Hotel e GDPR, un binomio che negli ultimi giorni ha visto confrontarsi parecchi albergatori su quali norme adottare nei propri hotel.
Nelle prossime righe, cercheremo di spiegarvi quali sono le accortezze per rendere conforme il sito web del tuo hotel al GDPR.
Il GDPR ha portato con sé numerose novità, tra le quali spicca una modifica a dir poco radicale dell’approccio che il soggetto deve avere nei confronti del trattamento dei dati, rafforzando le norme sulla privacy e proteggendo i dati personali elaborati dalle persone.
Come vi abbiamo già raccontato in questo articolo, si rivolge a tutti coloro che trattano dati personali sia su supporto cartaceo, sia su supporto informatico. Per questo motivo, il settore alberghiero ci rientra pienamente.
Questo articolo intende illustrare alcuni principi base per ciò che concerne il GDPR.
Per essere pienamente conformi al GDPR si consiglia di rivolgersi alla consulenza specifica e dedicata di un legale.
Il 90% dei siti web non è conforme al GDPR.
L’abc del GDPR per il sito web
Tre sono le domande cardine che abbiamo identificato per iniziare a verificare la conformità del sito web del tuo hotel.
1) Hai aggiornato la Privacy Policy?
La Privacy Policy deve indicare il modo in cui il tuo sito web raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti.
2) Come gestisci il consenso per l’utilizzo dei Cookie? E la Cookie Policy?
I cookie, ed in maniera particolare, il banner per il consenso dei cookie devono rispettare i nuovi requisiti voluti dal nuovo Regolamento Europeo. A tal proposito ricordati di aggiornare la Cookie Policy.
3) Come gestisci e memorizzi i dati sensibili?
Nella Privacy Policy occhio a spiegare attentamente per quanto tempo verranno conservati tali dati e secondo quali criteri, prestando particolare cautela se verranno inviati verso Paesi terzi.
Ricordatevi inoltre che Privacy Policy e Cookie Policy devono essere accessibili da qualsiasi parte del sito .
Form di contatto
L’esempio classico di una prenotazione, per quei clienti che non utilizzano un booking engine, può avvenire attraverso un form di contatto, dove i visitatori del sito web possono richiedere informazioni circa la disponibilità delle camere ed i relativi prezzi.
Tale form deve contenere una checkbox in cui viene richiesto l’esplicito consenso al trattamento dei dati. Tale checkbox deve essere de-selezionata di default e deve rimandare alla privacy policy del proprio sito.
Ovviamente nella privacy policy del sito va specificata la finalità per cui si raccolgono queste informazioni, specificando che verranno consultate solamente dal personale dell’hotel e non verranno trattate da terze parti.
Ricordatevi che la checkbox è obbligatoria nel form di contatto, in quanto il consenso deve essere esplicito.
Questo è un testo di esempio che potrebbe essere mostrato di fianco alla checkbox:
Dichiaro di aver letto ed accettato l’informativa sulla privacy ai sensi del Regolamento (UE) 2016/679 per il trattamento dei dati personali.
Una particolare accortezza va prestata nel caso in cui si utilizzi il modulo reCaptcha, dove va prestato un ulteriore consenso alla proprietà di Google.
Esempio di un form di contatto con e senza checkbox. |
Privacy Policy
La Privacy Policy in formato esteso deve andare a spiegare in maniera dettagliata e chiara quali informazioni e dati vengono raccolti dagli utenti che visitano il sito: dati inviati liberamente dagli utenti per cui si presta il consenso, dati raccolti dai cookie e dati raccolti con ogni altro strumento. Va nominato e specificato un titolare per il trattamento dei dati — può essere inserito all’inizio del documento — mentre per ognuno dei servizi utilizzati nel sito web che interagiscono con l’utente va specificata la finalità d’uso, il proprietario del servizio e il luogo del trattamento dei dati.
Qualora tu non voglia affidarti alla consulenza di un legale per redigere la Privacy Policy, esistono siti web che permettono di generare una Privacy Policy su misura.
Cookie Policy
Se il sito web del tuo hotel utilizza dei cookie occorre ricordarsi che questi contengono dati personali degli utenti e quindi ti obbligano ad avere una Cookie Policy, imponendo il rispetto degli obblighi del GDPR.
Nella cookie policy si deve innanzitutto specificare i cookie presenti nel proprio sito. Per ogni cookie installato nel proprio sito, va creata una voce all’interno della cookie policy in cui va inserito: nome, finalità del cookie e durata.
Tipo di Cookie | Finalità | Richiesta consenso |
---|---|---|
Cookie primari o tecnici | Cookie di sessione, necessari al funzionamento del sito. | No |
Cookie secondari o di profilazione | Cookie per finalità statistiche e di marketing per cui va richiesto e per cui può essere revocato il consenso. | Sì |
Cookie di terze parti | Tali cookie risultano i più pericolosi per la privacy degli utenti, in quanto vengono impostati da un sito web diverso da quello che si sta attualmente visitando. | Sì |
I cookie di terze parti così come i cookie di profilazione richiedono il rispetto del principio dell’opt-in con tutti i conseguenti obblighi informativi sul consenso che ne derivano.
(Fate attenzione va sempre indicata la modalità con cui si può revocare il consenso).
Questo è un esempio di testo che potrebbe essere inserito nella barra dei cookie:
Questo sito web utilizza cookie tecnici per fornire alcuni servizi. Continuando la navigazione, o cliccando sul pulsante di seguito, acconsenti al loro utilizzo in conformità alla nostra Informativa sulla Privacy e Cookie Policy. Il consenso può essere revocato in qualsiasi momento [link all’informativa].
Google Analytics
La questione Google Analytics, strumento utilizzato dall’albergatore per capire il flusso di utenti nel proprio sito, è davvero delicata, in quanto leggendo sommariamente il Regolamento sembra rientrare nei cookie secondari, tuttavia con alcuni accorgimenti rientra nei cookie tecnici, per cui si può omettere la richiesta del consenso.
Per far sì che rientri nei cookie tecnici occorre mettere in atto i seguenti accorgimenti:
- Anonimizzazione attiva (link di riferimento);
- Tracciamento dei dati demografici disabilitato (di default lo è);
- Disabilitare la voce “Metrica Utenti nei rapporti”.
Qualora si vogliano avere abilitate le seguenti opzioni, va richiesto un consenso preventivo con cui si chiede di iniziare il tracciamento.
In questo caso Analytics rientrerà nei cookie secondari con finalità statistiche.
Chat sito
Diversi siti web degli hotel hanno installato un chat bot all’interno del proprio sito.
Rientrando tale strumento nelle finalità di marketing è considerato un cookie secondario e quindi va richiesto il consenso per l’utilizzo.
Ricordati di inserire anche questo nella Cookie policy.
Cosa non si può mostrare di default nel sito, ma occorre prima richiederne il consenso?
Leggendo attentamente la normativa, emerge come alcuni componenti presenti in molti siti di hotel utilizzino cookie di terze partiper cui va richiesto esplicitamente il consenso prima che vengano caricati.
Ecco una breve lista:
- Widget social (Like box Facebook, Feed foto Instagram, ecc.);
- Player video di YouTube, Vimeo e simili;
- Google Maps (solo se installa cookie di terze parti);
- Widget prenotazione Booking.com;
- Certificati di eccellenza di Tripadvisor;
- Sistemi di commenti come Disqus (se si usa il sistema di commenti di WordPress versione 4.9.6 o superiore è già conforme di base).
A tale proposito sarà interessante vedere come si muoveranno nei prossimi giorni giganti come Booking.com o TripAdvisor per rendere conformi tali cookie.