Il tuo hotel è pronto per il GDPR?

Se non ne hai ancora sentito parlare, è bene rimediare subito. Da maggio, in tutti i Paesi dell’Unione Europea, entrerà in vigore una serie di nuove norme per la protezione dei dati sensibili dei cittadini. In questo articolo, vediamo insieme quali conseguenze comporterà questa novità per il sito del tuo hotel e per le tue attività di promozione online.

Come per ogni novità legislativa, il primo consiglio è sempre lo stesso: sangue freddo e niente panico.

Cos’è il GDPR

Il General Data Protection Regulation, altrimenti noto come Regolamento Europeo 679/2016 sulla Data Protection (GDPR), è una nuova norma dell’Unione Europea pensata per offrire ai cittadini un maggior controllo dei loro dati sensibili. Ogni attività commerciale attiva nel mercato europeo dovrà rispettare queste nuove regole a partire dal 25 maggio prossimo, data prevista dell’entrata in vigore del GDPR.

Devi sapere che in Italia, a tutela della privacy e per il trattamento dei dati di tutti i cittadini, è in vigore il Codice in materia di protezione dei dati personali (D.lgs 196/2003), anche conosciuto come Codice della Privacy. Secondo quanto previsto, il nuovo regolamento europeo prevarrà sulla legge nazionale interna. Tuttavia, a detta di più esperti, “la sola esistenza ed applicazione del GDPR non comporta, provenendo questo da un ordinamento (quello europeo) diverso da quello nazionale, l’abrogazione automatica della legge statale regolante la medesima materia”. In sostanza, per chiarire compatibilità e incompatibilità fra il Codice della Privacy italiano e il GDPR, si attende un intervento chiarificatore da parte del legislatore e dell’autorità Garante nazionali.

Data Controller e Data Processor

Per capire come funziona il GDPR, è d’obbligo una premessa a proposito delle nuove figure introdotte dal regolamento europeo. Il GDPR prevede le figure del Data Controller e del Data Processor:

• il Data Controller corrisponde al Titolare del trattamento dei dati previsto nel Codice della Privacy italiano;
• il Data Processor corrisponde al Responsabile del trattamento dei dati previsto nel Codice della Privacy italiano.

In sintesi, per quanto prevede il GDPR, il Data Controller è qualunque organizzazione in possesso dei dati personali di uno o più cittadini dell’Unione Europea – per dati personali s’intende qualunque informazione, anche il solo nome dei tuoi clienti, per esempio.

Il Data Processor è l’organizzazione che si occupa dell’elaborazione e della memorizzazione di questi dati personali per conto del Data Controller.

Un esempio chiarirà meglio la distinzione fra le due figure. Se usi il nostro gestionale, sei un cliente 5stelle*. In questo rapporto di collaborazione, il Data Controller sei tu, in quanto azienda in possesso dei dati personali dei tuoi clienti. Il Data Processor è 5stelle* o, per meglio dire, KosmoSol S.r.l., vale a dire la società proprietaria di 5stelle*.

Per approfondire le differenze terminologiche fra Codice della Privacy e GDPR e il significato delle nuove figure introdotte dal nuovo regolamento europeo, ti consigliamo la lettura di questo articolo.

Cosa dovresti fare

Per rispettare le regole previste dal GDPR, puoi iniziare a verificare alcuni punti. Vediamoli insieme con l’aiuto di 80 DAYS.

1. Identifica il Data Controller e il Data Processor

Anzitutto, come visto poco fa, ogni volta che entri in contatto con i dati personali dei tuoi ospiti, devi poter identificare le figure del Data Controller e del Data Processor. Questo perché, secondo il GDPR, entrambe le figure sono tenute a rispettare il nuovo regolamento europeo, il che vuol dire, fra l’altro, che, in caso di violazioni, sia il Data Controller che il Data Processor saranno ritenuti responsabili.

Le multe comminate ai trasgressori, come previsto dal GDPR, possono ammontare fino a 20 milioni di euro o il 4% del fatturato annuo. Se vuoi approfondire le responsabilità e le sanzioni previste, ti suggeriamo la lettura di questo articolo.

2. Iscrizioni solo con il consenso esplicito e attivo

Il GDPR prevede che qualunque cittadino europeo che scelga di inviarti i suoi dati personali debba poter esprimere in modo esplicito il suo consenso; inoltre, deve poter capire per quali fini saranno usati i suoi dati. Questo vale anche per le operazioni più semplici, come, per esempio, l’iscrizione alla newsletter del tuo hotel. A questo proposito, il modulo di iscrizione alla newsletter dovrebbe prevedere una casella di controllo, deselezionata per impostazione predefinita: in questo caso, se una persona volesse ricevere la tua newsletter, dovrebbe spuntare questa casella di controllo prima di inviare la sua richiesta di iscrizione.

Il regolamento europeo prevede anche delle eccezioni. Se i dati personali di un cliente sono necessari per completare un’azione, il consenso per la raccolta e il trattamento dei dati personali è implicito. Il caso tipico è il check-in. Per poter registrare i tuoi ospiti, non devi richiedere il consenso per il trattamento dei loro dati – si presume che avrai già ottenuto il loro consenso all’atto della prenotazione.

