GDPR per hotel: intervista a Federica De Stefani 3

GDPR per hotel: intervista a Federica De Stefani

Da domani in poi il nuovo Regolamento Europeo sulla privacy avrà piena applicazione. Ti avevamo già anticipato alcune delle principali novità introdotte dal GDPR, ma abbiamo voluto approfondire l’argomento, facendo delle domande specifiche per le strutture ricettive all’avvocato Federica De Stefani, esperta di diritto della rete e autrice di “Le regole della privacy. Guida pratica al nuovo GDPR”, edito da Hoepli.

Il nostro Amministratore Delegato Marco Baroni ha realizzato una video-intervista, disponibile integralmente sul gruppo Facebook “Metodo Professionale di Vendita Camere“.

GDPR per hotel: intervista a Federica De Stefani

 

Qui di seguito ti riportiamo alcuni stralci dell’intervista!

Marco Baroni: Puoi spiegarci meglio cos’è il GDPR?

Avv. Federica De Stefani: Il GDPR è un Regolamento Europeo e, in quanto tale, è direttamente applicabile a tutti gli Stati membri. Per semplificare, si tratta di una normativa che non ha bisogno dell’emanazione di una legge nazionale per essere recepita dagli Stati dell’Unione Europea: così è stata scritta e così sarà applicata. Attenzione! Il nuovo Regolamento è già in vigore: il 25 maggio scadrà il termine di due anni che era stato indicato come tempo massimo per l’adeguamento e il Regolamento diventerà pienamente esecutivo.

Il GDPR cambia drasticamente l’approccio nei confronti della gestione dei dati personali. Finora, tutti noi abbiamo utilizzato la rete senza avere la percezione esatta di cosa comportasse condividere i propri dati online. La nuova normativa ha lo scopo di tutelare i dati personali, equiparati a diritti fondamentali dell’uomo, e invita tutti a individuare le misure più adeguate per garantire questa tutela.

M.B.: Quindi è l’utente finale, la persona, che deve poter disporre dei propri dati in qualsiasi momento e deve poter scegliere il grado di privacy che vuole mantenere? E quali altre novità ci sono in merito alla privacy?

Avv. F.D.S.: Sì, esatto. Si tratta di una normativa complessa e articolata: si parte dal dato personale come elemento cardine, attorno al quale ruotano vari principi. Il primo passo è quello di individuare il tipo di dato che viene trattato: tutte le organizzazioni, sia piccole imprese, sia multinazionali, devono tendere alla protezione del dato personale; di conseguenza, tutti i processi organizzativi dovranno essere in primo luogo pensati per tendere a questo obiettivo (la privacy by design) e, in secondo luogo, dovranno realizzarlo (la privacy by default). Si parla anche di minimizzazione dei dati: bisogna trattare il minor numero possibile di dati personali, per finalità specifiche che devono essere ben spiegate, impiegando il minor tempo possibile per raggiungere lo scopo per cui vengono trattati.

Tutti questi principi messi insieme devono portare il Titolare del Trattamento dei dati a individuare le misure di protezione adeguate, in base alla realtà aziendale, e a metterle in atto.

M.B.: È proprio questo che sta creando maggior disagio tra albergatori e aziende, la mancanza di regole chiare a cui attenersi. Quindi, in realtà, i principi di cui parli sono principi qualitativi e non quantitativi, dico bene?

Avv. F.D.S.: Esatto. Non ci sono modelli standard da “compilare” perché ciò che è adeguato per un hotel o per una data azienda potrebbe non esserlo per un’altra realtà. Bisogna analizzare ogni singolo caso concreto e andare a individuare le misure di protezione più idonee. Del resto, il legislatore ha giustamente ritenuto che solo chi vive una determinata realtà può stabilire quali siano le misure più adeguate per quella realtà. Si parte dallo studio dei principi individuati dalla legge per poi applicarli al singolo caso.

M.B.: Faccio un esempio concreto. Ad esempio, in un hotel con ristorante, l’ospite potrebbe comunicare alla reception di essere allergico a un determinato alimento. Come dobbiamo comportarci in questo caso?

Avv. F.D.S.: Innanzitutto, proprio in virtù del principio di minimizzazione, bisogna spiegare al cliente per quali finalità viene trattato il dato. Se l’hotel ha un ristorante interno, il dato personale – nel caso specifico, l’allergia a un determinato alimento – andrà condiviso solo ed esclusivamente con il personale della cucina. Se, invece, la struttura offre solo l’alloggio senza nemmeno la prima colazione, l’eventuale richiesta ai clienti di indicare allergie o intolleranze alimentari non ha alcuna finalità ai sensi di legge.

Nel caso in cui si voglia richiedere comunque questo dato, per altre finalità, bisognerà fornire un’informativa specifica, indicando le finalità per cui viene richiesto il dato e come sarà trattato. Ricordiamo sempre: tutti i dati richiesti devono poi effettivamente essere trattati. Ovvero, protetti. Per cui, maggiore è il numero di dati richiesti, maggiore è la necessità di pensare e costruire un sistema in grado di proteggere questi dati.

