Keep Calm And… Affrontiamo il GDPR per gli Hotel!

Ci siamo. Impossibile che tu non sappia cosa è successo il 25 maggio 2018, perché ormai anche chi non è del settore è stato bombardato di comunicazioni su questa fatidica data: l’entrata in vigore del GDPR, o General Data Protection Regulation.

Molte persone ne sono state influenzate semplicemente come utenti dei siti web, per cui avranno qualche spunta in più da mettere, oppure nuove condizioni da accettare.

Ma se stai leggendo questo articolo, probabilmente la cosa ti riguarda più da vicino. Perché se gestisci un hotel, un b&b o una qualsiasi attività commerciale aperta al pubblico, ci sono ottime probabilità che tu acquisisca qualche tipo di dato. Ed è proprio per queste strutture che il GDPR per gli hotel può rappresentare una spina nel fianco.

Tranquillo, sei ancora in tempo. Le regole che sono entrate in vigore il 25 maggio 2018 godranno con ogni probabilità di un breve periodo di assestamento, per cui non devi preoccuparti se ancora non hai ben capito in cosa consiste il GDPR, e soprattutto se ti riguarda. Però, se per qualche motivo non l’hai ancora fatto, è ora che inizi a muoverti! Per tua fortuna, a raccogliere tutte le info di cui hai bisogno ci abbiamo pensato noi.

data gdpr per gli hotel

Cos’è il GDPR per gli hotel e in quali circostanze bisogna attivarsi?

La General Data Protection Regulation è una nuova normativa europea che disciplina l’acquisizione dei dati personali degli utenti. Rispetto alle leggi precedenti (ad esempio quando è stata introdotta l’obbligatorietà della cookie policy), vuole essere molto più stringente e non permettere più che il consenso implicito all’uso dei dati preluda ad un utilizzo improprio di questi ultimi.

In particolare, saranno maggiormente regolamentate le modalità di raccolta dei dati e le responsabilità dei titolari del trattamento dei dati (nel nostro caso, l’hotel), i rapporti con entità esterne che abbiano a che fare con gli stessi dati (come ad esempio la stessa Wi-Fi Hotel, ma anche come eventuali plug-in o altre soluzioni digitali utilizzati per la raccolta dati) e regolamenta infine i diritti degli utenti relativamente alla gestione dei loro dati da parte di terzi.

La buona notizia è che in Italia, con il “Codice Privacy”, eravamo già abbastanza strutturati a riguardo, soprattutto rispetto agli altri Paesi Europei.  Ma ci sono cambiamenti sostanziali anche nel nostro Paese, ed è importante tutelarsi per non farsi trovare impreparati (e rischiare sanzioni salate).

multe gdpr

Ma quali dati riguarda il GDPR?

Presto detto: tutti i dati personali raccolti e gestiti dall’attività, relativi a persone fisiche, qualunque sia la finalità per la quale quei dati vengono raccolti. Facile no?

No, lo sappiamo che non lo è. Oggi viviamo in quella che è stata definita data economy, dove acquisiamo e cediamo dati continuamente. Come si fa a capire esattamente quali e quanti dati acquisiamo, anche indirettamente?

Nelle prossime righe proveremo a fare ulteriore chiarezza.

Per quanto riguarda i sistemi WiFi per hote, generalmente le finalità con le quali questi ultimi raccolgono dati sono due: la fornitura del servizio e l’utilizzo per scopi di promozione e marketing, per i quali sono necessarie considerazioni distinte, che faremo tra poco.

gdpr marketing dati

Cosa c’è da fare per prepararsi al GDPR per gli hotel?

Siccome il nostro Wi-Fi in hotel fa proprio questo, cioè raccoglie dati che vengono poi utilizzati ad uso interno e anche di marketing, come dobbiamo comportarci?

Se tu hai un Wi-Fi “fai da te”, e raccogli dati di base tramite le funzionalità offerte dal tuo hardware oppure mediante servizi o plug-in esterni, dovrai accertarti che il sistema di raccolta sia conforme ai dettami del GDPR  Infatti, i dati devono essere raccolti con modalità tali da garantirne la sicurezza in ogni fase del trattamento e i sistemi di memorizzazione e gestione devono essere progettati (privacy “by design”) con la privacy

Abbiamo lavorato alacremente per rendere Wi-Fi Hotel conforme sotto ogni punto di vista, sia per il consenso (raccolta) che per il rapporto con la società che raccoglie (cioè noi).

lista gdpr per hotel

Se sei nostro cliente, quindi, ti basterà seguire le nostre indicazioni per metterti completamente in regola con il GDPR. Ecco una checklist di 6 punti da seguire per assicurarsi la “compliance”.

