Hotel, b&b, alberghi, strutture ricettive e GDPR

Si sente sempre più parlare di privacy, di violazione dei dati sensibili e di necessità di adeguarsi al GDPR in modo da non incorrere in possibili denunce e richieste di risarcimenti danni. Anche i bed and breakfast, gli alberghi e tutte le altre strutture ricettive devono rispettare il regolamento imposto dalla legge in materia di privacy ed è proprio per questo che non bisogna farsi trovare impreparati. Leggiamo il perché nelle prossime righe.

Cos’è il GDPR e cosa bisogna fare per adeguarsi

GDPR è l’acronimo di General Data Protection Regulation, ossia in italiano il Regolamento Generale sulla Protezione dei Dati che entrato definitivamente in vigore già lo scorso 25 maggio del 2018: Regolamento UE 2016/679.

Il GDPR è dunque in poche parole quella legge che disciplina le varie modalità con le quali le società o i soggetti che gestiscono i dati personali dei cittadini europei devono operare. Tale normativa interessa tutte quelle realtà che, durante lo svolgimento della loro attività principale, entrano in contatto con informazioni e dati personali di persone fisiche (i cosiddetti dati sensibili). Tali realtà devono necessariamente seguire tutta una serie di adempimenti al fine di garantire agli interessati la trasparente conoscenza delle finalità per le quali i loro dati vengono raccolti ed utilizzati, i mezzi con i quali questi dati vengono trattati e le modalità di utilizzo, il tutto per evitare qualsiasi possibile di diffusione illecita dei dati personali degli interessati stessi.

Il GDPR e le strutture ricettive

Quando pensiamo alle strutture ricettive non sempre realizziamo che esse rientrano fra i soggetti che trattano quotidianamente una miriade di informazioni di dati sensibili: oltre al nome e cognome dei clienti, sono quasi sempre in possesso di tutti i dati relativi ai documenti di identità (obbligatori per poter pernottare in struttura dato che gli stessi vanno trasmessi obbligatoriamente alla questura con l’invio delle presenze giornaliere ai sensi del d.lgs. 7.1.2013 del Ministero dell’interno e art. 109 del Tulsp ), dell’indirizzo email, del numero telefonico e spessissimo anche dei dati della carta di credito.

Ecco perché l’albergatore o il titolare di una struttura alberghiera, nonché chi gestisce bed and breakfast o affittacamere e similari, diventando titolare di tutti questi dati personali, deve essere in grado di garantire che gli stessi vengano raccolti, gestiti e conservati secondo i rigidi principi dettati dal GDPR e allo stesso tempo deve anche garantire all’interessato che i suoi dati sensibili non vengano violati e rimangano completamente tutelati.

Cosa deve fare l’albergatore o il titolare di una struttura ricettiva per mettersi in regola?

Beh, innanzitutto, la prima cosa che un albergatore deve fare è scaricarsi dalla Gazzetta Ufficiale dell’Unione Europea il regolamento completo e di leggerselo in tutte le sue parti, per meglio comprendere i principi basilari del GDPR. L’altra cosa principale, molto importante da fare, è quella di modificare/attualizzare l’informativa della privacy presente su tutto il materiale aziendale (sito, contratti, blog, moduli di registrazione del soggiorno, ecc. ecc.) in modo che il cliente, ancor prima del suo arrivo in struttura, possa conoscere come vengono utilizzati i propri dati personali, per quali finalità e per quanto tempo.

Bisogna poi che l’albergatore ricordi che non può assolutamente chiedere dati ulteriori rispetto a quelli essenziali per la sottoscrizione del contratto alberghiero (in poche parole per la registrazione del soggiorno e per l’affitto della camera) e che qualora venga a contatto con tali dati non essenziali ne debba esplicitamente richiederne apposito consenso. Pensiamo ad esempio al caso in cui un cliente comunichi di avere delle particolari allergie alimentari, per la preparazione dei suoi cibi. Ecco, anche questi sono considerati dati sensibili in quanto strettamente legati alla persona fisica.

Una volta, poi, trascorso il periodo di tempo indicato per la gestione dei dati sensibili dei suoi clienti, l’albergatore deve procedere ad immediata cancellazione da tutti i suoi archivi, pena sanzione da parte del Garante della Privacy. Anche qualora, dopo il soggiorno, l’albergatore volesse rimanere in contatto col cliente finale, tramite l’invio di newsletter, comunicazioni di marketing o anche semplici messaggi di cortesia (esempio auguri natalizi) esso è sempre obbligato a richiederne preventivamente specifico consenso, lasciando inoltre la possibilità al cliente finale di poter cambiare idea in qualsiasi momento. È molto importante non dimenticare che l’invio di qualsiasi tipo di materiale pubblicitario, attraverso qualsiasi mezzo (email, posta, sms, ecc.), senza averne esplicito consenso scritto, rappresenta un illecito punibile da legge.

L’albergatore deve istituire una persona specifica per la gestione del GDPR?

La legge prevede che solo le imprese che hanno oltre 250 dipendenti e che trattino dati caratterizzati dall’alto rischio siano obbligate a nominare un DPO (Data Protection Officer) o, come meglio conosciamo in italiano, un RPD (Responsabile della Protezione dei Dati). Tale figura ha responsabilità diretta di fare in modo che in una determinata azienda vengano osservate tutte le imposizioni del Regolamento Europeo in materia di GDPR e di supervisionare la gestione del trattamento dati personali (e di conseguenza la loro protezione) delle persone fisiche.

Nelle strutture ricettive che non hanno l’obbligo di istituire questa figura, è il titolare dell’azienda che diventa il responsabile del trattamento dati della propria clientela e per questo è bene che sia ben informato e preparato sul GDPR in modo da non inceppare in involontari errori, che sarebbero in ogni caso soggetti a sanzioni, spesso anche parecchio consistenti. A tal proposito si consiglia loro di richiedere una consulenza in materia ad aziende specializzate, come 679 SeiSetteNove nata proprio per aiutare chiunque ne abbia bisogno (aziende, imprese, alberghi, liberi professionisti, ecc.) a rimanere al passo col nuovo Regolamento Europeo 679/2016. Attraverso una consulenza di professionisti del settore, l’albergatore potrà essere istruito in merito alle competenze necessarie e agli strumenti giusti da dover utilizzare per proteggere tutto il patrimonio dei suoi dati aziendali. Si eviteranno così brutte sorprese e si potranno dormire sonni sereni.