Una vera rivoluzione nel modo di concepire privacy e protezione dei dati personali. Il prossimo 25 maggio sarà una data importante per le imprese di tutta Europa e per quelle internazionali, che vorranno continuare a fare affari con il Vecchio continente, hotel inclusi. A partire da quel giorno entrerà infatti in vigore il nuovo regolamento europeo sulla protezione dei dati personali, noto come Gdpr, che rafforza il concetto di trasparenza, al fine di promuovere una più ampia e dettagliata comunicazione sulle modalità con cui le informazioni vengono raccolte, gestite e utilizzate, nonché sulle misure di sicurezza attivate per proteggerle.
«La General data protection regulation nasce a partire dal vecchio Codice privacy 196/2003, ancora per poco in vigore, espandendone il campo di applicazione (e la severità) e aggiornandolo alle sfide dei nostri giorni», racconta Roberto Barin, privacy officer e consulente della privacy del gruppo Siges, che sarà tra gli espositori del prossimo Web in Tourism con la software house Sysdat Turismo. «La nuova normativa, in particolare, mette maggiormente a fuoco il diritto della persona fisica rispetto alla gestione dei propri dati e introduce una serie di principi inediti, come l’obbligo di trasparenza e liceità da parte di chi tratta le informazioni personali, l’utilizzo dei soli dati necessari al servizio erogato, la limitazione della conservazione delle informazioni raccolte, nonché la sicurezza e l’integrità nel trattamento dei dati personali. La responsabilità del rispetto della normativa è sempre in carico al titolare del trattamento dei dati stessi (cosiddetto principio di “accountability”), anche rispetto all’attività svolta dai dipendenti o dalle aziende che collaborano con il titolare. Procedure e applicazioni che trattano dati personali dovranno perciò essere concepite già a livello di progettazione in modo da garantire la tutela di tali informazioni (privacy by design) e l’uso dei soli dati personali necessari (privacy by default)».
Domanda. Quali in particolare le regole che interesseranno maggiormente gli hotel sia in ambito fisico (archivi e documenti), sia soprattutto nel contesto digitale?
Risposta. A prescindere dalle modalità di trattamento e conservazione, devono essere garantite la protezione del dato, la sua reperibilità in tempi brevi e anche la possibilità di cancellarlo sia parzialmente sia definitivamente (diritto all’oblio). Gli archivi cartacei devono poi essere classificati in base alla tipologia delle informazioni contenute e risultare accessibili solo a chi ha effettivamente necessità di utilizzare tali informazioni. Per gli archivi digitali l’analisi, invece, è più complessa e arriva a includere gli accessi interni ed esterni alla rete informatica, nonché le tecnologie in grado di scongiurare i rischi di manipolazione, perdita e utilizzo non corretto dei dati. Ma sul titolare ricade anche l’obbligo di dimostrare, persino a posteriori, il corretto accesso alle informazioni personali e di indicare chi l’ha effettuato materialmente.
D. Cosa dovranno fare perciò gli hotelier al fine di assicurarsi il pieno rispetto della normativa?
R. Innanzitutto ogni titolare deve analizzare quali dati sono trattati in azienda e per quale finalità, quali sono semplici informazioni personali e quali invece sono sensibili, o particolari. Poi deve definire chi e perché può avere accesso ai dati. È inoltre suo compito ulteriore valutare quali misure tecniche e organizzative mettere in atto, per garantire la protezione dei dati, e al contempo dimostrare di averle adottate. A tale scopo risulta perciò determinante l’apporto di figure professionali interne ed esterne dotate della necessaria capacità ed esperienza in materia. Il primo passo che mi sentirei di suggerire è perciò proprio quello di identificare in modo corretto tali figure professionali.
D. Quali i punti più critici, soprattutto nelle fasi iniziali di transizione?
R. Occorre un certo sforzo di analisi per l’individuazione dei molteplici elementi di natura tecnica e organizzativa atti a dimostrare, con specifica documentazione, l’attuazione dei punti essenziali della normativa. La precisa definizione di tutti i dati trattati all’interno dell’hotel, di chi vi accede e di come vengono protetti reclama competenze tecniche e conoscenze della normativa che non si possono improvvisare. È un’analisi che richiede tempo ma che rimane comunque solo la premessa alle fasi successive dedicate all’identificazione e all’implementazione delle soluzioni correttive.
