La Privacy Policy negli Hotel: cosa cambia
Solo il 27% delle Aziende Italiane conosce i nuovi obblighi di legge… sei tra questi?
Dal 25 maggio 2018, senza periodi intermedi, sarà pienamente operativo, anche per il tuo hotel, il nuovo regolamento europeo sulla privacy 2016/679.
Le spallucce non sono contemplate in risposta a questa importante notizia e sai perché? Perché anche tu, albergatore, dovrai tenere in considerazione la nuova regolamentazione europea inerente i dati personali dei tuoi clienti.
“Galeotto fu” l’anno 2016, considerato dagli esperti l’anno più disastroso dal punto di vista della Cyber Security, anno in cui le autorità competenti hanno deciso che bisognava intervenire sulla vigente normativa al fine da contenere in qualsiasi modo tutti i rischi provenienti dal mondo del digitale.
Pare che, su una media di 70 aziende, solo 2 possano affermare di avere un sufficiente livello di sicurezza e, come se non bastasse, pare che una di queste due conservi comunque i propri dati e affidi la sua gestione ad una piattaforma Cloud.
Così, dal 25 Maggio entrerà in vigore il Nuovo Regolamento Europeo sulla Protezione dei Dati, che sostituisce e amplifica la precedente Direttiva del 1995. Molte norme rimangono invariate altre vengono rielaborate e alcune sono state introdotte ex novo.
Il GDPR (General Data Protection Regulation) avrà un notevole impatto non solo dal punto di vista tecnologico, ma anche, e soprattutto, dal punto di vista organizzativo e legale.
Vediamo nel dettaglio come cambia la privacy policy degli Hotel.
Partiamo con lo specificare che tutte le imprese e gli enti pubblici saranno sottoposti a questa nuova regolamentazione a prescindere dalla attività svolta.
L’argomento non è certo tra i più avvincenti di cui ti abbiamo parlato ma è doveroso affrontarlo; sarà comunque nostra cura cercare di utilizzare meno tecnicismi possibile.
E non avere questa faccia, sù!
Per quanto riguarda le strutture ricettive, il nuovo regolamento Europeo sulla privacy può comportare differenti necessità che determinano differenti applicazioni della normativa.
Non tutti gli alberghi sono dotati di sistema di videosorveglianza, non tutti gli hotel procedono ad una targetizzazione dei clienti che ospitano e non tutti svolgono attività di direct marketing di conseguenza non tutti saranno sottoposti ai medesimi obblighi.
Affrontiamo qua la questione in maniera generica e secondo quanto traspare dal sito web del Garante.
Tra le varie modifiche introdotte a spiccare è il fatto che la nuova normativa sulla privacy responsabilizza fortemente l’hotel dinnanzi alla concreta e corretta applicazione delle norme sancite.
Senti già prurito? Non temere, mal comune mezzo gaudio si tratta di oneri che riguardano te e tanti, tanti, tanti altri.
Ogni hotel, dovrà pertanto avvalersi di un professionista, un consulente, in grado di verificare e indirizzare la struttura in tutti questi adeguamenti legislativi.
Questa nuova figura è il così detto DPO, il Data Protection Officer o, parlando come si mangia, il Responsabile per il Trattamento Dati.
Il DPO è un professionista già noto in alcuni paesi europei e si tratta di un esperto in ambito giuridico, informatico, organizzativo e in materia di risk management.
Egli è garante dell’osservazione, valutazione e gestione del trattamento, conservazione e protezione dei dati personali affinché ciò avvenga in ottemperanza alla normativa nazionale ed europea. Deve avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore.
Non tutti gli alberghi dovranno nominare un DPO interno, gli hotel potranno anche riferirsi ad una persona esterna, ad una associazione o ad un ufficio apposito (e qua ti è partito il respiro di sollievo, ammettilo).
Vediamo ora assieme le principali introduzioni che avverranno mediante la nuova regolamentazione della privacy.
CONCETTO DI PRIVACY BY DESIGN
Si tratta di un concetto ideato nel 2010 e già noto in Canada e negli Stati Uniti. Secondo quando affermato da questo principio, in tema di privacy occorre prevenire non correggere, per cui tutte le cautele vanno adottate già in fase di progettazione e non apposte in un secondo momento al verificarsi della mancata tutela.