M.B.: Mi viene in mente una pratica molto diffusa tra gli albergatori. Quando il cliente arriva in albergo e consegna il documento d’identità per la registrazione, molte strutture hanno l’abitudine di fare una fotocopia del documento. Questa pratica è corretta?

Avv. F.D.S.: No, non è corretta. Sarebbe meglio evitare di creare ulteriori dati cartacei, che poi dovranno essere gestiti. Soprattutto perché la comunicazione alla Questura avviene per via telematica, quindi la necessità di avere una copia cartacea del documento non sussiste. Teniamo presente che il GDPR si riferisce non solo ai dati trattati in maniera digitale, ma anche agli archivi cartacei: i classici faldoni con le fatture oppure, appunto, la copia cartacea del documento d’identità dell’ospite. Nel caso specifico, come viene conservata questa fotocopia? Come viene protetto l’archivio cartaceo? Chi ha accesso a queste informazioni? Anche in questo caso interviene il principio di minimizzazione: se la finalità è comunicare i dati dell’ospite alla Questura, è superfluo fare la fotocopia del documento.

M.B.: Quindi si tratta di modificare le modalità di lavoro in hotel e preferire la sicurezza alla comodità! Oggi moltissimi fanno la fotocopia del documento per velocizzare i tempi del check-in e fare entrare subito l’ospite in camera; spesso e volentieri queste fotocopie diventano “carta da riciclo”, il che implica che rimangano in giro per mesi e mesi.

Avv. F.D.S.: E con la possibilità che vengano visti anche da persone non autorizzate a trattare quel dato!

M.B.: Certo, è la naturale conseguenza. Spostiamoci un attimo sull’online. Cosa cambia per i siti web degli hotel?

Avv. F.D.S.: Cambia moltissimo. Ovviamente, anche i dati acquisiti online devono essere gestiti per finalità lecite e devono corrispondere a un consenso esplicito dell’utente: l’utente deve essere consapevole di quali dati fornisce e per quale finalità. A tal proposito, un elemento imprescindibile è l’informativa sul trattamento dei dati personali, che spieghi con un linguaggio semplice e comprensibile anche dai “non addetti ai lavori” chi è il responsabile del trattamento, qual è la finalità e come verranno trattati i dati, quali sono i diritti dell’utente e come esercitarli.

Inoltre, la volontà di lasciare i propri dati personali deve essere manifesta, quindi, non possono essere presenti moduli con caselle pre-spuntate; al contrario, deve essere l’utente a spuntarle, compiendo un atto volontario.

M.B.: Molte strutture turistiche hanno accumulato negli anni diversi dati dei clienti, ma anche di persone che hanno semplicemente richiesto informazioni; mi riferisco principalmente agli indirizzi email. In qualche modo questa legge è retroattiva? Ovvero, questi dati raccolti prima del 25 maggio, con il GDPR non saranno più utilizzabili per comunicazioni di natura commerciale?

Avv. F.D.S.: Dipende dalla finalità per la quale è stato rilasciato il consenso. Se il consenso originario è stato rilasciato per ricevere informazioni di natura commerciale, basta inviare un’integrazione, ovvero un aggiornamento in cui si informano gli utenti dei cambiamenti a seguito della nuova normativa. Se, invece, il consenso non prevedeva l’invio di comunicazioni commerciali, qualora si volesse fare questa attività, bisognerà chiedere un nuovo consenso, specifico per la nuova finalità.

M.B.: Ok, ipotizziamo che la struttura abbia ricevuto il consenso da parte dell’utente per l’invio di comunicazioni di natura commerciale. Questo consenso ha una durata limitata nel tempo?

Avv. F.D.S.: Sì, ha una durata limitata, ovvero, deve sempre essere indicata la durata del trattamento del dato. In base al principio di minimizzazione, si tratta del tempo minimo necessario per raggiungere la finalità indicata.

M.B.: Dunque, ricapitolando. Dal 25 maggio in poi saremo obbligati a inserire una doppia spunta (autorizzazione privacy e consenso alle comunicazioni commerciali). Bisognerà informare tutti i propri contatti della nuova normativa mediante apposita informativa e, se non abbiamo un consenso esplicito per le comunicazioni commerciali, bisognerà richiederlo.

Avv. F.D.S.: Sì, se in precedenza era già stato dato il consenso per finalità commerciale, basterà inviare un’integrazione aggiungendo ciò che cambia con la nuova normativa in merito ai diritti degli interessati. Se ci sono dei dubbi rispetto a come siano stati raccolti i contatti, è meglio richiedere nuovamente il consenso.

M.B.: Un’ultima cosa: chi controllerà se la legge viene applicata correttamente? Ovvero, se un utente dovesse fare un esposto al Garante della Privacy perché ritiene che sia stata violata la sua privacy, cosa succede?

Avv. F.D.S.: Sarà la Guardia di Finanza a effettuare i dovuti controlli e se riscontrerà delle irregolarità, saranno applicate le sanzioni previste dalla nuova normativa.

Vuoi approfondire?

Iscriviti al gruppo Facebook “Metodo Professionale di Vendita Camere” per vedere il video completo dell’intervista!

Richiedi informazioni: