Come comportarsi con i dati della registrazione via mail per la connessione al wifi dell’albergo; come gestire le operazioni di up-selling e cross-selling dedicate agli indirizzi acquisiti in fase di prenotazione diretta; la questione chatbot e l’eventuale rilevanza delle informazioni contenute nelle conversazioni automatizzate; il rischio sicurezza e le misure che gli hotel devono intraprendere per garantire la corretta conservazione dei dati degli ospiti. Entrato in vigore dallo scorso 25 maggio, il nuovo regolamento europeo sulla privacy (Gdpr) è oggi l’argomento più hot del momento nel mondo delle aziende italiane, hôtellerie compresa.
Molto perciò è stato già detto e scritto a riguardo. A volte persino a sproposito, suscitando spesso allarmismi inutili. Basti pensare alla mole infinita di mail, che tutti noi abbiamo ricevuto in questi giorni da mittenti preoccupati di avvisarci di quanto avessero a cuore i nostri dati. A Web in Tourism abbiamo quindi provato a sfatare alcuni miti sul Gdpr, al contempo affrontando una serie di questioni estremamente pratiche, che ci sono state suggerite dai nostri stessi lettori. A fare chiarezza sull’argomento, un grande esperto della materia come l’avvocato Marco Maglio, docente di diritto dei consumi e del marketing, nonché di diritto del web.
Abbiamo così scoperto che, in tema di registrazione e connessione wifi, le regole di base, di fatto, non sono cambiate: «Se intendo usare dei dati forniti da una persona, esiste un principio di cortesia che mi impone di comunicare come intendo servirmi di tali informazioni», ha in particolare raccontato Maglio. È così per esempio che se lo scopo è semplicemente quello di inviare un breve questionario di valutazione dei servizi alberghieri, il consenso esplicito non è necessario, ma occorre senz’altro fornire all’ospite un’informativa esauriente: «Il messaggio non dovrebbe però avere i toni burocratici spesso tanto cari agli albergatori», ha aggiunto Maglio. «Molto meglio servirsi di un approccio cortese, declinato in un testo semplice, chiaro e immediato. Tanto più che la norma permette il rinvio a contenuti più approfonditi, nel caso fossero necessarie ulteriori specificazioni di natura tecnico-legale».
Il nuovo regolamento europeo ha in effetti un approccio tutt’altro che restrittivo alla materia. Il suo obiettivo è quello di fare in modo che i dati siano raccolti con la piena consapevolezza delle persone a cui sono richiesti. Ma il consenso può essere molte volte desunto dai comportamenti positivi e non equivoci dell’utente stesso. Nel caso di specie, se l’ospite viene correttamente informato e accetta di registrarsi, è come se fornisse un’approvazione consapevole anche alla ricezione dei successivi questionari di valutazione.
Naturalmente il discorso cambia, se si intende invece utilizzare le mail per inviare messaggi a fini promozionali. In questo caso è infatti sempre opportuno richiedere all’ospite il consenso esplicito tramite la cosiddetta flag, ossia la spunta sulla casella corrispondente all’attività specifica. «Ma solamente perché è più comodo fare così», ha prontamente puntualizzato Maglio. «Perché in linea teorica il Gdpr consentirebbe di desumere ogni volta il consenso sulla base del comportamento effettivo dell’utente. Solo che in tale circostanza, per dimostrarlo servirebbero piattaforme di tracciamento web molto complesse, in grado di testimoniare incontrovertibilmente la volontà della persona. Ciò che invece va assolutamente evitato in ogni occasione sono le caselle pre-barrate o i sistemi che prevedono solo il diritto di cancellazione (opt-out)».