3. Uso dei cookie per attività di marketing online

Breve premessa. Un cookie è un file di testo memorizzato da un sito, o da un altro servizio online, nel dispositivo di navigazione usato (computer, tablet, smartphone). Il cookie consente al sito di “ricordare” le tue azioni o preferenze nel tempo – quindi, sono utili per personalizzare la tua esperienza di navigazione.

Il GDPR non si occupa a fondo dei cookie. Considera che l’Unione Europa aveva regolamentato l’uso dei cookie già nel 2011, con un apposito regolamento.

In sintesi, l’Unione Europea, con il regolamento del 2011, prevede che ogni visitatore del tuo sito esprima il suo consenso esplicito per l’uso dei cookie, sempre che questi cookie consentano di identificare la persona – ecco perché nel tuo sito compare, o dovrebbe comparire, la barra con l’apposita informativa e la richiesta di consenso all’uso.

La buona notizia è che la maggior parte degli strumenti adottati per l’attività di marketing online del tuo hotel, per esempio Google Analytics e Google AdWords, raccolgono ed elaborano i dati degli utenti in forma anonima, quindi esulano dalle norme contenute nel GDPR.

La sola eccezione al momento nota ha a che fare con le campagne AdWords che sfruttano l’opzione Customer Match. Se mostri annunci a pagamento su Google ai tuoi clienti in base ai loro dati personali raccolti in precedenza (indirizzi mail, numeri di telefono, indirizzi postali), devi aver ottenuto il loro consenso per questo uso specifico. In caso contrario, violeresti le norme del GDPR.

4. Informativa sulla privacy

Il tuo sito dovrebbe avere una pagina con l’informativa sulla privacy in formato esteso. Questa pagina dovrebbe spiegare in modo dettagliato quali informazioni stai raccogliendo dagli utenti che visitano il tuo sito – dati inviati liberamente dagli utenti, dati raccolti dai cookie e dati raccolti con ogni altro mezzo.

In più, devi illustrare, con la massima trasparenza possibile, come e per quali finalità usi questi dati.

In questo caso, per non sbagliare, non resta che un consiglio: fai verificare il testo della tua informativa sulla privacy al tuo studio legale di fiducia o a un professionista esperto di trattamento dei dati sensibili. Questo è il modo più sicuro per sapere se il sito del tuo hotel è in regola con le norme contenute nel GDPR.

Qualche mito da sfatare

Sul Web puoi trovare una lunga serie di articoli dedicati al GDPR. Tuttavia, la confusione è ancora tanta. Anzitutto, non farti prendere dal panico. I pochi punti visti finora dovrebbero essere già sufficienti per ottemperare gli obblighi previsti dal nuovo regolamento europeo.

Nel tentativo di fare più chiarezza, sfatiamo qualche falsa credenza assai diffusa in Rete:

Mito 1: il GDPR regolamenta solo l’uso dei dati identificativi personali
In realtà, non è esatto. Oltre ai dati riferiti agli individui (nome, cognome, indirizzo, data di nascita, ecc.), le nuove norme si applicheranno anche agli indirizzi IP e, come scritto poco sopra, ai cookie.

Mito 2: le norme del GDPR si applicheranno solo ai dati raccolti dal 25 maggio in poi
Falso. Le norme si estendono a tutti i dati raccolti ed elaborati – non conta quando sono stati raccolti.

Mito 3: il fornitore del mio booking online è il solo responsabile per il trattamento dei dati (io non c’entro nulla)
Anche questa è un’affermazione falsa. Come abbiamo visto all’inizio dell’articolo, il GDPR prevede le figure del Data Controller e del Data Processor. Nel caso della raccolta e del trattamento dei dati con il booking engine, il Data Controller, ossia il titolare del trattamento dei dati, sarai tu, non il fornitore dello strumento – il fornitore sarà il Data Processor, vale a dire il responsabile del trattamento dei dati. Quindi, entrambi dovrete rispettare le norme del GDPR.

Mito 4: le multe sono salate
Come già visto, nel caso fosse accertata la violazione delle norme previste dal nuovo regolamento europeo, il GDPR prevede sanzioni amministrative fino a 20 milioni di euro o il 4% del fatturato annuo. Nessuno può affermarlo con certezza, ma è improbabile che una piccola impresa possa ricevere multe tanto elevate. È assai più probabile che, in caso di gravi violazioni della privacy o di diffusione illecita dei dati personali dei tuoi clienti, il tuo hotel ne risenta di più in popolarità e integrità della sua immagine pubblica. In sostanza, rischi soprattutto una gran brutta figura agli occhi dei tuoi possibili ospiti.

Nota bene. Se desideri adeguare il tuo sito e le tue attività di marketing online alle disposizioni contenute nel GDPR, ti consigliamo di consultare un professionista legale, specializzato in materia di privacy e trattamento dei dati personali. Questo articolo è stato scritto per offrirti una panoramica a proposito delle nuove norme europee e non rappresenta in nessun modo un’alternativa a una consulenza specialistica.