È senza dubbio il tema del momento. Ciascuno di noi, in questi giorni, sta ricevendo decine di email in cui si chiede di accettare le condizioni di adeguamento al nuovo regolamento europeo (Regolamento Ue 2016/79) sulla protezione dei dati, meglio conosciuto come GDPR – General Data Protection Regulation. La norma entrerà in vigore in Italia a partire dal 25 maggio 2018, sostituendo il regolamento nazionale vigente sancito dal decreto legislativo D.lgs 196/2003.
Cos’è e cosa cambia?
La GDPR rappresenta la nuova normativa atta a regolare la privacy dei cittadini europei e a stabilire in che modo gli enti pubblici, privati e attività commerciali, comprese le strutture turistiche, debbano raccogliere e utilizzare i dati sensibili delle persone (dati anagrafici, dati bancari, foto indirizzi IP), anche attraverso l’impiego dei cookie.
La novità più importante è senza dubbio l’introduzione di due figure, Data Controller e Data Processor, rispettivamente titolare e responsabile del trattamento dati, ovvero chi possiede i dati personali dei cittadini europei e chi è preposto a trattarli per conto di un titolare. Ad essi si aggiunge il Data Protection Officer, responsabile della protezione dei dati; questo ruolo può essere rivestito anche da un’entità esterna, come un libero professionista o un ufficio, purché abbia le adeguate competenze di sicurezza informatica.
La norma stabilisce che, in caso di violazione nelle procedure di sicurezza con rischio concreto per i diritti dei cittadini, il titolare del trattamento ha a disposizione 72 ore per informare le Autorità di Controllo.
Un’altra novità è il diritto a richiedere la cancellazione dei propri dati personali se questi non sono più necessari rispetto alle finalità per le quali erano stati raccolti, meglio conosciuto come diritto all’oblio. Se non sussiste altro fondamento giuridico che affermi il contrario, l’interessato ha diritto a revocare il consenso al trattamento delle informazioni qualora fossero state “catturate” illecitamente o siano decadute le finalità per cui erano state raccolte.
Altro punto importante, le sanzioni. In caso del mancato rispetto dei principi previsti dalla GDPR le multe potrebbero essere molto salate: fino a 20 milioni di euro o pari al 2%-4% del fatturato annuale.
Ma cosa significa per le strutture ricettive?
La regolamentazione riguarda tutte le realtà che entrano in contatto con informazioni e dati personali di persone fisiche per fini professionali o commerciali. Pertanto, tutte le strutture ricettive sono interessate e obbligate a conformarsi.
Come proprietario di case vacanze, ci sono alcuni adempimenti che non potrai trascurare. Sebbene è poco verosimile che attività di piccole e medie dimensioni rischino multe plurimilionarie, anche importi minori potrebbero costituire un danno, ma soprattutto metteresti a repentaglio la tua reputazione e la fiducia dei viaggiatori qualora non facessi le cose in regola. Tuttavia, non c’è da aver paura, con una corretta compliace aziendale eviterai di cadere in errore.
Va da sé che le modifiche da apportare variano in base al tipo o dimensioni della struttura, dalla quantità e tipologia di dati raccolti attraverso un minore o maggiore uso di tecnologia: si va dai semplici dati anagrafici e di pagamento alle informazioni che si possono ottenere tramite sistemi di sicurezza e videosorveglianza.
Abbiamo messo insieme i principali adeguamenti a cui ogni proprietario di case vacanze dovrebbe prestare attenzione, siamo certi che ti saranno di aiuto!
Mappa il flusso di dati e identifica Data Controller e Data Processor
Avere una mappa di tutti i dati in entrata e in uscita giornalmente vuol dire risalire a tutte quelle attività attraverso cui ottieni le informazioni dei clienti. Questo ti aiuterà a capire quali dati siano davvero necessari e a non commettere illeciti. Una volta fatto questo, definisci chi è il titolare dei dati e a chi spetta il loro trattamento (Data Controller e Data Processor), poiché in caso di inadempienze, la responsabilità verrà imputata ad entrambe le parti.
Informa l’utente e ottieni il suo consenso
Per agire dentro i termini di legge è necessario che ciascun cliente ti fornisca il consenso esplicito al trattamento dei suoi dati, e sarà compito tuo facilitare la comprensione da parte degli ospiti riguardo l’utilizzo delle informazioni che ti stanno fornendo. Per questo motivo ti consigliamo di ricorrere ad un linguaggio chiaro e comprensibile nella scrittura dei termini e condizioni del servizio e della politica sulla privacy. Anche per quanto riguarda i cookie è importante che l’utente sia a conoscenza del loro impiego nella raccolta di informazioni: se sul tuo sito web di case vacanze non è già presente l’apposito badge di avviso sull’utilizzo dei cookie, questo è il momento di inserirlo.
Aggiorna la politica sulla privacy
Certamente il tuo sito web è dotato di un’ informativa sulla privacy conforme alla legge vigente, ma dal 25 maggio 2018 dovrai necessariamente riscrivere o aggiornare la politica sulla privacy della tua attività. Dovrai essere il più trasparente possibile nello spiegare quali dati raccogli, in che modo (ad esempio le informazioni inviate volontariamente e quelle catturate attraverso i cookie), perché sono necessari e per quanto tempo resteranno a tua disposizione. Dovrai altresì dar conto di come proteggerai le informazioni, chi sarà responsabile del loro trattamento. Questo vale sia per i dati raccolti online che offline (al momento del check-in ad esempio).
Rendi conforme il tuo profilo Facebook
Tieni a mente, infine, che l’adeguamento GDPR riguarda anche le reti sociali: se possiedi un pagina Facebook aziendale per promuovere la tua attività ad esempio, questa dovrà essere resa conforme alla normativa. Per farlo ti basterà entrare nel tuo account, andare nel campo relativo alla Politica sulla privacy e reindirizzarlo alla sezione relativa alla Politica sulla Privacy e Protezione dei Dati che hai nella tua web.
Facilita agli ospiti l’accesso ai propri dati
È bene ricordare che i tuoi ospiti, qualora ne facessero richiesta, hanno diritto ad ottenere una copia dei propri dati in tuo possesso, entro 30 giorni dalla data della richiesta stessa, e anche alla cancellazione dei suddetti dati, salvo espliciti accordi differenti. Dovrai dunque essere pronto a ricevere e soddisfare richiesta di questo tipo.
Detto questo, è opportuno sottolineare come quella della GDPR sia una regolamentazione nuova e in fase di recepimento dall’ordinamento nazionale, pertanto dubbi e ombre sono più che comprensibili, e di certo nei prossimi mesi il legislatore nazionale e l’Autorità Garante per la Privacy saranno chiamati a dover fare chiarezza su molti punti. Per questa ragione il consiglio più ragionevole sembra essere quello di affidarsi a degli esperti di diritto della privacy, diritti di internet e sicurezza delle informazioni.
