Come l’albergatore deve trattare i dati personali dei clienti

Come l'albergatore deve trattare i dati personali dei clienti

Quando si affronta l’argomento privacy in riferimento alle strutture alberghiere, ci si rende conto che i profili di interesse sono molteplici, ciascuno dei quali meriterebbe un approfondimento.

Il responsabile di una struttura ricettiva, infatti, si trova a dover trattare i dati personali dei propri clienti sia per motivi contrattuali legati alla prenotazione e alla permanenza nella struttura, sia per finalità di sicurezza. Rispetto a questo secondo aspetto ci riferiamo, in particolare, all’obbligo di trasmettere i dati alla Polizia di Stato ma anche, ad esempio, alla gestione dei filmati di un eventuale sistema di video sorveglianza installato nell’hotel.

I dati raccolti al momento della prenotazione o del check-in in hotel

In merito alla raccolta dei dati con la finalità di gestire la prenotazione o per effettuare il check-in, in base alla normativa ad oggi vigente, non sussistono disposizioni specifiche per gli hotel o le strutture ricettive, sia che i dati siano forniti per effettuare una prenotazione online sia che siano conferiti al momento dell’arrivo in hotel. L’albergatore, pertanto, dovrà semplicemente premurarsi di fornire al proprio cliente una informativa conforme al disposto Regolamento 2016/679 ossia contenente le seguenti indicazioni:

  • le finalità per cui vengono trattati i dati e le modalità del trattamento;
  • se il conferimento dei dati richiesti è obbligatorio o facoltativo e le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che potrebbero accedervi in qualità di responsabili o incaricati;
  • le modalità di esercizio dei diritti di cui all’art. 7 da parte dell’interessato ossia, a titolo esemplificativo, il diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, di opporsi al trattamento, di richiederne la cancellazione;
  • gli estremi identificativo del titolare e del responsabile del trattamento.

Fornita la corretta informativa, l’albergatore dovrà raccogliere il consenso espresso e libero da parte del cliente. Ciò, però, solo se i dati siano raccolti e trattati per finalità ulteriori rispetto alla comunicazione delle generalità delle persone alloggiate alle Questure competenti o qualora siano accolti dati ulteriori e non necessari al suddetto adempimento.

Una particolare attenzione dovrà essere prestata qualora l’albergatore abbia interesse a trattare i dati (email, numero di telefono, indirizzo di residenza) per finalità di marketing, ossia nel caso in cui voglia, in un momento successivo, inviare al cliente comunicazioni commerciali in merito, ad esempio, a promozioni, iniziative o eventi.

In questo caso, dovrà essere fornita una specifica informativa sull’utilizzo e dovrà essere richiesto un consenso specifico.

Il consenso per questa ulteriore finalità non potrà essere obbligatorio. Inoltre, come ha più volte ribadito il Garante per la protezione dei dati personali, per le finalità di marketing e di promozione commerciale la richiesta di consenso deve essere chiaramente distinta dal resto della scheda normalmente utilizzata per la raccolta dei dati ai fini della fornitura del semplice servizio alberghiero.

La comunicazione delle generalità dei dati dei clienti alla Questura competente

Come già specificato, qualora i dati siano raccolti dall’albergatore per la sola finalità di comunicazione alla Questura per via telematica, non è necessario ottenere il consenso espresso da parte del cliente.

È però necessario che siano rispettate alcune regole:

  • i dati raccolti devono essere utilizzati esclusivamente per la predetta finalità;
  • non devono essere raccolti dati ulteriori rispetto a quelli necessari (ossia nome, cognome, sesso, data e luogo di nascita, cittadinanza, tipo e numero di documento nonché luogo di rilascio, data di arrivo e giorni di permanenza);
  • i dati raccolti in forma cartacea o digitale dovranno essere distrutti dai gestori delle strutture ricettive subito dopo aver ricevuto la conferma dell’avvenuta trasmission

L’utilizzo di apparecchi di videosorveglianza

Anche l’installazione di un sistema di videosorveglianza, in alcuni casi assolutamente necessario per garantire l’incolumità dei clienti di un hotel e per proteggere la proprietà, necessita di importanti precauzioni affinché siano tutelati, oltre alla sicurezza, anche i diritti e le libertà fondamentali degli stessi clienti.

