GDPR: cosa cambia per il settore ho.re.ca?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore a partire dal 25 maggio 2018 e sostituisce l’attuale Direttiva sulla Protezione dei Dati, emanata nel 1995. I principi fondamentali in tema di privacy e protezione dei dati non hanno subito variazioni, ma il nuovo regolamento tiene conto dei cambiamenti avvenuti con la digitalizzazione e si applica in tutti gli stati dell’Unione Europea. Gli aspetti più innovativi che caratterizzano la nuova normativa sono diversi:

Extraterritorialità

Se una azienda trasferisce i dati dei cittadini europei in un Paese fuori dall’UE, per esempio in America, le organizzazioni o aziende che elaboreranno tali dati dovranno rispettare il GDPR. Le nuove norme infatti, proteggono i dati dei cittadini europei e si applicano a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.

Sanzioni

Saranno introdotte multe per le aziende che non si adeguano alla normativa, le sanzioni possono ammontare fino al 4% del fatturato annuale globale o a 20 milioni di euro. In quali casi le aziende verranno sottoposte alle sanzioni? Per esempio se non attuano politiche adeguate per il consenso al trattamento dei dati personali o se violano i principi alla base del concetto di “Privacy by Design”.

Privacy by Design

Secondo il GDPR, la protezione dei dati deve riguardare la progettazione di tutti i sistemi invece di rappresentare un componente aggiuntivo. Questo significa che qualsiasi progetto deve essere realizzato considerando fin dal primo momento, la riservatezza e la protezione dei dati personali.  

Consenso

Le società che raccolgono o trattano dati personali devono rendere chiaro e spiegare in modo esplicito agli utenti, tutte le condizioni che regolano la raccolta e trattamento di tali dati ed è inoltre obbligatorio dichiarare come i dati richiesti all’utente verranno elaborati.

Aumento dei diritti per i titolari dei dati

I cittadini potranno esercitare il diritto all'oblio, richiedendo la cancellazione dei propri dati dai database di enti e aziende e il diritto di accesso, ovvero informarsi su chi sta raccogliendo i propri dati personali e per quali fini. Inoltre, su richiesta, l'azienda sarà tenuta a fornire al titolare dei dati entro 30 giorni, una copia in formato elettronico dei dati in suo possesso.

Notifiche di violazione obbligatorie

Le aziende che custodiscono i dati personali, devono comunicare entro 72 ore, sia al cliente, sia al responsabile del trattamento, il verificarsi di violazioni che mettono a rischio i diritti dei titolari dei dati.

Cosa significa tutto ciò per albergatori e ristoratori?

Prima di iniziare a capire nel dettaglio come gli imprenditori dell'ospitalità devono adeguarsi a queste norme occorre presentare le due nuove figure introdotte dal regolamento europeo: il Data Controller e del Data Processor:

• Data Controller è il titolare del trattamento dei dati

• Data Processor è il responsabile del trattamento dei dati

Riassumendo, secondo il GDPR, il Data Controller è qualunque azienda o organizzazione in possesso dei dati personali dei cittadini dell’Unione Europea – per dati personali s’intende qualunque informazione, anche il solo nome dei tuoi clienti.

Il Data Processor è invece l’azienda o organizzazione che si occupa dell’elaborazione e della memorizzazione di questi dati personali per conto del Data Controller.

Applicato nella realtà: il Data Controller è l’albergatore/ristoratore in quanto azienda che possiede i dati personali dei clienti, mentre il Data Processor è Ericsoft, l’azienda che fornisce il gestionale, strumento con il quale i dati vengono raccolti e trattati.

Hotel e ristoranti raccolgono molti dati dai propri clienti, dalle preferenze di soggiorno fino alle intolleranze alimentari, di seguito analizzeremo nel dettaglio come influisce la normativa sui dati raccolti dalle strutture ricettive (con esempi applicabili anche nel settore della ristorazione).

Gli ospiti che soggiornano nella struttura, forniscono all'hotel diversi tipi di dati: oltre a quelli anagrafici, possono aggiungersi altre informazioni sulle abitudini e preferenze di consumo, che verranno raccolte dal CRM (se l’hotel lo possiede) per poter essere riutilizzate in campagne di marketing e offerte promozionali.

La nuova normativa, regolando la raccolta, l’archiviazione, il trattamento e la condivisione di dati personali, vuole garantire che questi siano gestiti correttamente e nel rispetto dei titolari dei dati. Per essere in linea con i principi del nuovo regolamento:

- l’ospite, ovvero il titolare dei dati, deve aver espresso il consenso per la raccolta e il trattamento dei propri dati personali per una o più specifiche finalità dichiarate in modo chiaro ed esplicito dall’hotel, oppure l’hotel deve dimostrare che il trattamento di tali dati è necessario per adempiere un obbligo legale o per completare un’azione, come nel caso del check in, dove il consenso per la raccolta e il trattamento dei dati personali è implicito (si ritiene già effettuato con la prenotazione);

- l’hotel deve essere in grado di dimostrare che l’ospite abbia dato il consenso al trattamento dei propri dati in modo esplicito e attivo, per esempio l’iscrizione alla newsletter da parte dell’utente deve prevedere una casella deselezionata di default che l’utente deve spuntare prima della sua richiesta di iscrizione;

- è vietato trattare i dati personali che riguardano: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o politiche, dati genetici, dati relativi alla salute e all’orientamento sessuale della persona;

- l’ospite ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano e il titolare del trattamento avrà quindi l’obbligo di cancellare tali dati;

- l’ospite ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali raccolti dal titolare del trattamento (hotel);

- il sito dell’hotel dovrebbe avere una pagina con l’informativa sulla privacy in formato esteso, per spiegare in modo dettagliato quali informazioni vengono raccolte dagli utenti che visitano sito – dati inviati liberamente dagli utenti, dati raccolti dai cookie e dati raccolti con ogni altro mezzo.