CONCETTO DI PRIVACY BY DEAFULT
Secondo quanto affermato da questo concetto è necessario che tutte le aziende abbiano delle impostazioni predefinite in grado di trattare i dati dei loro clienti solo nella misura sufficiente alle finalità prefissate e rigorosamente nei tempi strettamente necessari al raggiungimento dello scopo. Affinché le impostazioni e i tempi siano rigorosamente predefiniti occorre che tutto ciò venga incluso già in fase di progettazione.
LA VALUTAZIONE DEL RISCHIO
Bisogna avere un atteggiamento basato sulla valutazione del pericolo derivante dal trattamento, avere piena coscienza di tutti quelli che sono i trattamenti suscettibili di cagionare un danno fisico materiale o immateriale. Occorre dunque portare avanti una analisi preventiva ed una attenta valutazione e, laddove, lo ritenga opportuno il titolare può richiedere una consultazione da parte dell’autorità di controllo per ottenere opportune indicazioni.
LA DPIA (data protection impact assessment)
Si tratta di una procedura in grado di misurare e confermare la idoneità del trattamento con le norme in materia di protezione dei dati personali. In realtà un buon consiglio è quello di applicarla anche laddove non obbligatoria in quanto si tratta di un metodo estremamente utile per monitorare l’attività in essere. In realtà perché sia obbligatoria è necessario che sussistano almeno due dei criteri stabiliti dal regolamento come, ad esempio, nel caso della videosorveglianza e nel caso del trattamento dei dati sensibili. Giusto per citarne un paio che potrebbero riguardare strettamente il ramo alberghiero ma l’elenco è chiaramente ben più nutrito.
IL REGISTRO DEI TRATTAMENTI
Dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate.
Anche in questo caso si tratta di una “dotazione” facoltativa, obbligatoria solo all’interno di determinate realtà (nel caso in cui ad esempio l’azienda conti un numero di dipendenti maggiori di 250).
La tenuta del registro con la totalità dei trattamenti non è una mera formalità bensì una parte integrante del sistema di corretta gestione dei dati personali.
Per questo al di là della dimensione dell’azienda può essere sempre consigliato dotarsi di tale registro.
ADOZIONE DI MISURE DI SICUREZZA
Occorre che tutte le strutture adottino dei comportamenti volti a dimostrare concretamente la adozione di misure rivolte ad assicurare la corretta applicazione del regolamento affidando direttamente ai titolari il compito di decidere in maniera autonoma le modalità, le garanzie e i limiti del trattamento dei loro dati. Giurare con la mano sul cuore non è contemplato, potresti sempre incrociare le dita.
LA NOTIFICA DELLE VIOLAZIONI DI DATI
Comunemente definita come Data Breach, la notifica avviene ogniqualvolta ci sia una violazione nella procedura di sicurezza che comporta l’accidentale o illecita perdita, modifica, divulgazione o accesso dei dati personali.
Ad oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.
La violazione deve essere tale da manifestare un elevato rischio per i diritti e la libertà delle persone (inteso giuridicamente in senso fisico).
IL DPO
Introduzione di un responsabile per la sicurezza dei dati personali di cui abbiamo detto sopra.
LE INFORMATIVE
Tutte le informative dovranno contenere dei nuovi riferimenti. Tra le varie modifiche emerge l’introduzione del periodo di conservazione dei dati e dei criteri stabiliti per definirlo. Trascorso il periodo indicato il dato deve essere cancellato, introduzione del Diritto all’oblio.
Il tempo di conservazione di un dato è tipicamente legato alle finalità del trattamento e il diritto all’oblio si configura come l’obbligo in capo ai titolari del trattamento non solo di procedere alla cancellazione del dato ma altresì di informare della richiesta di cancellazione gli altri titolari che trattano i dati compresi link o riproduzioni.
LE SANZIONI
Or incomincian le dolenti note disse un collega… Parliamo del severo regime sanzionatorio che interverrà a riguardo: sono previste sanzioni amministrative molto più aspre rispetto al passato.
Le ammende potranno raggiungere addirittura i 20.000.000 € (yes, milioni di Euro).
I provvedimenti amministrativi entrano in gioco anche nel momento in cui non si ottempera al concetto di Privacy by Design. Non sottovalutarlo. Non sottovalutare nessuno dei punti che abbiamo discusso in questo articolo.
BONUS TRACK
Qui abbiamo provato a rispondere alle domande sul Nuovo regolamento che gli albergatori ci pongono più spesso.
La Privacy negli Hotel è destinata ad evolversi e noi abbiamo cercato di riassumere cosa cambia con il nuovo regolamento europeo. Vedrai che sarà meno peggio di ciò che sembra e pensa che ogni dovere assolto è un diritto garantito.