L’argomento è stato oggetto di numerosi provvedimenti del Garante privacy il quale, a seguito dell’ispezione da parte della Guardia di Finanza – Nucleo speciale privacy, presso strutture ricettive anche di prim’ordine, si è trovato a dover sanzionare anomalie e violazioni

La prima precauzione è sempre relativa all’informativa ex art. 13 del Codice: gli interessati devono sempre essere informati che stanno per accedere ad una zona videosorvegliata. Tale informativa può essere resa in forma semplificata seguendo i modelli forniti dallo stesso Garante. Inoltre, dovranno essere adottate idonee misure di sicurezza al fine di ridurre al minimo i rischi, ad esempio, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Tutte le persone autorizzate ad accedere alle postazioni di controllo, a visionare le immagini o ad utilizzare gli impianti, devono essere designate per iscritto dal titolare o dal responsabile quali incaricate del trattamento. Si deve trattare, comunque, di un numero molto limitato di persone.

Qualora si utilizzi un sistema di sorveglianza che preveda la registrazione delle immagini, la durata della conservazione dei dati deve essere proporzionale al tempo necessario a raggiungere la finalità. Il Garante parla di poche ore, al massimo 24, salvo casi particolari per i quali i tempi possono essere allungati fino ad una settimana. La possibilità di conservare per un tempo superiore deve essere sottoposta al vaglio del Garante con apposito ricorso ed è concessa solo in caso di comprovate esigenze.

Da ultimo, gli alberghi sono luoghi di lavoro e, pertanto, si dovrà porre particolare attenzione a posizionare le telecamere in modo tale da non permettere un controllo a distanza dell’attività lavorativa.

Qualora il controllo sia anche solo possibile, si dovrà comunque procedere a siglare un apposito accordo con le rappresentanze sindacali o a richiedere l’autorizzazione all’ispettorato del lavoro.

Responsabilità e sanzioni

La violazione delle disposizioni in materia di privacy da parte degli albergatori, verificate a seguito di espressa segnalazione al Garante o a seguito di un sopralluogo da parte delle autorità di polizia, sono sanzionate con la condanna al pagamento di una somma di denaro commisurata all’entità della violazione, salvo che ciò non costituisca un più grave reato. È fatta salva, ad ogni modo, la possibilità di essere chiamato dal soggetto interessato a rifondere i danni subiti per la violazione della propria privacy.

Digitalizza l’informativa privacy con il modulo di Slope

Il Modulo Privacy di Slope permette di digitalizzare la presa visione e far firmare al cliente l’informativa privacy prevista dal Regolamento GDPR.

Attraverso il modulo privacy la registrazione dell’ospite diventa ancora più semplice e veloce, il cliente potrà prendere visione dell’informativa privacy dell’hotel attraverso un qualsiasi dispositivo con schermo touch messo a disposizione dalla struttura (non è richiesto l’acquisto di hardware specifici).

La firma e la presa visione della relativa informativa verrà sincronizzata all’interno della scheda cliente presente nella sezione CRM gestionale Slope.

L’importanza di geolocalizzare l’hotel su Google

Come geolocalizzare hotel su google

Capita spesso di sentire parlare di geo-localizzazione, ossia la possibilità di inserire le coordinate geografiche di una determinata struttura in un alcuni strumenti come Google Maps. Molti non sanno che geolocalizzare la propria struttura alberghiera è importante per accrescere ulteriormente la qualità del servizio offerto.

Abc della geolocalizzazione

Quando un cliente effettua una ricerca su Google, si trova automaticamente di fronte a risultati geolocalizzati rispetto alla propria posizione, ad esempio se si troverà a Perugia e digiterà nel motore di ricerca la parola “Hotel” usciranno risultati con nome di strutture a Perugia nelle immediate vicinanze.
Tale fenomeno si è amplificato negli anni con la possibilità di geolocalizzarsi attraverso lo smartphone, ne è l’esempio lampante il social network Foursquare che permette agli utenti di condividere la propria posizione, favorendo l’interazione attraverso recensioni e voti.
Discorso simile può essere fatto per Facebook; un utente può pubblicare foto, aggiornamenti di stato e registrarsi presso un determinato luogo, esprimendo pareri e condividendo foto con gli altri utenti.