  1. Rivedere i testi delle condizioni d’uso e la privacy policy: con il GDPR è obbligatorio disporre di una “privacy policy” redatta secondo criteri specifici, da mostrare agli utenti contestualmente all’acquisizione dei loro dati. In realtà lo era già in precedenza, e probabilmente ne avrai già una sia sul tuo sito sia nella pagina di registrazione del WiFi. Il GDPR richiede tuttavia testi ancora più chiari che in passato. A questo proposito, abbiamo preparato nuove privacy policy di “default”, che è possibile attivare premendo un tasto sul pannello di controllo. In generale, la privacy policy ora deve essere molto più esaustiva sulle modalità di conservazione dei dati e su altre informazioni relative alla condivisione di questi ultimi con entità terze.
  2. Il consenso all’uso dei dati non può più essere implicito: Questo è uno dei cambiamenti a cui stare più attenti. Con le regolamentazioni precedenti, in certi casi era possibile acquisire consensi impliciti da parte degli utenti. Secondo il GDPR, invece, il consenso esplicito potrà da ora essere facoltativo solo per i dati di uso e privacy, mentre sarà obbligatorio per quelli ad uso marketing. Ciò significa che gli utenti dovranno attivamente mettere una spunta ad una casella di accettazione. Per limitare il numero di checkbox, si può omettere la richiesta di dati per condizioni d’uso e privacy perché sono impliciti. Wi-Fi Hotel 3.0 dispone da sempre di opzioni di configurazione che permettono di definire quali autorizzazioni richiedere e quali debbano essere date obbligatoriamente.
  3. Sottoscrivere un DPA con i provider esterni: inoltre, dal 25 maggio bisognerà sottoscrivere un DPA (data protection agreement) tra il titolare al trattamento dei dati (cioè l’hotel) e ogni eventuale responsabile esterno al trattamento (ciò che in questo caso fa Wi-Fi Hotel, per esempio) in ottemperanza al GDPR. Si tratta di un documento nel quale il titolare delega la raccolta e la gestione dei dati a un soggetto esterno, assicurandosi che questi disponga delle conoscenze e dei mezzi necessari per effettuare una gestione a norma di legge. Dovrebbe essere la struttura a mandarlo al provider esterno. Per le strutture che ancora non l’avessero fatto, abbiamo preparato documenti ad-hoc, sotto forma di addendum contrattuali, in grado di regolamentare gli aspetti del rapporto relativi alla gestione dei dati, con modalità tali da rispettare la normativa.
  4. Chiedere il permesso a soggetti dei quali si sono ottenuti i dati in passato (con modalità non conformi al GDPR): il GDPR prevede anche l’eventuale “repermissioning dei dati passati”: nel caso si utilizzino ancora dati raccolti precedentemente all’entrata in vigore della nuova norma, e i consensi al trattamento non siano stati ottenuti oppure siano stati ottenuti con modalità non in linea con quelle attuali, è opportuno inviare agli interessati messaggi (ad esempio via mail) di richiesta di consenso al trattamento, alla luce della nuova normativa. Ovviamente, se in passato il consenso è stato fornito esplicitamente, in conformità al precedente “Codice Privacy”, non è necessario chiedere nuovamente il permesso.
  5. Verificare cosa è marketing e cosa no: se non si fanno attività di marketing di alcun tipo, non sarà necessario attivarsi per queste modifiche. Attività come chiedere una quick review a un ospite o altri feedback ad uso interno, come dicevamo, non sono qualificabili come attività di marketing e promozione, quindi possono essere dirette verso tutti, anche chi non ha dato il consenso “allargato”. Ma se proponiamo il ristorante, o chiediamo una recensione su TripAdvisor, allora sì, cadiamo nella comunicazione di marketing. In questi ultimi due casi dovrò fare in modo da indirizzare le comunicazioni a chi mi ha dato il consenso al trattamento a fini marketing. Tutto questo è possibile e configurabile in modo semplice e automatizzato su Wi-Fi Hotel.
  6. Devono potersi liberare di voi: anche la possibilità di annullare la sottoscrizione a qualsiasi servizio di contatto deve essere data esplicitamente secondo il GDPR. Se non è già incluso un link “unsubscribe” in tutte le vostre comunicazioni, quindi, ti conviene correre ai ripari! Wi-Fi Hotel ha attivato un sistema automatico tramite il quale è possibile disiscriversi in qualsiasi momento dagli invii relativi a informazioni commerciali, così da lasciare comunque la possibilità di mandare comunicazioni ad uso interno, come dicevamo sopra.

Cosa ne pensi? È tutto un po’ più chiaro ora, vero? Facci sapere se hai dubbi e scopri cosa possiamo fare per te con la nostra piattaforma, oltre ad aiutarti a metterti in regola con il GDPR per gli hotel in un batter d’occhio!

Menu