Gli hotel sono luoghi unici in cui viaggiatori di tutto il mondo cercano comfort, lusso e una fuga dalla quotidianità. Ma, oltre a offrire il miglior servizio possibile, gli hotel hanno un’altra responsabilità fondamentale: proteggere la privacy dei propri ospiti. Con la crescente attenzione alla privacy e alla tutela dei dati personali, è essenziale che gli hotel adempiano a tutte le normative. Ecco alcuni adempimenti fondamentali da considerare.
1.Informative privacy:
Ogni hotel dovrebbe avere informative ad hoc, rispetto ai flussi dei dati che avvengono all’interno della struttura, in modo tale da spiegare come i dati dei clienti vengono raccolti, utilizzati e protetti. Sarà necessario che le stesse informative siano facilmente accessibili al cliente, infatti, è opportuno pubblicare queste ultime sul sito web dell’hotel e/o fornirle all’arrivo dei clienti e/o esposta all’interno dei luoghi maggiormente frequentati dagli ospiti. L’obiettivo è garantire che questi ultimi siano pienamente informati su come verranno gestiti i loro dati.
A tal proposito, nel caso sussista un impianto di videosorveglianza, per fini di protezione delle persone, della proprietà e del patrimonio aziendale, occorrerà informare clienti e ospiti attraverso la presenza di appositi cartelli informativi. Occorre inoltre informare che per tale trattamento non è richiesto il consenso, in quanto persegue il legittimo interesse dell’azienda a tutelare le persone ed i beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo e per finalità di prevenzione incendi e di sicurezza del lavoro. Nel caso in cui le immagini siano registrate, occorre informare che si provvede alla loro cancellazione nei termini previsti dal Garante (di solito dopo 24/48 ore, salvo festivi o altri casi di chiusura dell’esercizio) e che non sono oggetto di comunicazione a terzi tranne nel caso in cui si debba aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.
- Formazione del Personale:
Il personale dell’hotel deve essere istruito e messo a conoscenza delle procedure interne per garantire la sicurezza dei dati dei clienti. Questo include la gestione dei dati “sensibili” durante il check-in, il check-out, la pulizia delle stanze o gli spazi ristorazione, ma anche la sicurezza delle informazioni per mezzo di gestionali e software che si utilizzano per la registrazione degli ospiti (importante, avere singoli accessi).
- Protezione dei Dati Finanziari:
Gli hotel gestiscono spesso informazioni finanziarie, come dati di carte di credito. Dovrebbero essere implementate misure di sicurezza robuste per proteggere queste informazioni da accessi non autorizzati. La conformità agli standard di sicurezza dei dati come il PCI DSS è essenziale.
- Conservazione dei dati:
Gli hotel devono rispettare la corretta data retention e non conservare le informazioni più a lungo di quanto sia necessario per gli scopi dichiarati. Inoltre, devono garantire la cancellazione sicura dei dati quando non sono più necessari.
- Controllo degli Accessi:
Limitare l’accesso ai dati dei clienti solo al personale autorizzato è fondamentale. L’uso di password complesse, il controllo degli accessi basato sui ruoli e la crittografia dei dati possono contribuire a ridurre i rischi di violazione della privacy.
- Gestione e riscontro alle Violazioni dei Dati personali:
Gli hotel devono avere un piano di gestione e risposta in caso di data breach. Questo piano dovrebbe stabilire come riconoscere, affrontare e notificare tempestivamente le violazioni ai clienti e alle autorità competenti.
- Gestione dei consensi:
Gli hotel dovrebbero ottenere il consenso esplicito dei clienti per la raccolta e l’uso dei loro dati personali in relazione a specifiche e determinate finalità. Tale aspetto è particolarmente importante se si desidera utilizzare i dati per scopi di marketing, (es. e-mail promozionali etc.) o se è necessaria la raccolta di categorie di dati particolari, ad esempio relativamente ad allergie etc. Il consenso all’interno delle strutture ricettive è necessario anche per la conoscibilità a terzi della presenza dell’ospite all’interno della struttura.
- Verificare quali sono i soggetti interni alla struttura che entrano a contatto con i dati.
