Luglio, piena estate. Si comincia ad assistere all’esodo di coloro che dalla città si recano in luoghi di vacanza. Infatti, ad oggi, effettuare una prenotazione è semplicissimo: basta cercare dal proprio smartphone una struttura nella località desiderata prenotando dalle agenzie di viaggio on-line (booking etc.) o dal sito dell’albergo prescelto, è solo questione di qualche “click”.
L’interazione digitale tra clienti ed alberghi pone questi ultimi in contatto con tutta una serie di dati personali la cui disciplina, dall’entrata in vigore del Regolamento UE 679/2016 (GDPR), ha subito notevoli trasformazioni. Che cambia?
L’IMPORTANZA DEL CONSENSO
Innanzi tutto va fatto presente che il fornitore del servizio di booking online è un semplice responsabile del trattamento: il titolare del trattamento dei dati è la struttura alberghiera.
Il consenso va inteso come base giuridica per il trattamento dei dati personali da parte dell’interessato, ovvero quel soggetto (cliente, dipendente, consulente) di cui l’albergo tratta i dati personali.
La struttura, in molti casi, tratterà dati particolari dell’interessato (più sensibili dei comuni dati anagrafici), per i quali il libero consenso deve essere prestato esplicitamente ed in modo l’inequivocabile, sebbene non vi sia obbligo di documentarlo in forma scritta.
Inoltre, all’interessato, nel prestare il consenso, devono essere chiarite le finalità per cui vengono utilizzati i propri dati (ad esempio marketing, profilazione, iscrizioni alle newsletter dell’albergo).
Non sussiste, invece, l’obbligo di chiedere il consenso per il check-in in struttura, in quanto si considera precedentemente prestato al momento della prenotazione e parte di questo contratto.
Ancora, l’interessato ha diritto a richiedere la cancellazione dei dati (diritto all’oblio) e il totale dovrà adempiere alla richiesta, qualora ne sussistano i presupposti ex art. 17 GDPR.
UN SISTEMA RISK BASED
La ratio del GDPR si basa su un’ottica di responsabilizzazione del titolare: questi ha il dovere di tenere il registro dei trattamenti (di dipendenti, fornitori e clienti) e il potere di scegliere discrezionalmente e consapevolmente le misure di sicurezza adeguate al fine di assicurare la conformità dell’azienda rispetto alla normativa, tutelando i dati trattati.
Pertanto risulterà necessario per il titolare realizzare la valutazione dei rischi e la valutazione di impatto (cd. DPIA) – si pensi a titolo esemplificativo al caso di un albergo che vanti un ingente numero di presenze giornaliere, adotti un sistema di videosorveglianza nel quale si registrano dati sensibili di clienti e dipendenti, tratti dati di minori, etc. – in collaborazione col Data Protection Officer (DPO) o col consulente privacy, al fine di minimizzare i rischi scaturenti dal trattamento dei dati, mettendoli in sicurezza sia nella fase di progettazione del sistema di sicurezza (cd. Privacy by design) che per impostazione predefinita (cd. Privacy by default).
La normativa, per l’appunto, prevede l’istituzione di una “nuova” figura: il Data Protection Officer (Responsabile del trattamento dei dati), la cui nomina viene effettuata dal titolare del trattamento e può risultare volontaria o obbligatoria, in seguito all’analisi dei rischi della singola realtà alberghiera.
Tale analisi non potrà prescindere dal vaglio della quantità e/o della qualità dei dati trattati, finalizzata a constatare se per la struttura alberghiera si ravvisi la cd. “Larga Scala”, elemento che rende obbligatoria la nomina del DPO. (come previsto dall’art. 37, par. 1, lett. b) e c) del GDPR).
In aggiunta, risulterà necessario, onde evitare le pesanti sanzioni introdotte, aggiornare le privacy policy dei siti internet ed aver cura di scegliere la modalità maggiormente sicura di archiviazione dei dati presenti nel sistema gestionale alberghiero.
Luca Barreca,
Dottore Magistrale in Giurisprudenza,
Data Protection Specialist,
mail: [email protected]
Compila il form per maggiori informazioni
[contact-form-7 id=”62147″ title=”Fai una domanda”]