PRIVACY & HOTEL

I comportamenti necessari a tutelare i dati personali in una struttura ricettiva e come adeguarsi agli obblighi imposti dal GDPR

Quale miglior modo di trascorrere le vacanze se non con un viaggio o una gita fuori porta, coccolati dalle premure del personale di un hotel? Attenzione, però alla protezione dei dati personali!

Oggi parleremo di privacy negli alberghi e strutture ricettive. Quindi, se sei titolare di un albergo, bed and breakfast, pensione, affittacamere, vediamo cosa cambia per te con l’entrata in vigore del GDPR. Insieme scopriremo quali sono gli obblighi imposti dalla normativa privacy e perché adeguarsi non rappresenta solamente un obbligo imposto dalla legge ma un’occasione di miglioramento della struttura.

Per ogni titolare di una struttura ricettiva la gestione dei dati personali del cliente è ormai entrata nella ordinaria attività quotidiana.

Ogni volta che si soggiorna in un hotel, è automatico comunicare in reception una serie di dati personali, anche di natura particolare, tra cui i dati nella carta di credito e carta di identità. Già nella fase iniziale della prenotazione, infatti, è necessario inserire nel sistema di prenotazione elettronica una serie di dati identificativi rilevanti.

Per questa ragione, l’albergatore o il titolare della struttura, diventano titolari di una miriade di dati personali svolgendo quotidianamente trattamenti che li rendono soggetti al GDPR. Ogni titolare della struttura, pertanto, deve essere in grado di garantire che i dati personali degli ospiti siano conservati secondo i principi dettati dal GDPR, offrendo all’interessato una serie di garanzie volte a tutelare i dati personali stessi.

È bene sempre ribadire che il Regolamento Europeo 2016/679 (GDPR) ha definito principi e regole cui devono attenersi tutti coloro che effettuano, a vario titolo, operazioni di raccolta, conservazione o elaborazione di dati personali.

Sono esclusi dal campo di applicazione del GDPR solamente i trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere personale e domestico.

Il GDPR, infatti, obbliga tutti coloro i quali effettuano trattamenti di dati personali a realizzare una serie di adempimenti in modo tale da garantire la piena conoscenza delle finalità, mezzi e motivazioni di ogni operazione che coinvolge un trattamento dati personali, consentendo la costante tracciabilità delle operazioni per evitare, così, diffusione illecita dei dati personali e mettere ogni interessato nelle condizioni di opporsi ad un’operazione dati non consentita. (vedi articolo https://coriglianoeporfido.com/finalita-e-vantaggi-delladeguamento-privacy-per-professionisti-e-aziende/)

Alla luce di tutto questo, quali sono i comportamenti che il titolare di un hotel deve tenere per rispettare le norme privacy?

1. l’albergatore, prima della prenotazione o, al massimo, entro l’arrivo in hotel degli ospiti deve mostrare un’informativa privacy che illustri come, per quanto tempo e con che finalità tratta i dati personali dei clienti.

2. l’albergatore non può richiedere dati ulteriori rispetto a quelli essenziali ai fini del corretto svolgimento dell’attività in questione, quindi, per la conclusione del contratto di albergo.

3. se l’albergatore viene a contatto con dati personali non essenziali alla definizione dell’accordo contrattuale, per la loro acquisizione deve chiedere espresso consenso. Ciò avviene, ad esempio, se l’ospite comunica all’albergatore delle informazioni relative allo stato di salute, necessarie, ad esempio, alla preparazione di alimenti privi di determinate sostanze.

4. se dopo il soggiorno in hotel vogliamo inviare al cliente delle newsletter volte a diffondere informazioni pubblicitarie o offerte sulla struttura, è obbligatorio richiedere all’ospite specifico consenso per lo svolgimento di attività di marketing, in caso contrario, l’invio di materiale pubblicitario rappresenta un utilizzo illecito dei dati dell’ospite, presupposto di una sanzione da parte del Garante privacy.

Cosa deve fare l’albergatore per mettersi in regola con il GDPR?

1. deve redigere una informativa completa, chiara e trasparente, secondo le indicazioni dell’articolo 13 GDPR in cui si illustri con chiarezza, ad esempio, come effettua il trattamento dati personali, chi sono i soggetti coinvolti e quali sono le misure di sicurezza adottate per la conservazione dei dati.