Come inserire il proprio hotel su Google Maps

Al fine di inserire la scheda della propria attività su Google Maps, è necessario utilizzare lo strumento gratuito Google My Business che consentirà di registrare la posizione con il localizzatore, aggiungere informazioni come prezzi e giorni di apertura, e di modificarli in futuro.
La procedura di inserimento di una struttura ricettiva in Google Maps consiste in tre fasi distinte:

  1. Aggiunta delle informazioni di base. Recarsi all’indirizzo https://www.google.it/intl/it/business/, autenticarsi con il proprio account Google e cliccare sull’icona “+” in basso a destra, quindi “Aggiungi una sede”. Qui si dovranno inserire le informazioni principali come il nome, l’indirizzo, l’URL del sito web, eccetera. Nella sezione “Categoria” va trovata quella che meglio identifica la propria struttura ricettiva. Proseguendo negli step successivi, si dovrà geolocalizzare con precisione la tua struttura su Google Maps.
  2. Verifica dell’attività. Google ha bisogno di verificare che l’attività esista davvero, e che sia effettivamente aperta e in funzione. Dovrai quindi necessariamente utilizzare uno dei metodi di verifica suggeriti. Questo passaggio è necessario affinché i tuoi clienti vedano la scheda della tua struttura ricettiva su Google Maps; senza verifica, la scheda non va online. I metodi di verifica potrebbero differire da caso a caso, ma probabilmente se l’attività non era mai stata registrata o segnalata prima, l’unico disponibile sarà l’invio di una cartolina con un codice di verifica presso l’indirizzo indicato nella fase precedente. Il tempo di attesa richiederà dai sette ai dodici giorni.
  3. Inserimento delle informazioni aggiuntive. Questa fase è opzionale ma caldamente consigliata. Possiamo ora inserire informazioni aggiuntive e più dettagliate, come i giorni di apertura straordinari, oppure il logo e le foto dell’attività. Possiamo anche nominare altri gestori o titolari della scheda, se desideriamo che le informazioni della scheda su Google Maps vengano amministrate da collaboratori di fiducia. Se il metodo di verifica scelto nello step precedente è l’invio della cartolina, che richiederà alcuni giorni, quanto illustrato in questa terza ed ultima fase può avere luogo lo stesso. Ricorda che i clienti vedranno le informazioni inserite solo dopo che la fase di verifica è stata completata con successo.

Una volta ultimate le varie fasi sarai in grado di mostrare informazioni molto utili ai tuoi clienti relativamente al collocamento geografico della struttura e tanto altro ancora. Dalla scheda di Google Maps i visitatori possono raggiungere le informazioni di contatto e il sito web della tua struttura ricettiva con la massima facilità. Saranno inoltre in grado di lasciare recensioni, a cui l’amministratore della scheda di Google Maps potrà eventualmente anche rispondere. Una scheda di Google Maps curata e con informazioni corrette è quindi molto importante anche ai fini dell’immagine.

La geolocalizzazione come strumento di Web Marketing

La geolocalizzazione si dimostra quindi un potenziale strumento di web marketing.
A confermarlo è un report di Revinate, dove si dimostra come le prenotazioni da mobile abbiano un boom “last minute”, il viaggiatore tende infatti a prenotare il soggiorno per il giorno stesso e spesso lo effettua da pochi isolati di distanza da dove soggiornerà. Questa pratica è tipica dei Millennials, generazione particolarmente predisposta alla tecnologia, che spesso usufruisce di ulteriori agevolazioni “last minute”. A tal proposito risulta quanto mai utile predisporre delle campagne pubblicitarie geolocalizzate attraverso Google AdWords che devono risultare fruibili esclusivamente dagli utenti mobile.

Cosa deve fare un hotel per sfruttare al massimo la geolocalizzazione?

  • Sito mobile friendly: Testi e immagini devono essere quanto mai chiari e puliti, la prenotazione attraverso il booking engine deve essere semplice ed i bottoni devono essere di dimensioni maggiori rispetto alla desktop version, così da evitare click accidentali che potrebbero causare un drop dell’utente.
  • Curare in ogni dettaglio la scheda dell’attività tramite Google My Business.
  • Inserire la località in ogni contenuto pubblicato sui diversi profili social, così da aumentarne la visibilità e favorirne l’interazione.

Cookie policy: quale informativa utilizzare per il sito internet del tuo hotel

cookie policy hotel

Sono trascorsi già più di due anni da quando, in applicazione del provvedimento del Garante Privacy n. 229 dell’8 maggio 2014, è divenuto obbligatorio per tutti i gestori di siti web fornire agli utenti l’informativa sull’utilizzo dei cookie e acquisire, se necessario, il relativo consenso.

L’argomento è comunque sempre di forte attualità per chiunque si appresti a creare una vetrina online della propria struttura alberghiera e debba destreggiarsi su questioni complesse a cavallo tra il tecnico e il giuridico.
Proviamo, quindi, a capire come utilizzare i cookie nel rispetto della normativa vigente evitando di incorrere in una sanzione da parte del Garante.

