Con il nuovo regolamento GDPR sulla protezione dei dati personali (Regolamento Ue 2016/679), da fine Maggio 2018 anche gli operatori del settore turistico dovranno essere in regola con la normativa europea in materia di privacy.
A quanto pare si alzerà di gran lunga il livello di tutela delle persone fisiche dalla circolazione indesiderata dei dati personali. Inoltre, dal 25 Maggio, verranno disapplicate tutte le norme interne che si troveranno in conflitto con la normativa europea.
Diamo quindi uno sguardo più approfondito al settore turistico per capire quali sono i soggetti interessati e quali gli adempimenti che non possono essere trascurati a livello di compliance aziendale.
Di fatto, il settore turistico in Italia vede nel 2018 un grande sviluppo: secondo l’istituto di ricerca su innovazione e servizi per lo sviluppo (CNR) nel primo semestre del 2017 si è registrato un incremento di arrivi e presenze turistiche in Italia del 5,5% rispetto al 2016. Per il 2018 si prevede una crescita ulteriore del 4%.
Questi dati ci hanno portato a riflettere ed a fornire in questo articolo, senza pretesa di esaustività, informazioni utili legate agli adempimenti in materia trattamento dei dati personali, secondo quanto stabilito dal GDPR (regolamento generale per la protezione dei dati).
A chi ci rivolgiamo e quali adempimenti vanno seguiti?
Nel settore turistico distinguiamo fondamentalmente tre tipi di operatori: gli hotel, le agenzie di viaggio e i tour operator. Ognuno di questi deve, in modo diverso, curare gli adempimenti in materia di trattamento dei dati di clienti, fornitori e dipendenti. Vediamo meglio nel dettaglio.
Come si deve comportare l’hotel secondo GDPR
Principalmente, l’hotel gestisce i dati di tutti i clienti che vengono ospitati. Non importa se la permanenza riguarda una folle notte di svago oppure più giorni continuativi: la legge impone di registrare i nomi di tutti coloro che alloggiano in struttura. In concreto in ragione dell’alloggio in hotel si stipula un vero e proprio contratto tra la struttura ed il cliente, con necessità, ad esempio, di ottenere da questo tutti i dati per la fatturazione.
Ebbene, trattandosi di un adempimento connesso all’esecuzione di un contratto, non è di regola necessario il consenso del cliente. Diverso è il caso in cui quegli stessi dati forniti dal cliente vengano utilizzati successivamente al check out per scopi ulteriori; in questi casi il consenso al trattamento dei dati diventa necessario.
Sempre rimanendo legati ai dati forniti dall’ospite della struttura, non possiamo dimenticare i dati di navigazione dell’utente (quando usufruisce del Wi-Fi gratuito) e gli acquisiti in pay per view. In questi casi è bene fornire un’adeguata informativa e chiedere di prestare il consenso.
E nel caso dei visitatori del sito web dell’hotel?
In proposito vi rimandiamo a ciò che abbiamo specificato puntualmente nel precedente articolo rivolto alle web agency.
Di fatto, nel caso in cui la gestione del sito web dell’hotel (o dei suoi rispettivi canali social) sia affidata ad una web agency, è necessario che questa sia nominata responsabile del trattamento dei dati che vengono raccolti tramite i form.
Identicamente avviene nel caso in cui l’hotel utilizzi dei fornitori esterni di altro tipo a cui vengono comunicati i dati personali dei clienti. Ad esempio, se in struttura abbiamo uno o più ospiti con esigenze alimentari particolari, come la celiachia, e forniamo il nominativo dell’ospite per la preparazione adeguata del pasto, dovremo anche nominare detta società responsabile del trattamento. Si evidenzia che tale necessità ricorre solo qualora vengano forniti alla società di catering i dati personali dell’ospite così che questa sia in grado di identificarlo univocamente.
Diverso il caso in cui venga detto, genericamente, che uno o più ospiti è affetto da celiachia e necessita di un pasto particolare; se i dati dell’ospite non vengono forniti, nessun obbligo è imposto.
Per chiudere il discorso legato agli hotel ricordiamo che la figura del Data Protection Officer (DPO) non è obbligatoria per gli hotel ma è consigliabile nel caso di grandi catene (in tal caso è opportuno nominare un unico DPO).
Come si deve comportare l’agenzia di viaggio secondo GDPR
Un altro operatore che opera nel settore turistico è l’agenzia di viaggio. Per quest’attività, segmentare ed organizzare i clienti è sicuramente importante per mantenere con loro dei rapporti continuativi e fidelizzati nel tempo.
Ovviamente tutti questi dati devono essere tutelati fornendo agli interessati le giuste informative privacy. Il cliente, inoltre, deve dare il consenso all’utilizzo dei suoi dati anche se l’agenzia li utilizza per strategie di marketing interno (senza cederli, quindi, a terze parti).
Inoltre, nel caso in cui l’agenzia di viaggio debba fornire i dati dei propri clienti all’hotel o al tour operator che fornisce il servizio, è necessario che siano adottate tutte le opportune misure di sicurezza per garantire che quel dato non venga diffuso od utilizzato senza apposito consenso dell’interessato.
A ciò si aggiunga che a seguito dell’introduzione del GDPR vi è la necessità di redigere il registro dei trattamenti, che nominare un DPO non è obbligatorio, che occorre nominare i responsabili del trattamento e che va sempre fatto firmare un accordo di riservatezza opportuno ai propri dipendenti.
Come si deve comportare il tour operator secondo GDPR
La gestione del dato nel caso del tour operator è sicuramente più delicata perché i dati dei clienti vengono utilizzati per prenotare pullman, cene, alberghi e tutte le attività connesse o necessarie al viaggio. Per realizzare ciò, si forniranno i dati personali (in qualche caso anche sensibili) a più soggetti e pertanto sarà indispensabile avere misure di sicurezza maggiori e comunque idonee ad evitare che questi dati vengano acquisiti da terzi senza apposita autorizzazione. Anche qui la nomina di un DPO non è obbligatoria, tuttavia, visto che la gestione del dato coinvolge molteplici soggetti, è consigliata.
È invece obbligatorio nominare responsabili del trattamento le società esterne che trattano i dati personali come, ad esempio, quelle che si occupano dell’invio di materiale promozionale o le web agency che gestiscono il sito web.
Infine, i dipendenti devono sottoscrivere, anche in questo caso, l’accordo di riservatezza.
Per redigere la compliance adatta, rivolgersi al professionista giusto è la soluzione più semplice
Per evitare di incorrere in pesanti sanzioni causate dai mancati adempimenti al regolamento europeo (GDPR), è consigliabile affidarsi ad un professionista per assicurarsi una compliance aziendale completa e professionale, senza sorprese in termini di responsabilità.
Due sono le fasi principali della consulenza: la Gap Analysis e la fase di adeguamento vero e proprio. Prima di tutto bisogna analizzare e valutare quale sia il grado di conformità della società alla normativa per poter definire un percorso di adeguamento.
Una volta completata la fase di analisi si passa a quella legata all’adempimento vero e proprio. Rivolgersi all professionista giusto consente all’azienda ad avere un supporto completo e concreto per essere perfettamente in regola con le normative vigenti.
L’esperienza maturata da Antonino Polimeni rende la sua professionalità fondamentale in questa fase di transizione al nuovo Regolamento.
Contattalo subito per avere maggiori informazioni.
