Gestisci un albergo e ti promuovi sul web? Allora questo articolo è per te!
Da quando il GDPR è entrato in vigore, sono stati registrati circa 281.000 casi di non conformità al regolamento ed alcune aziende hanno rischiato di pagare sanzioni fino a 20 milioni di euro. Nel 2019 il gruppo Marriott ha dovuto pagare 125 milioni di dollari proprio per non aver adempiuto alla norma.
Per chi come te vende sul web ed utilizza dati di terze parti acquisiti attraverso piattaforme di vendita, di gestione analitica ed alberghiera, il mancato rispetto delle norme vigenti, rappresenta un forte rischio d’impresa.
Partiamo dal principio: cos’è il GDPR?
L’acronimo sta per General Data Protection Regulation, si tratta nello specifico di un Regolamento dell’Unione Europea sulla protezione dei dati, in vigore dal 25 maggio 2018. La normativa ha l’obiettivo di garantire alle persone fisiche interessate una maggiore tutela dei propri dati. Per dato personale s’intende qualsiasi informazione riguardante una persona fisica che la renda identificata o identificabile. Sono dati personali: l’anagrafica dei clienti, gli indirizzi IP e tutti gli identificativi di una persona ma anche dati personali come come intolleranze alimentari segnalate dai clienti, appartenenza sindacale e l’appartenenza a categorie protette dei tuoi dipendenti e qualsivoglia altro elemento sensibile della persona dato particolare (ex dati sensibili).
Se hai un hotel sei Titolare del trattamento dei dati personali, mentre i tuoi fornitori, a cui affidi i dati personali per determinate finalità, sono responsabili esterni del trattamento (ad esempio il commercialista, il webmaster o agenzie web).
Quali sono i passaggi fondamentali per essere a norma con il GDPR?
Considerato che quale gestore e/o proprietario del tuo hotel sei Titolare del trattamento dei dati ecco gli aspetti da considerare:
- Verifica del flusso dei dati nel tuo Hotel, redigendo il Registro del Titolare del trattamento: come e a chi vengono comunicati, chi ha accesso ai dati (personale dipendente, consulenti in out sourcing, software house), come questi vengono trattati e le misure tecniche e organizzative a tutela dei dati trattati;
- Confronto con i fornitori: è importante che tu sappia come i tuoi fornitori, dal consulente del lavoro ai GDPS a PMS e CRM gestiscono i dati dei tuoi dipendenti e di chi soggiorna da te. In poche parole, è necessario verificare che i fornitori mettano in atto misure tecniche e organizzative che tutelino i dati personali che gli sono stati affidati;
- Definizione di ruoli e piani di intervento: è fondamentale definire formare il tuo staff per evitare gli errori più frequenti (password banali, apertura mail di provenienza incerta) e consolidare procedure in caso di violazioni (implementando misure tecniche in grado di prevenire gli attacchi informatici) o contestazioni (come richieste di disiscrizione alla newsletter o eliminazione di immagini ritraenti persone fisiche dal sito o canali social), non lasciarti trovare impreparato!
I passaggi da fare:
- Chiedi esplicitamente ai tuoi utenti web se intendono essere tracciati (vedi cookiebar sul sito)
- Informativa sulla Privacy: aggiornala e rendila conforme a come effettivamente vengono trattati i dati.
- Reception: assicurati che le tue politiche di raccolta dei dati alla reception siano conformi perché tutto ciò che raccogli offline deve essere conforme anche al GDPR.
- Dati esistenti: il GDPR si applica a tutti i dati in tuo possesso a prescindere da quando sono stati acquisiti.
- Formazione: fai in modo che il staff sia formato nella gestione dei dati degli utenti, nelle politiche aziendali per maneggiare gli stessi e che il processo sia chiaro.
- Aggiornamenti: il regolamento è in continua evoluzione, resta informato ed aggiorna il processo di gestione dei dati costantemente.
GDPR: cosa sancisce?
- L’utente ha diritto di essere informato su quali dati vengono raccolti e come vengono trattati (anche per quanto vengono archiviati);
- l’utente ha diritto di accedere ai dati raccolti;
- l’utente ha diritto di rettificare i dati che l’azienda ha in mano;
- l’utente ha diritto di chiedere la cancellazione dei propri dati;
- l’utente ha diritto di chiedere una restrizione dell’utilizzo dei suoi dati;
- l’utente ha diritto di trasferire i suoi dati personali su richiesta;
- l’utente ha il diritto di trasferire i propri dati personali su richiesta.
Le aziende devono essere molto chiare nel comunicare agli utenti i processi di gestione e trattamento dei dati e permettere agli stessi di modificare qualsivoglia passaggio, anche se si tratta di algoritmi artificiali.
E tu sei già in regola con tutti gli aspetti del GDPR? Vuoi saperne di più?
Di questo e di bandi per gli hotel parleremo il 30 novembre 2023 dalle ore 09:30 alle ore 11:00 presso la nostra sede in via Flaminia 138.
Sarà una mattinata in compagnia dell’Avv. Lucia Inzerilli di Consulenti Privacy Srl e Ivan Guaitoli esperto in finanziamenti e bandi per alberghi.
La formazione è completamente gratuita. Ti va di partecipare? Iscriviti ora!