Come mettersi in regola con il GDPR?

Come mettersi in regola con il GDPR?Il GDPR, “General Data Protection Regulation”, è un nuovo Regolamento europeo sulla protezione dei dati, che assicura ai cittadini dell’Unione un maggiore controllo sulle informazioni che condividono online.

È un argomento molto discusso, ma in sostanza cosa significa per un hotel?

Il punto centrale del GDPR è che rende legalmente responsabile l’hotel per ciò che accade ai dati personali che ricevi dai tuoi utenti o clienti fin dal vostro primo contatto.

Basta leggere la definizione che dà il GDPR di “dati personali” per comprendere come copra quasi tutte le informazioni sui clienti che il tuo hotel raccoglie:

«[…] qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è una che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero identificativo, dei dati di localizzazione, un identificatore online o uno o più fattori specifici all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona fisica».

Visto che il tuo business come hotel difficilmente prescinderà dal mercato europeo, e di conseguenza dalla raccolta di dati personali sui tuoi potenziali clienti, vediamo quali sono i primi passi da fare per evitare complicazioni indesiderate dopo il 25 maggio.

 

1. Riconosci chi detiene i dati e chi li processa per te

 

Il GDPR differenzia fra Data Controller e Data Processor; il Data Controller è chi detiene i dati personali dei clienti, mentre i Data Processor sono coloro che registrano ed elaborano i dati personali per i Data Controller. Nel nostro caso, il tuo Hotel è il Data Controller, mentre per esempio il provider del tuo gestionale è uno dei tuoi Data Processor.

Se qualcosa va male nella gestione dei dati personali dei clienti, secondo il GDRP la responsabilità è sia dei Data Controller sia dei Data Processor.

Dopo aver mappato il flusso di dati in entrata e in uscita, risalendo a tutte le attività dalle quali acquisisci informazioni degli utenti, assicurati quindi che tutti quelli che registrano ed elaborano i dati per te siano in regola con il GDPR.

 

2. Prepara il tuo staff

 

Tutto lo staff dell’hotel deve essere al corrente dei nuovi regolamenti europei sul trattamento dei dati personali. Se hanno chiare le normative sulla privacy italiane, sanno già l’importanza del consenso esplicito e attivo e il divieto di trasferire qualsiasi dato personale fuori dall’ufficio, a meno che non specificamente autorizzato da un contratto.

Inoltre è importante designare un addetto responsabile alla protezione dei dati, il cosiddetto DPO (Data Protection Officer), che ha lo scopo di garantire che la struttura sia conforme alle norme di legge.

Se non hai qualcuno che abbia il tempo e le capacità per seguire questa attività, puoi affidarti a una figura esterna di comprovata esperienza per eseguire il controllo di conformità dei dati.

 

3. Controlla accuratamente i tuoi database

 

Devi condurre una verifica attenta per stabilire con esattezza quali dati personali detieni direttamente, ma soprattutto dove, quando e come sono stati ottenuti. Devi sapere anche la fonte, con chi sono stati condivisi, con quali finalità e come sono protetti.

Come regola generale, cerca di archiviare e trattare solo i dati necessari; questo ti aiuta a minimizzare i rischi e ottimizzare i tuoi database.

È probabile che una parte, più o meno ampia, dei tuoi archivi dati non sia stata raccolta in maniera corretta secondo i nuovi regolamenti. Per questo motivo devi provare a richiedere un assenso diretto da parte degli utenti con una campagna di “re-permissioning”, ottenendo così il consenso esplicito dei diretti interessati all’uso e la conservazione dei dati. Questa operazione deve essere conclusa entro il 25 maggio; i dati di chi non accetterà la tua richiesta dovranno essere cancellati dal database o anonimizzati.

 

4. Preparati alle richieste dei clienti

 

Se un cliente di cui hai i dati personali lo richiede, devi essere in grado di fornirgli la lista dei suoi dati personali entro  30 giorni dalla richiesta. Il cliente che ne fa richiesta deve poter visualizzare, modificare e cancellare i propri dati.

Deve essere chiaro ai tuoi utenti, fin dall’assenso al trattamento dei dati personali, quale sia l’utilizzo specifico delle informazioni sensibili che hai richiesto loro; per questo è importante richiedere agli utenti che rilasciano i propri dati personali di spuntare una casella che indichi la presa visione della privacy policy e il consenso al trattamento dei dati personali.

 

5. Assicurati che la tua privacy policy sia corretta

 

La tua privacy policy deve essere concisa, trasparente, intelligibile, facilmente accessibile e in linguaggio chiaro. Fatti aiutare da un legale che abbia esperienza nella materia di privacy, oppure utilizza servizi online di buon livello, come per esempio iubenda.

È fondamentale che la Privacy Policy contenga le seguenti informazioni:

  • Quali dati personali raccogliete.
  • Come e perché raccogliete i dati.
  • Come usate i dati.
  • Come proteggete i dati.
  • Qualsiasi terza parte con accesso ai dati e le loro finalità di utilizzo.
  • Se e quali cookie utilizzate.
  • In che modo gli utenti possono controllare qualsiasi aspetto dei loro dati.
  • Chi è il Titolare ed il responsabile del trattamento dei dati e le loro informazioni di contatto.
  • Se usate o meno i dati per prendere decisioni automatizzate.
  • Qual è la vostra base legale per il trasferimento dei dati.

 

6. Chiedi l’opinione di un esperto

 

Non tutto del GDPR è completamente chiaro e presuppone uno sforzo di autoregolamentazione da parte sia dei Data Controller sia dei Data Processor. Del resto l’ordinamento italiano non ha ancora recepito il GDPR, perciò esistono anche zone d’ombra che richiedono un intervento chiarificatore da parte del legislatore e del Garante della Privacy.

La cosa migliore da fare è confrontarsi con legali esperti di privacy, le associazioni di categoria e i propri partner tecnologici.