GDPR hotel e GDPR ristoranti, cosa fare?
Tutto ciò da sapere sul GDPR per gli hotel e ristoranti
Dal 25 maggio 2018 troverà piena attuazione il Regolamento UE 2016/679 in materia di privacy, ormai noto come GDPR (acronimo di General Data Protection Regulation) che disciplina in modo organico a livello europeo la protezione dei dati personali.
Tutti coloro che per ragioni professionali vengono in possesso di dati personali sono soggetti alle disposizioni del Regolamento UE 2016/679: anche gli albergatori e ristoratori dovranno per tale motivo adeguarsi.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) avrà i seguenti punti descritti nell’articolo precedente: extraterritorialità, sanzioni, privacy by Design,consenso, aumento dei diritti per i titolari dei dati, notifiche di violazione obbligatorie.
Le nuove figure professionali
Le due nuove figure introdotte dal regolamento europeo:
- Data Controller è il titolare del trattamento dei dati
- Data Processor è il responsabile del trattamento dei dati
Riassumendo, secondo il GDPR, il Data Controller è l’azienda o organizzazione in possesso dei dati personali dei cittadini dell’Unione Europea. Per dati personali s’intende qualunque informazione, anche il solo nominativo del clienti.
Il Data Processor è invece l’azienda o organizzazione che si occupa dell’elaborazione e della memorizzazione di questi dati personali per conto del Data Controller.
In pratica: il Data Controller è l’albergatore/ristoratore in quanto azienda che possiede i dati personali dei clienti, mentre il Data Processor è l’azienda proprietaria del software che fornisce il gestionale, strumento con il quale i dati vengono raccolti e trattati.
La nuova normativa, regolando la raccolta, l’archiviazione, il trattamento e la condivisione di dati personali, vuole garantire che questi siano gestiti correttamente e nel rispetto dei titolari dei dati. Di seguito i principi del nuovo regolamento:
- l’ospite, ovvero il titolare dei dati, deve aver espresso il consenso per la raccolta e il trattamento dei propri dati personali per una o più specifiche finalità dichiarate in modo chiaro ed esplicito dall’hotel, oppure l’hotel deve dimostrare che il trattamento di tali dati è necessario per adempiere un obbligo legale o per completare un’azione, come nel caso del check in, dove il consenso per la raccolta e il trattamento dei dati personali è implicito (si ritiene già effettuato con la prenotazione).
- l’hotel deve essere in grado di dimostrare che l’ospite abbia dato il proprio consenso al trattamento dei propri in modo esplicito e attivo, per esempio l’iscrizione alla newsletter da parte dell’utente deve prevedere una casella deselezionata di default che l’utente deve spuntare prima della sua richiesta di iscrizione.
- è vietato trattare i dati personali che riguardano: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o politiche, dati genetici, dati relativi alla salute e all’ orientamento sessuale della persona.
- l’ospite ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano e il titolare del trattamento avrà quindi l’obbligo di cancellare tali dati.
- l’ospite ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali raccolti dal titolare del trattamento (hotel).
- il sito dell’hotel dovrebbe avere una pagina con l’informativa sulla privacy in formato esteso, per spiegare in modo dettagliato quali informazioni vengono raccolte dagli utenti che visitano sito – dati inviati liberamente dagli utenti, dati raccolti dai cookie e dati raccolti con ogni altro mezzo.