Un’eccezione a tale “regola” è quindi rappresentata da quello che in termini legal-digitali si definisce «soft spam», ossia dalla possibilità di inviare messaggi promozionali, tipicamente di up o cross-selling, a indirizzi ottenuti al momento dell’effettuazione di una prenotazione diretta da parte di un cliente. In questo caso particolare, l’albergatore, sempre che fornisca all’ospite un’informativa adeguata, è infatti libero di utilizzare la mail per promuovere nuovi servizi e prodotti. Il simile ragionamento si applica anche a una pratica comune diffusa in molti hotel, utile a facilitare la connessione alla rete wifi dei device elettronici degli ospiti. Si tratta della conservazione del cosiddetto Mac address, ossia dell’identificativo della scheda di rete di uno strumento digitale. Un’attività che è assolutamente permessa, previa naturalmente l’immancabile disponibilità di una seppur sintetica informativa ad hoc.
Un caso più delicato riguarda invece i chatbot. Soprattutto perché si tratta di un fenomeno sostanzialmente nuovo, che il regolamento non tratta nel dettaglio. Il problema si pone nel momento in cui, durante la conversazione automatizzata, l’ospite fornisce dati personali di matrice sensibile, come per esempio accenni alle proprie esigenze dietetiche o di carattere religioso, oppure anche, più semplicemente, il nome e il cognome di chi viaggia insieme a lui e il relativo recapito. «Chi gestisce il chatbot deve allora preoccuparsi di raccogliere le informazioni in maniera corretta. Per esempio, stabilendo che il tempo di conservazione dei dati sia strettamente limitato alla gestione di un servizio specifico», è stato il suggerimento di Maglio. «Se invece l’idea è quella di sfruttare riferimenti e dati così raccolti per attività di profilazione, e magari promozionali, occorrerà garantire informative e ottenere eventuali ulteriori consensi ad hoc. Nessuno però impedisce di procedere per step parziali, inviando comunicazioni e richieste in fasi successive, ben distinte l’una dall’altra».
A chiusura del suo intervento, Maglio ha quindi trattato il tema del rischio informatico: forse la questione più controversa del Gdpr e sulla quale si sono diffuse «vere leggende metropolitane». In realtà, il regolamento europeo è piuttosto sintetico sulla questione e ne accenna in un unico articolo, il 32, che per di più è uno dei più corti dell’intera normativa. Questi afferma tra l’altro che le misure di sicurezza devono essere economicamente sostenibili: adeguate, in altre parole, ai costi di mercato e allo stato dell’arte della tecnologia. «Ciò vuol dire che non esiste alcun standard minimo da rispettare. Bensì si richiede semplicemente un comportamento responsabile e consapevole da parte di chi tratta i dati», ha concluso Maglio. «Il testo cita, in effetti, alcune misure indicate come elementi da prendere in considerazione, quali i processi di criptazione e i sistemi di ripristino. Nulla di tutto ciò è però obbligatorio. È vero, certo, che occorre dotarsi di processi in grado di individuare e segnalare eventuali violazioni, da comunicare poi entro 72 ore al Garante. Ma questo non vuol dire che le imprese debbano dotarsi di un sistema di sicurezza in stile Nasa. Come invece a volte mi è capitato purtroppo di sentire affermare da sedicenti esperti, pronti a sfruttare l’occasione di business generata dal panico diffuso tra gli operatori».
L’evento in breve
La conversazione come nuova frontiera dell’interazione digitale hotel-ospite, la questione influencer e il loro reale valore promozionale, il pms ieri oggi e domani, nonché una serie di consigli per migliorare l’esperienza dei clienti direttamente tratti dalla fortunata trasmissione 4 hotel di Sky. Non si è parlato solo di Gdpr in occasione dell’ultima edizione di Web in Tourism: l’evento Job in Tourism dedicato alla tecnologia applicata al contesto dei viaggi e dell’ospitalità ha visto come sempre un folto pubblico assieparsi nella sala immersiva dell’Enterprise Hotel di Milano. Tante sono state infatti le persone che hanno seguito con attenzione una mattinata ricca di approfondimenti e spunti pratici, utili a chi si destreggia ogni giorno con l’universo in costante evoluzione del fattore digitale applicato al turismo.
Comments are closed