È importante, inoltre, incaricare i soggetti interni alla struttura che possono accedere ai dati dei clienti, in modo tale da conferire loro un titolo formale che li autorizzi a trattare i dati personali di questi ultimi, conferendo loro le opportune autorizzazioni, modalità operative e limiti.
9. Protezione delle Connessioni Wi-Fi:
Poiché molti ospiti si affidano alle reti Wi-Fi dell’hotel per connettersi online, è essenziale garantire che queste reti siano sicure e crittografate per proteggere i dati dei clienti. È necessario, inoltre, prevedere due reti wi-fi differenti, una per gli ospiti ed una per il personale interno. (dovrebbe essere scontato vero? e invece NO).
10. Prevedere delle specifiche procedure operative c.d. Policy
Ossia procedure formali scritte che stabiliscono le regole, nonché, linee guida specifiche per la gestione dei dati personali all’interno di una organizzazione. Risultano essenziali per determinare una corretta gestione del flusso dei dati, rispettando la normativa in materia di protezione dei dati personali. Le stesse promuovono l’approccio “privacy by design”.
Un esempio di policy utili riguarda la redazione di: procedure sulla gestione degli strumenti informatici, procedura sulla gestione dei social network, procedura sulla gestione della richiesta di esercizio di un diritto da parte di un interessato etc.
Ma esiste un altro aspetto importante da tener presente quando si parla di strutture ricettive:
Tutti i gestori di servizi ricettivi, comprese case vacanze, affittacamere etc., possono dare alloggio solo a persone in possesso della carta di identità o altro documento di riconoscimento. Dovrà essere sottoposto al cliente/ospite una scheda di dichiarazione delle generalità ed estremi dei documenti di riconoscimento, data di arrivo e notti di pernottamento, relazioni di parentela etc. E ‘necessario informare il cliente che il conferimento dei dati è obbligatorio ed il trattamento non richiede il suo consenso, ed in caso di rifiuto a fornirli non potrà essere ospitato nella struttura ricettiva.
I dati acquisiti per tale finalità non devono essere conservati presso la struttura ricettiva, a meno che il cliente non fornisca specifica autorizzazione. come previsto dal decreto 5 luglio 1994. Tale scheda deve contenere i dati pertinenti alle finalità di prevenzione e accertamento dei reati.
L’obbligo dei gestori, dunque, ai sensi dell’art. 109 del TULPS è quello di comunicare alla questura le generalità delle persone che alloggiano all’interno della struttura entro le 24 ore successive al loro arrivo, tale obbligo vige anche per coloro che svolgono attività ricettive a carattere saltuario.
La comunicazione deve avvenire esclusivamente secondo le modalità individuate dal D.M. 7 gennaio 2013, cioè tramite mezzi informatici o telematici, previa abilitazione all’inserimento dei dati nel sistema informatico istituito dal Ministero dell’Interno rilasciata dalla Questura territorialmente competente.
IMPORTANTE: Gli albergatori sono, quindi, obbligati ad identificare i propri clienti al fine di trasmetterne le generalità in questura. Tuttavia, la legge non parla di obbligo di trattenere i documenti, quindi possono chiedere di esibire i documenti, ma non possono trattenerli (nemmeno in fotocopia). Possono solo trascrivere i dati personali dei clienti per poi compilare un’apposita scheda da inviare all’autorità di pubblica sicurezza.
Gli adempimenti privacy per gli hotel non solo sono essenziali per proteggere i dati dei clienti, ma contribuiscono anche a costruire una reputazione di fiducia e a mantenere la fedeltà dei clienti. Gli ospiti devono sentirsi sicuri nel lasciare le loro informazioni nelle mani dell’hotel e saperle gestire con la massima cura e riservatezza. Con una buona compliance normativa in materia di protezione dei dati personali, gli hotel possono offrire non solo comfort, ma anche tranquillità ai loro ospiti.
Hai una struttura ricettiva ed hai bisogno di una consulenza riguardo alla gestione del flusso dei dati che avviene all’interno della tua attività? Hai bisogno di sapere se sei a norma?
Contattaci, i nostri esperti ti supporteranno in una fase di preassessment per valutare quanto necessario ed essere compliant al GDPR.