Albergatori e direttori d’hotel non c’è più scampo… a partire dal 25 maggio 2018 il GDPR acronimo di General Data Protection Regulation che significa “regolamento generale sulla protezione dei dati” sarà pienamente applicabile.
Per chi non lo sapesse, il GDPR è un regolamento voluto dalla Commissione Europea con il quale si vuole rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione Europea, tenendo conto delle attuali preoccupazioni sulla privacy.
Nel regolamento, già in vigore dal 2016, saranno e introdotte un gran numero di modifiche, il che significa che il livello di impegno necessario per prepararsi non sarà di poco conto.
Ci teniamo a precisare che questo articolo è da ritenersi un’analisi di alto livello che non rappresenta ne sostituisce una consulenza specialistica in materia.
Nelle prossime righe, cercheremo di raccontarvi questo argomento con un approccio pragmatico ed utile per tutti gli albergatori che si stanno chiedendo quali obblighi comporti il GDPR, andando a toccare con mano le parti più spinose.
Il GDPR – Regolamento 2016/679 è:
Relativo alle protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
1) A chi si rivolge?
Il GDPR è stato progettato per rafforzare le norme sulla privacy, proteggere i dati personali elaborati dalle persone e introdurre sanzioni amministrative per violazioni della privacy fino al 4% del fatturato totale annuo a livello mondiale.
Si rivolge a tutti coloro che trattano dati personali sia su supporto cartaceo, sia su supporto informatico, di conseguenza il settore alberghiero ci rientra pienamente.
Questo perché le strutture ricettive come gli hotel hanno costantemente tra le mani elevati volumi di dati personali degli ospiti, ed elaborano quotidianamente un elevato numero di informazioni andando a profilare utenti.
2) Quali sono i dati sensibili?
Un direttore d’albergo prima di proteggere tali dati, deve sapere dove queste informazioni sono archiviate (cartaceo, on-premise, cloud).
I dati che rientrano nella categoria sensibile ovvero PII (Personally identifiable information) possono essere:
- nome/cognome;
- data di nascita;
- email;
- indirizzo;
- numero di telefono.
Oltre a questi dati anagrafici che vengono inseriti nel modulo privacy, gli hotel devono tenere in considerazione altre informazioni sensibili che potrebbero essere raccolte.
Preferenze alimentari o intolleranze di un determinato ospite potrebbero essere considerate come informazioni sensibili. Stesso discorso sulle eventuali note abitudinari di chi soggiorna.
3) Quali sono le regoli più importanti del GDPR?
Due ruoli importanti nel GDPR lo giocheranno il diritto all’oblio e il diritto all’accesso.
Diritto all’oblio: il cliente può chiedere la cancellazione dei propri dati personali, ritirando il consenso al trattamento ed eliminandoli definitivamente dall’archivio in cui sono stati inseriti.
Diritto di accesso: dal 25 maggio 2018 si dovranno specificare in maniera chiara le finalità del trattamento dei dati, questo aspetto vale anche per l’iscrizione alla più classica della newsletter, dove la checkbox dovrà essere de-selezionata da principio.
Servirà chiarezza anche in merito al periodo temporale di conservazione dei dati e la possibilità dell’interessato di chiedere la rettifica o la cancellazione di tali dati.
Di seguito elenchiamo alcune delle regole più importanti che andrebbero seguite:
- Richiedere esplicitamente agli ospiti il consenso alla raccolta e all’elaborazione dei dati;
- Informare chiaramente gli ospiti di ciò che viene raccolto, per cosa è usato, da chi è utilizzato e per quanto tempo sarà memorizzato;
- Aggiornare le politiche sulla privacy, specificando quali informazioni vengono raccolte, come vengono usate e come queste informazioni vengono protette;
- Cancellare dal proprio database (entro il 25 maggio) quei dati degli utenti che non hanno fornito il consenso al trattamento degli stessi. (Questo non vuol dire che dovete cancellare TUTTI i dati dei vostri clienti, andranno eliminati solamente quelli per cui non si è ricevuto il consenso).
Inoltre, alcune associazioni Alberghiere mettono a disposizione dei moduli pre-compilati conformi da presentare al momento del check-in.
4) Che ruolo svolge il gestionale alberghiero (PMS)?
Un ruolo chiave nella protezione e trattamento dei dati in un hotel viene svolto dal gestionale alberghiero (pms). In questo caso è necessario definire dove i dati sono memorizzati:
- On premise (server locale): la responsabilità della protezione dei dati deve rispettare diversi requisiti: innanzitutto il software gestionale utilizzato deve permettere la crittografia. Inoltre, il server locale deve disporre di un sistema operativo aggiornato con un tecnico operativo che certifichi gli aggiornamenti. Infine la connessione internet deve avvenire attraverso firewall aggiornati.
- Cloud: la responsabilità della protezione è a carico del fornitore del servizio, il quale certificherà la compliance al GDPR.
5) Cosa succede se il mio hotel non è conforme al GDPR?
Dopo il 25 maggio 2018 i clienti avranno più potere e più diritti sul controllo dei propri dati personali.
La nota più dolente è quella relativa alle sanzioni amministrative che, come riporta Federprivacy:
“dal 25 maggio 2018, potranno infatti arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale le multe per le violazioni del regolamento Ue 2016/679”.
Il nostro consiglio è quello di richiedere una consulenza legale per assicurarsi di essere a norma e di verificare che il proprio gestionale sia Gdpr Compliance.