D. Cosa rischia esattamente chi non riesce ad adeguarsi per tempo?
R. Il regolamento prevede delle sanzioni definite dissuasive, che possono arrivare al 4% del fatturato globale annuo (oppure a 20 milioni di euro, a seconda di quale delle due cifre risulti più alta, ndr). Oltre ai rischi sanzionatori, il non rispetto del regolamento Ue può pure comportare azioni legali da parte degli interessati, che ritengono di aver subito un danno rispetto al trattamento dei loro dati personali, nonché il blocco dell’operatività e danni anche pesanti all’immagine aziendale.
D. Quali allora le responsabilità specifiche in capo agli albergatori?
R. Per la loro operatività, gli hotel sono obbligati a trattare e a conservare i dati personali dei propri clienti, oltre che dei dipendenti. Alcune di queste informazioni sono classificate come particolari, o sensibili, e quindi suscitano particolare attenzione da parte dell’Autorità garante. In caso di verifiche effettuate dalla Guardia di finanza, che attestino che l’hotel non si è organizzato per proteggere i dati personali dei clienti, dei dipendenti, dei fornitori o di altri soggetti interessati, scattano le sanzioni amministrative. Ci sono poi varie casistiche di utilizzo non corretto delle informazioni o di furto dei dati personali (pensiamo per esempio alle carte di credito), che possono determinare pesanti oneri amministrativi e giudiziari per le strutture alberghiere.
Identikit di Sysdat Turismo
www.sysdat-turismo.it
Parte del gruppo informatico Siges, Sysdat Turismo è una software house italiana all’avanguardia, che opera da più di 40 anni nel campo della progettazione, realizzazione e manutenzione software per il settore alberghiero. La sua missione è quella di proporsi come unico interlocutore per le aziende, fornendo una gamma di prodotti, servizi e consulenza a 360 gradi per le strutture ricettive: un pacchetto completo e personalizzabile, capace di soddisfare tutte le esigenze in campo alberghiero con un software gestionale affidabile per l’organizzazione dell’hotel, del ristorante e della beauty farm; un crm in grado di instaurare una relazione profonda con il cliente mettendolo al centro delle scelte strategiche; un sistema di revenue management e business intelligence capace di analizzare, elaborare e migliorare le strategie aziendali; contabilità, magazzino e controllo di gestione per ottimizzare le varie risorse tra i reparti; un servizio di consulenza privacy pluriennale e certificata; nonché servizi web con soluzioni diversificate (booking engine, channel manager, sito web, web marketing in outsourcing), in grado di supportare strategicamente e operativamente ogni struttura ricettiva. L’offerta è infine completata dalla fornitura di apparecchiature hardware all’avanguardia.
Identikit di Siges Security
www.gdpr-consulenza-privacy.it
Siges Security è una divisione di Siges Group specializzata in consulenza privacy e sicurezza. Al suo interno si trovano varie competenze: da quelle legate ad alcuni settori, come il turismo, a quelle legali, fino alla sicurezza informatica. Un mix di competenze che rende possibile una visione del cliente hôtellerie a 360 gradi. Le soluzioni di consulenza Gdpr consentono in particolare ai clienti di migliorare le proprie procedure e di ottenere una adeguata documentazione, che attesti la propria attività in materia di tutela del dato personale qualora fossero soggetti a controlli. Questa attività è svolta in parallelo con la verifica anche di aspetti legali (informative, lettere di nomina dei responsabili del trattamento dei dati, contratti con i fornitori ) e di sicurezza informatica. Siges Security testa e certifica soluzioni informatiche, che di fatto eliminano molti dei problemi legati alla protezione delle informazioni (cifratura dei dati relativi a carte di credito, raccolta e archiviazione dei consensi in formato elettronico, salvataggio e cifratura degli archivi elettronici ). Moltissime aziende hanno già affidato a Siges Security la consulenza Gdpr e hanno avviato un processo di monitoraggio per rimanere sempre “compliant” rispetto alle leggi in vigore, implementando al contempo soluzioni sempre più sicure e performanti per la gestione della loro attività.
Comments are closed