Esattamente due mesi fa, ti abbiamo parlato del Nuovo Regolamento Europeo sulla Privacy e dei cambiamenti che il GDPR (General Data Protection Regulation) comporterà per gli Hotel per ciò che riguarda la gestione dei dati personali dei clienti.
Se hai letto attentamente l’articolo, conoscerai le principali novità che ti troverai a fronteggiare a partire dal mese di maggio, ma per darti un’idea delle implicazioni pratiche, abbiamo pensato di rispondere alle domande sul tema che ci vengono fatte più spesso dagli albergatori.
GDPR: caratteri generali
Quando entra in vigore il Nuovo Regolamento Europeo sulla Privacy?
A onor del vero è giusto dire che il regolamento è entrato in vigore nel 2016, ma che si applicherà a partire dal 25 maggio 2018.
Cosa si intende per dato personale?
I dati personali sono tutte quelle informazioni relative a una persona, che possono essere utilizzate per identificarla direttamente o indirettamente. Si parla quindi di elementi come nome, foto, indirizzi o dettagli di natura economica.
Titolare del trattamento dati, Responsabile del trattamento e Soggetto Interessato…facciamo chiarezza?
Si definisce Titolare del trattamento (Data Controller) qualsiasi organizzazione che stabilisce finalità e mezzi del trattamento dei dati personali appartenenti a cittadini dell’UE. Il Responsabile del trattamento (Data Processor),invece, è la figura che tratta dati personali per conto del Titolare del trattamento. Infine, l’Interessato ( in inglese Data Subject) è il soggetto a cui si riferiscono i dati in questione.
Sia il Titolare che il Responsabile del trattamento possono essere ritenuti responsabili in caso di violazione dei dati e quindi entrambi sono tenuti a rispettare il regolamento.
Gli Hotel che hanno strutture in Europa ma che non hanno la sede principale nell’Unione devono rispettare il Regolamento?
E se gli Hotel acquisiscono dati da cittadini europei, ma li processano al di fuori dell’Unione Europea?
Non ci sono dubbi: la risposta è sì, secondo quanto contenuto nell’art.3 del Regolamento che puoi consultare qui.
Ed è bene tenere sempre a mente che il GDPR si applica allo scambio di beni e servizi con i residenti nell’UE. Dunque è necessario rispettarlo anche nel caso tu offra servizi gratuiti.
Sono previste sanzioni in caso di violazione del Regolamento?
Sì, e sono piuttosto severe. Le sanzioni amministrative possono infatti raggiungere i 20 milioni di euro o il 4% del fatturato annuo di un’impresa.
Google Analytics e GDPR
Te ne parleremo più approfonditamente in un prossimo articolo, ma una domanda (e relativa risposta) è concessa…
Come comportarsi con il monitoraggio dei dati tramite Google Analytics?
Per quanto riguarda i cookie utilizzati da Analytics, essi non dovrebbero contenere alcun dato personale che permetta l’identificazione degli utenti.
Potrebbero però sorgere problemi qualora vi siano impostazioni che prevedono la registrazione di url che contengono dati sensibili, questione che affronteremo la prossima settimana.
Vuoi rimanere aggiornato?
Raccolta dati
Come ottenere il consenso al trattamento dei dati nel pieno rispetto del Regolamento?
Secondo quanto contenuto nel Nuovo Regolamento per la Privacy, il consenso deve essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
Tra gli esempi viene proprio citata la selezione di un’apposita casella in un sito web. Ma attenzione, non deve trattarsi di caselle preselezionate dalle quali l’utente deve togliere la spunta.
In più, nel caso i dati debbano essere utilizzati per più scopi, è necessario il consenso per ognuna delle finalità di utilizzo.
Email Marketing e CRM
Secondo il principio di trasparenza enunciato nel Regolamento, gli interessati devono essere informati sulle finalità specifiche del trattamento dei dati personali al momento della raccolta dei dati stessi.
Così come, in caso di cambiamenti nelle modalità di trattamento, gli interessati devono riceverne notifica.
Perché tenere conto del GDPR nelle attività legate all’email marketing e alla gestione di un CRM?
È importante che tu sia in grado di dimostrare in qualunque momento che gli utenti del tuo database hanno dato il consenso per ricevere comunicazioni da parte del tuo Hotel. In caso contrario, devi rimediare entro il 25 maggio 2018 richiedendo loro il consenso e ricordando che deve essere verificabile, ossia tracciabile.
E mettiamo il caso che tu voglia inviare altri tipi di email a coloro che all’interno del tuo database hanno solamente accettato di ricevere le newsletter del tuo hotel. Secondo le nuove norme non puoi farlo.
A scanso di equivoci, il nostro consiglio è quello di creare a monte un form di registrazione in cui fornire varie preferenze in modo che tu abbia le dovute autorizzazioni e gli utenti ricevano esattamente i contenuti ai quali sono interessati.
Fonte: Hotel Speak
