LA PROTEZIONE DEI DATI PERSONALI NELLA GESTIONE DEGLI HOTEL O DI UNA QUALSIASI STRUTTURA RICETTIVA

L’entrata in vigore del nuovo Regolamento Europeo 2016/679, non lascia fuori il settore alberghiero che, per la tipologia di attività che svolge, ha costantemente tra le mani, elevati volumi di dati personali degli ospiti, ed elabora quotidianamente un elevato numero di informazioni andando a profilare utenti.
Un direttore di albergo, prima di proteggere i dati personali dei clienti, deve essere consapevole di quali sono i dati sensibili che sta andando a trattare (preferenze alimentari, intolleranze, eventuali abitudini di chi soggiorna, informazioni relative ad un eventuale stato di disabilità ecc.) e dove tali informazioni sono archiviate.

Nel frattempo, per adeguare la propria struttura ricettiva al GDPR ed evitare così pesanti sanzioni, un albergatore ha una serie di passi da fare subito:

1. Dare al cliente il modo di poter esprimere il suo consenso

Ogni cliente che invia i dati personali deve avere la possibilità di dare il consenso esplicitamente, deve capire come verranno usati i suoi dati ed essere attivo nel dare il consenso. Ad esempio, nel caso del form di iscrizione alla newsletter della struttura ricettiva deve poter spuntare la casella appositamente, non trovarla già selezionata. È responsabilità dell’albergatore utilizzare un linguaggio chiaro e comprensibile a tutti.

In merito alla raccolta dei dati con la finalità di gestire la prenotazione o per effettuare il check-in, non sussistono disposizioni specifiche per gli hotel o le strutture ricettive, sia che i dati siano forniti per effettuare una prenotazione online sia che siano conferiti al momento dell’arrivo in hotel.

L’albergatore, pertanto, dovrà semplicemente premurarsi di fornire al proprio cliente una informativa conforme a quanto esplicitato all’art. 13 del Regolamento Europeo 2016/679 ossia contenente le seguenti indicazioni:

• le finalità per cui vengono trattati i dati e le modalità del trattamento;
• se il conferimento dei dati richiesti è obbligatorio o facoltativo e le conseguenze di un eventuale rifiuto a tale conferimento;
• i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che potrebbero accedervi in qualità di responsabili o incaricati;
• le modalità di esercizio dei diritti di cui all’art. 7 da parte dell’interessato ossia, a titolo esemplificativo, il diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, di opporsi al trattamento, di richiederne la cancellazione;
• gli estremi identificativo del titolare e del responsabile del trattamento.

Una particolare attenzione dovrà essere prestata qualora l’albergatore abbia interesse a trattare i dati (email, numero di telefono, indirizzo di residenza) per finalità di marketing, ossia nel caso in cui voglia, in un momento successivo, inviare al cliente comunicazioni commerciali in merito, ad esempio, a promozioni, iniziative o eventi. In questo caso, dovrà essere fornita una specifica informativa sull’utilizzo e dovrà essere richiesto un consenso specifico. Il consenso per questa ulteriore finalità non potrà essere obbligatorio.

2. Scrivere un’informativa dettagliata sulla privacy

Sul sito della struttura ricettiva deve essere presente un’informativa dettagliata sulla privacy che spiega in modo chiaro quali dati vengono raccolti, perché e come; inoltre vanno dettagliate anche quali sono le informazioni che l’utente invia spontaneamente, quelle memorizzate dai cookies e quelle raccolte da altre tecnologie utilizzate. Deve essere quindi indicato il periodo di conservazione dei dati e i criteri in base ai quali sono stabiliti tali periodi di tempo.

3. Identificare il Data controller e il data processor

Il GDPR 2018 introduce due figure, Data Controller e Data Processor, che in realtà esistono già nel Codice della Privacy italiano:

  • il Data Controller è il titolare del trattamento dei dati, ovvero qualunque organizzazione in possesso dei dai personali dei cittadini europei;
  • il Data Processor è il responsabile del trattamento dei dati, ovvero l’organizzazione che tratta i dati per conto del titolare.
  • A questi bisogna aggiungere il DPO, data protection officer, il responsabile della protezione dei dati.

Per ogni dato raccolto deve essere chiaro chi è il data controller e il data processor (responsabile del trattamento dei dati). Per quanto riguarda il DPO (Data Protection Officer) non deve essere necessariamente interno (come per enti pubblici, attività che trattano dati giudiziari o operano su larga scala). Nel caso degli hotel e delle strutture ricettive, può essere una professionista esterno, un’associazione, un ufficio. Il DPO deve avere competenze informatiche, sulla sicurezza e la normativa europea per la protezione dei dati. Inoltre deve conoscere il settore e il modo in cui opera il titolare del trattamento.

RESPONSABILITÀ E SANZIONI
La violazione delle disposizioni in materia di privacy da parte degli albergatori, verificate a seguito di espressa segnalazione al Garante o a seguito di un sopralluogo da parte delle autorità di polizia, sono sanzionate con la condanna al pagamento di una somma di denaro commisurata all’entità della violazione, salvo che ciò non costituisca un più grave reato. È fatta salva, ad ogni modo, la possibilità di essere chiamato dal soggetto interessato a rifondere i danni subiti per la violazione della propria privacy.

Scarica esempio trattamenti hotel/struttura ricettiva per la nuova versione del software privacy disponibile con i prossimi aggiornamenti

Potrebbe interessarti

GDPR e strutture sociosanitarie e assistenziali