conservazione dei dati e i criteri in base ai quali è stato stabilito questo lasso di tempo.
Infine, deve essere anche specificato che i dati inutilizzati verranno cancellati dopo un determinato periodo di tempo e, qualora non vengano cancellati, bisogna spiegare i motivi per i quali si conservano dette informazioni.
4. Identificare il data controller e il data processor
Al cliente deve essere chiaro chi è il soggetto titolare dei dati raccolti (data controller) e quale è invece il soggetto responsabile del trattamento dei dati (data processor).
Nel caso di hotel o strutture ricettive può essere necessaria anche l’individuazione del DPO (data protection officer) inteso quale soggetto responsabile della protezione dei dati.
Non necessariamente deve essere interno, può anche essere un professionista esterno, un ufficio o un’associazione. Ciò che è fondamentale è che il DPO conosca il settore e il modo in cui opera il titolare del trattamento dei dati e che abbia adeguate competenze informatiche specifiche sulla normativa europea per la protezione e la sicurezza dei dati.
Gli accorgimenti da adottare sopra indicati sono sufficienti per evitare di incorrere in eventuali sanzioni, tuttavia è sempre consigliato richiedere una specifica consulenza ad un professionista specializzato in privacy.
La consulenza specializzata è fondamentale anche per cercare di ridurre al minimo il cd. cyber risk, ovvero il rischio di subire un “data breach”(violazione dei dati) da parte di hacker informatici.
Di questo però ci occuperemo nel prossimo articolo.
E la vostra attività rispetta i parametri minimi previsti dal Regolamento UE 2016/679? Ecco un link ove poter compilare un questionario di autovalutazione: