Come l’albergatore deve trattare i dati personali dei clienti

Quando si affronta l’argomento privacy in riferimento alle strutture alberghiere, ci si rende conto che i profili di interesse sono molteplici, ciascuno dei quali meriterebbe un approfondimento.

Il responsabile di una struttura ricettiva, infatti, si trova a dover trattare i dati personali dei propri clienti sia per motivi contrattuali legati alla prenotazione e alla permanenza nella struttura, sia per finalità di sicurezza. Rispetto a questo secondo aspetto ci riferiamo, in particolare, all’obbligo di trasmettere i dati alla Polizia di Stato ma anche, ad esempio, alla gestione dei filmati di un eventuale sistema di video sorveglianza installato nell’hotel.

I dati raccolti al momento della prenotazione o del check-in in hotel

In merito alla raccolta dei dati con la finalità di gestire la prenotazione o per effettuare il check-in, in base alla normativa ad oggi vigente, non sussistono disposizioni specifiche per gli hotel o le strutture ricettive, sia che i dati siano forniti per effettuare una prenotazione online sia che siano conferiti al momento dell’arrivo in hotel. L’albergatore, pertanto, dovrà semplicemente premurarsi di fornire al proprio cliente una informativa conforme al disposto Regolamento 2016/679 ossia contenente le seguenti indicazioni:

• le finalità per cui vengono trattati i dati e le modalità del trattamento;
• se il conferimento dei dati richiesti è obbligatorio o facoltativo e le conseguenze di un eventuale rifiuto di rispondere;
• i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che potrebbero accedervi in qualità di responsabili o incaricati;
• le modalità di esercizio dei diritti di cui all’art. 7 da parte dell’interessato ossia, a titolo esemplificativo, il diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, di opporsi al trattamento, di richiederne la cancellazione;
• gli estremi identificativo del titolare e del responsabile del trattamento.

Fornita la corretta informativa, l’albergatore dovrà raccogliere il consenso espresso e libero da parte del cliente. Ciò, però, solo se i dati siano raccolti e trattati per finalità ulteriori rispetto alla comunicazione delle generalità delle persone alloggiate alle Questure competenti o qualora siano accolti dati ulteriori e non necessari al suddetto adempimento.

Una particolare attenzione dovrà essere prestata qualora l’albergatore abbia interesse a trattare i dati (email, numero di telefono, indirizzo di residenza) per finalità di marketing, ossia nel caso in cui voglia, in un momento successivo, inviare al cliente comunicazioni commerciali in merito, ad esempio, a promozioni, iniziative o eventi.

In questo caso, dovrà essere fornita una specifica informativa sull’utilizzo e dovrà essere richiesto un consenso specifico.

Il consenso per questa ulteriore finalità non potrà essere obbligatorio. Inoltre, come ha più volte ribadito il Garante per la protezione dei dati personali, per le finalità di marketing e di promozione commerciale la richiesta di consenso deve essere chiaramente distinta dal resto della scheda normalmente utilizzata per la raccolta dei dati ai fini della fornitura del semplice servizio alberghiero.

La comunicazione delle generalità dei dati dei clienti alla Questura competente

Come già specificato, qualora i dati siano raccolti dall’albergatore per la sola finalità di comunicazione alla Questura per via telematica, non è necessario ottenere il consenso espresso da parte del cliente.

È però necessario che siano rispettate alcune regole:

• i dati raccolti devono essere utilizzati esclusivamente per la predetta finalità;
• non devono essere raccolti dati ulteriori rispetto a quelli necessari (ossia nome, cognome, sesso, data e luogo di nascita, cittadinanza, tipo e numero di documento nonché luogo di rilascio, data di arrivo e giorni di permanenza);
• i dati raccolti in forma cartacea o digitale dovranno essere distrutti dai gestori delle strutture ricettive subito dopo aver ricevuto la conferma dell’avvenuta trasmission

L’utilizzo di apparecchi di videosorveglianza

Anche l’installazione di un sistema di videosorveglianza, in alcuni casi assolutamente necessario per garantire l’incolumità dei clienti di un hotel e per proteggere la proprietà, necessita di importanti precauzioni affinché siano tutelati, oltre alla sicurezza, anche i diritti e le libertà fondamentali degli stessi clienti.

L’argomento è stato oggetto di numerosi provvedimenti del Garante privacy il quale, a seguito dell’ispezione da parte della Guardia di Finanza – Nucleo speciale privacy, presso strutture ricettive anche di prim’ordine, si è trovato a dover sanzionare anomalie e violazioni

La prima precauzione è sempre relativa all’informativa ex art. 13 del Codice: gli interessati devono sempre essere informati che stanno per accedere ad una zona videosorvegliata. Tale informativa può essere resa in forma semplificata seguendo i modelli forniti dallo stesso Garante. Inoltre, dovranno essere adottate idonee misure di sicurezza al fine di ridurre al minimo i rischi, ad esempio, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Tutte le persone autorizzate ad accedere alle postazioni di controllo, a visionare le immagini o ad utilizzare gli impianti, devono essere designate per iscritto dal titolare o dal responsabile quali incaricate del trattamento. Si deve trattare, comunque, di un numero molto limitato di persone.

Qualora si utilizzi un sistema di sorveglianza che preveda la registrazione delle immagini, la durata della conservazione dei dati deve essere proporzionale al tempo necessario a raggiungere la finalità. Il Garante parla di poche ore, al massimo 24, salvo casi particolari per i quali i tempi possono essere allungati fino ad una settimana. La possibilità di conservare per un tempo superiore deve essere sottoposta al vaglio del Garante con apposito ricorso ed è concessa solo in caso di comprovate esigenze.

Da ultimo, gli alberghi sono luoghi di lavoro e, pertanto, si dovrà porre particolare attenzione a posizionare le telecamere in modo tale da non permettere un controllo a distanza dell’attività lavorativa.

Qualora il controllo sia anche solo possibile, si dovrà comunque procedere a siglare un apposito accordo con le rappresentanze sindacali o a richiedere l’autorizzazione all’ispettorato del lavoro.

Responsabilità e sanzioni

La violazione delle disposizioni in materia di privacy da parte degli albergatori, verificate a seguito di espressa segnalazione al Garante o a seguito di un sopralluogo da parte delle autorità di polizia, sono sanzionate con la condanna al pagamento di una somma di denaro commisurata all’entità della violazione, salvo che ciò non costituisca un più grave reato. È fatta salva, ad ogni modo, la possibilità di essere chiamato dal soggetto interessato a rifondere i danni subiti per la violazione della propria privacy.

Digitalizza l’informativa privacy con il modulo di Slope

Il Modulo Privacy di Slope permette di digitalizzare la presa visione e far firmare al cliente l’informativa privacy prevista dal Regolamento GDPR.

Attraverso il modulo privacy la registrazione dell’ospite diventa ancora più semplice e veloce, il cliente potrà prendere visione dell’informativa privacy dell’hotel attraverso un qualsiasi dispositivo con schermo touch messo a disposizione dalla struttura (non è richiesto l’acquisto di hardware specifici).

La firma e la presa visione della relativa informativa verrà sincronizzata all’interno della scheda cliente presente nella sezione CRM gestionale Slope.