Informativa estesa, banner o notifica al Garante? Il primo passo per orientarsi.

Sicuramente il primo passo indispensabile per capire quali siano gli adempimenti obbligatori cui attenersi è comprendere la tipologia di cookie utilizzata dal sito internet. Il Garante ha effettuato una prima distinzione tra cookie di prima parte e cookie di terze parti e tra cookie tecnici e cookie di profilazione.

La distinzione tra cookie di prima parte e di terza parte riguarda la provenienza degli stessi: sono di prima parte, o proprietari, quelli inviati al browser direttamente dal sito che si sta visitando; sono di terza parte quelli inviati al browser da altri siti e non dal sito che si sta visitando.

Sono tecnici i cookie che hanno come finalità quella di contribuire al funzionamento del sito o a permettere di memorizzare informazioni che modificano il comportamento o l’aspetto del sito stesso. Se disattivati, generalmente l’esperienza di navigazione sarà meno funzionale o verrà del tutto compromessa.
Il Garante ha assimilato ai cookie tecnici anche gli analytics che servono a raccogliere informazioni e generare statistiche di utilizzo del sito web per comprendere come i visitatori interagiscono, sempre che siano proprietari o, se di terze parti, sempre che utilizzino una mascheratura dell’indirizzo IP e non incrocino dati. Qualora i cookie analytics di terze parti siano, invece, utilizzati per raccogliere informazioni e generare statistiche di utilizzo del sito web, con possibilità di identificare e tracciare l’utente, allora, come vedremo, non potranno essere applicate le regole meno stringenti valide per i cookie tecnici.

Cookie di profilazione sono, da ultimo, quelli diretti a creare profili relativi all’utente per inviare messaggi pubblicitari mirati ossia in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
Compresa questa prima distinzione, il Garante ha elaborato una utilissima infografica per capire, in base ai cookie utilizzati, quali siano gli adempimenti cui attenersi.

Come si può vedere, solo l’utilizzo di cookie tecnici o assimilati ai tecnici permette al titolare del sito internet di limitarsi a segnalarli nella sola informativa estesa inserendo, ad esempio, un’apposita sezione nella privacy policy del sito. Nel caso in cui, al contrario, siano utilizzati cookie di profilazione o analitici di terze parti senza anonimizzazione, sarà necessario inserire il banner con l’informativa breve e richiedere all’utente il consenso espresso all’istallazione dei cookie.

Cosa deve essere scritto nel banner

Il Garante ha disposto che il banner debba comparire non appena l’utente accede al sito internet e debba essere “di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web“. Quanto ai contenuti, l’informativa breve deve avvertire l’utente che sono utilizzati cookie di profilazione per l’invio di pubblicità mirata e, se del caso, che è consentito l’invio di cookie di terze parti. Il banner, inoltre, deve rimandare all’informativa estesa contenente anche indicazioni sull’uso di cookie tecnici e analytics e informare l’utente sulla possibilità di revocare il consenso prestato. Da ultimo, è indispensabile che l’utente venga informato qualora la prosecuzione nella navigazione comporti la prestazione del consenso all’uso dei cookie.
Un possibile testo per fornire l’informativa breve in caso di utilizzo di cookie di profilazione di terze parti potrebbe essere:

Questo sito utilizza cookie di profilazione di terze parti per inviarti pubblicità in linea con le tue preferenze. A questo link [inserire il link all’informativa estesa] è possibile gestire il consenso già prestato o negare il consenso all’utilizzo di qualsiasi cookie. Proseguendo nella navigazione mediante click al di fuori di questo banner si acconsente all’installazione dei cookie.”

L’informativa estesa

Qualunque tipo di cookie sia utilizzato, questo andrà indicato nell’informativa estesa accessibile da tutte le pagine del sito. A seconda della complessità, si potrà optare tra inserire uno specifico paragrafo all’interno della privacy policy oppure, preferibilmente, redigere un’apposita cookie policy con una pagina dedicata.
Come prescritto dal Garante, l’informativa estesa dovrà contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati, anche tecnici e analitici ed indicare le modalità per modificare le proprie opzioni in merito all’uso degli stessi, anche agendo sulle impostazioni del browser. Inoltre, dovrà contenere i link alle informative estese e ai moduli di consenso delle terze parti autorizzate ad installare cookie tramite il sito poiché, per questo caso, il titolare del sito è considerato quale un intermediario tecnico.
Non è possibile fornire un modello di informativa estesa che possa andare bene per ogni specifico caso in quanto la tipologia dei cookie utilizzati dal sito internet di una struttura alberghiera possono variare notevolmente a seconda delle funzionalità fornite agli utenti.
Si può, ad ogni modo, individuare una “scaletta” delle informazioni che devono essere fornite, oltre ovviamente a quelle espressamente previste dalla normativa vigente per la privacy policy.