2. deve gestire la struttura in modo tale che la privacy rappresenti una modalità organizzativa insita nelle attività quotidiane (ad esempio, predisponendo un registro trattamenti che effettui una mappatura delle attività dell’hotel sotto il profilo dei dati personali).

3. verificare quali sono i soggetti interni alla struttura che entrano a contatto con i dati per poi conferire loro un tiolo che li autorizzi autorizzi a metter mano nei dati dell’hotel, conferendo loro modalità operative e limiti.

4. costruire dei sistemi di conservazione dei dati che rispetti garanzie e limiti temporali imposti dal GDPR.

5. adeguare i sistemi informatici agli obblighi GDPR per mettere l’hotel a riparo da eventuali perdite di dati;

6. modificare il sito internet dell’albergo predisponendo una privacy e cookie policy e accertandosi che il sistema delle prenotazioni e pagamenti tratti e custodisca i dati in sicurezza.

Attenzione al trattamento dati per finalità sicurezza!

Abbiamo chiarito che l’albergatore dovrà chiedere il consenso al trattamento dati dell’ospite solo se questo sia connesso a finalità diverse dalla conclusione del contratto di albergo come, ad esempio, allo svolgimento di attività di marketing o alla gestione di dati di natura particolare.

Trasmissione dati alla Questura

Quanto al trattamento dati per finalità di sicurezza realizzato, ad esempio, nella trasmissione dei dati degli ospiti alla Questura, obbligo cui sono soggetti tutti gli albergatori ai sensi del d.lgs. 7.1.2013 del Ministero dell’interno e art. 109 del Tulsp (Testo unico della legge di pubblica sicurezza), non è necessario che l’ospite presti consenso all’albergatore per questa attività ma deve esserne informato.

Videosorveglianza

Qualora si utilizzi un sistema di sorveglianza che preveda la registrazione delle immagini, gli ospiti devono esserne informati, inoltre, la durata della conservazione dei dati deve essere proporzionale al tempo necessario a raggiungere la finalità. Il Garante specifica che i dati possono essere conservati al massimo per 24 ore, salvo casi particolari per i quali i tempi possono essere allungati fino ad una settimana. La possibilità di conservare per un tempo superiore deve essere sottoposta al vaglio del Garante ed è concessa solo in caso di comprovate esigenze.
Ricordiamo, inoltre che gli alberghi sono luoghi di lavoro e, pertanto, si dovrà porre particolare attenzione a posizionare le telecamere in modo tale da non permettere un controllo a distanza dell’attività lavorativa. Qualora il controllo sia anche solo possibile, si dovrà comunque procedere a siglare un apposito accordo con le rappresentanze sindacali o a richiedere l’autorizzazione all’ispettorato del lavoro.

In conclusione, si può dire che il GDPR ha comportato una rivoluzione per tutti coloro che gestiscono dati personali. Quindi, tutte le strutture ricettive, venendo a contatto giornalmente con una miriade di dati dei clienti dovranno necessariamente mettersi in regola con il Regolamento europeo per:

– evitare le sanzioni fino al 4% del fatturato previsti dal GDPR in caso di violazione;

– tutelare il cliente che, sapendo di depositare i propri dati in un luogo sicuro, che gli mette a disposizione tutte le garanzie in termini di tutela di dati personali sarà di certo più invogliato a tornare nella struttura e pubblicizzarla;

– evitare che il cliente, in caso di utilizzo illecito di un proprio dato, possa citare in giudizio la struttura alberghiera per la rifusione dei danni subiti per la violazione della propria privacy.

– analizzare tutte le attività aziendali, i sistemi informatici e le risorse utilizzate, verificandone l’efficienza, non solo dal punto di vista privacy.

A tal proposito, diffida dall’utilizzo dei moduli pre-impostati che garantirebbero un adeguamento solo formale della tua struttura, ben lontano dal realizzare gli adempimenti richiesti dalla norma europea.

Cosa aspetti a saperne di più? Se sei un albergatore, contattaci per scoprire come adeguare la tua struttura al GDPR!