Informativa sull’uso dei cookie

La presente Cookie Policy fornisce informazioni dettagliate sull’utilizzo dei cookie e sulle modalità per revocare il consenso prestato all’utilizzo degli stessi, in ottemperanza alle disposizioni in materia di trattamento dei dati personali.

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l’utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.

Quali cookie utilizza questo sito:

• Cookie tecnici
[Inserire la definizione dei cookie e le finalità. Seppure non necessario, possono essere indicati analiticamente i cookie inserendo denominazione, funzione e durata]

• Cookie analitici
[Inserire la definizione dei cookie e le finalità. Indicare se trattasi di cookie di prima parte o di terze parti (in questo secondo caso inserire il link all’informativa estesa presente sul sito web del terzo) e indicare se sono stati applicati strumenti di anonimizzazione. Indicare le modalità per la specifica disattivazione]

• Cookie di profilazione
-[Inserire la definizione dei cookie e le finalità. Se trattasi di cookie di terze parti, insierire il link all’informativa estesa presente sul sito web del terzo. Indicare le specifiche modalità di disattivazione]
-[Inserire l’indicazioni di altri cookie di terze parti utilizzati quali, a mero titolo esemplificativo, cookie di piattaforme social che potrebbero essere veicolati da social button, inserendo sempre i link alle informative estese dei terzi e le indicazioni per la disattivazione]

Disabilitazione dei coookie

I cookie installati possono essere disabilitati e bloccati dall’utente in qualsiasi momento anche visitando il sito http://www.youronlinechoices.com/it/ o modificando le impostazioni del proprio browser, come indicato ai link seguenti: [inserire i link alle guide di disattivazione dei cookie dei più popolari browser].

Cookie Policy e GDPR

(Leggi l’approfondimento sul GDPR)

Se il sito web del tuo hotel utilizza dei cookie occorre ricordarsi che questi contengono dati personali degli utenti e quindi ti obbligano ad avere una Cookie Policy, imponendo il rispetto degli obblighi del GDPR.

Nella cookie policy si deve innanzitutto specificare i cookie presenti nel proprio sito. Per ogni cookie installato nel proprio sito, va creata una voce all’interno della cookie policy in cui va inserito: nome, finalità del cookie e durata.

Tipo di Cookie Finalità Richiesta consenso
Cookie primari o tecnici Cookie di sessione, necessari al funzionamento del sito. No
Cookie secondari o di profilazione Cookie per finalità statistiche e di marketing per cui va richiesto e per cui può essere revocato il consenso.
Cookie di terze parti Tali cookie risultano i più pericolosi per la privacy degli utenti, in quanto vengono impostati da un sito web diverso da quello che si sta attualmente visitando.

cookie di terze parti così come i cookie di profilazione richiedono il rispetto del principio dell’opt-in con tutti i conseguenti obblighi informativi sul consenso che ne derivano.

(Fate attenzione va sempre indicata la modalità con cui si può revocare il consenso).

Questo è un esempio di testo che potrebbe essere inserito nella barra dei cookie:

Questo sito web utilizza cookie tecnici per fornire alcuni servizi. Continuando la navigazione, o cliccando sul pulsante di seguito, acconsenti al loro utilizzo in conformità alla nostra Informativa sulla Privacy e Cookie Policy. Il consenso può essere revocato in qualsiasi momento.

In questo blogpost potete leggere l’articolo completo su tutto ciò che riguarda il GDPR per il sito del vostro hotel.

Conclusioni in merito alla Cookie Policy

Avuto riguardo alla complessità della materia, alle peculiarità di ogni caso concreto e considerando anche l’aggiornamento costante delle disposizioni nazionali e comunitari sul trattamento dei dati personali, si consiglia di rivolgersi ad un professionista esperto del settore che possa redigere una policy completa e specifica e che possa segnalare, nel tempo, eventuali aggiornamenti che si dovessero rendere necessari.

Avv. Giorgio Romeo – GiorgioRomeoBlog.com