Il modulo privacy è un’incombenza che va correttamente gestita anche da chi si occupa di una piccola o media struttura ricettiva. Le regole valgono per tutti, pure per i proprietari delle case vacanze. Di fatto non c’è differenza tra alberghi a 5 stelle, B&B, agriturismi o case in affitto breve.
Con l’avvento del GDPR, nel 2018, la gestione delle informazioni sensibili è cambiata, complicando ulteriormente la vita degli albergatori e dei professionisti dell’ospitalità (e non solo!). Le regole della Legge Privacy esistono ormai da 4 anni, ma alcune sono state recepite con lentezza e spesso i chiarimenti dai nostri legislatori e dal garante sono stati divulgati solo a spizzichi e bocconi. Per questo è sempre bene ricapitolare quali sono le best practice da applicare, così da evitare guai e sanzioni.
Come muoversi
Dobbiamo seguire una serie di regole per operare nel rispetto del Regolamento sulla Privacy, sia quando raccogliamo dati sui turisti offline, nel momento in cui arrivano nella nostra struttura ricettiva, sia se raccogliamo le informazioni personali degli ospiti online.
Prima di tutto è necessario fornire al viaggiatore il modulo privacy e l’informativa cartacea che spiega come trattiamo i dati personali. Senza dimenticare che il nostro sito web deve essere correttamente aggiornato e configurato, con una cookie policy chiara per tutti e un form di contatto redatto nel rispetto delle normative europee. Il sistema migliore per la gestione dei cookie, attualmente, è quello di permettere facilmente di attivare solo quelli necessari, oppure tutti i cookie o ancora nessuno, con un semplice clic o tap. Ma torniamo al modulo privacy, per capire cos’è e come funziona.
Il nostro sito web deve essere aggiornato e configurato con una cookie policy chiara per tutti
La raccolta dei dati sensibili
Gestori di strutture ricettive e proprietari di case e appartamenti in affitto turistico hanno il dovere di chiedere i dati e i documenti ai propri ospiti, perché devono comunicarli alla questura competente. Ma siccome in questo modo vengono in possesso di dati sensibili, devono farlo seguendo le regole che proteggono la privacy.
Chiariamo subito un concetto: siamo autorizzati al 100% a chiedere i dati che per legge sono necessari al check-in, ma dobbiamo conservarli correttamente e chiedere il consenso se li usiamo anche per altri scopi. Pensiamo a nomi, cognomi, indirizzi, eventuali informazioni per profilare la clientela come professione o abitudini di viaggio, oppure ai dati dei minori: sono tutte informazioni preziose che vanno protette.
Il check-in in 30 secondi:
prova gratis per 1 mese Welcomeasy
Informativa e modulo privacy per i clienti della struttura
Al momento del check-in in struttura dobbiamo consegnare all’ospite un modulo cartaceo, che ci deve sempre essere restituito firmato. In questo modulo bisogna spiegare come e perché avviene la raccolta dei dati personali degli ospiti. Se chiediamo dati in due momenti diversi, ad esempio all’atto della prenotazione sul sito e poi di nuovo al check-in, dobbiamo chiarire perché lo facciamo e spiegare come siamo organizzati in merito.
L’informativa sulla privacy deve essere trasparente e concisa. L’obiettivo è mettere l’ospite in condizione di capire facilmente cosa sta firmando e quali consensi sta prestando. Come gestori e proprietari dobbiamo conoscere a memoria questi moduli, per rispondere a tutte le eventuali domande e chiarire a chi ha dubbi come può fare per dare o negare i diversi consensi.
L’obiettivo è mettere l’ospite in condizione di capire facilmente quali consensi sta prestando
Cosa va scritto nell’informativa Privacy
Riassumendo, nell’informativa cartacea il cliente prende visione e poi firma un documento (il modulo privacy) in cui andrebbe spiegato quanto segue.
- Chi è il titolare del trattamento dei dati personali.
- Quali sono le modalità e le finalità del trattamento dei dati, se ad esempio i dati vengono utilizzati per finalità di marketing dirette o se vengono ceduti a terzi per lo stesso scopo.
- Come avviene la gestione e il tipo di trattamento dei dati.
- Qual è la durata del trattamento dati, cioè per quanto tempo vengono conservati.
- Come chiedere eventualmente l’eliminazione dei propri dati dall’archivio.
Ricordiamoci di indicare con precisione il periodo durante il quale conserviamo i dati e i criteri in base ai quali abbiamo calcolato questo intervallo di tempo. Inoltre, non dimentichiamoci di cancellare i dati inutilizzati trascorso il periodo di conservazione autorizzato!
I problemi del modulo cartaceo
Usare un modulo cartaceo può essere comodo, perché basta stampare una nuova copia quando serve, ma poi c’è la scomodità di conservare correttamente il documento, che contiene dati sensibili, in un archivio o un armadio chiuso a chiave, al quale devono poter accedere solo le persone autorizzate al trattamento dei dati.
Se ci organizziamo per fare tutto online ci troveremo sicuramente più comodi. Ma anche l’archivio digitale, ovviamente, deve essere adeguatamente protetto da password e da sistemi di crittografia per scongiurare manomissioni e furti di dati.
Welcomeasy permette di caricare liberamente i propri moduli privacy all’interno della sezione dedicata alla gestione delle caratteristiche degli appartamenti. Questi moduli risultano poi disponibili per coloro che compilano i check-in online. Ogni modulo è indipendente dagli altri in termini di raccolta e uso dei dati.
Welcomeasy permette di caricare liberamente i propri moduli privacy
Serve un Responsabile della Protezione dei Dati?
Gestiamo uno o due appartamenti o siamo proprietari di un paio di immobili che affittiamo ai turisti? Non serve nominare una figura dedicata alla Protezione dei Dati (chiamata anche DPO, Data Protection Officer). Se però abbiamo un agriturismo, un B&B, un hotel o ci occupiamo di diversi appartamenti e case in affitto breve è meglio strutturarsi perché ci sia qualcuno che si occupi di effettuare e garantire il monitoraggio dei dati secondo i principi del GDPR. Possiamo affidarci a un esperto esterno: diverse società specializzate offrono questo servizio a prezzi accessibili (meno di mille euro all’anno).
Serve un Registro delle Attività di Trattamento?
Il Registro delle Attività di Trattamento è obbligatorio solo per le aziende e le attività che abbiamo dai 250 dipendenti in su. Questo a patto che il trattamento dei dati non presenti un rischio per i diritti e le libertà delle persone, che si tratti di un trattamento occasionale e che il tipo di dati raccolti non rientri in alcune categorie particolari. Il Registro è l’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare o del responsabile del trattamento dati. Contiene l’indicazione delle misure tecniche e organizzative implementate per garantire la protezione delle informazioni raccolte. Anche se non siamo obbligati ad avere un registro del genere, potrebbe essere comodo redigerlo.
Il registro delle Attività di Trattamento non è obbligatorio ma potrebbe essere comodo
I consigli per non sbagliare
In ogni caso ricordiamoci sempre di fare quanto segue.
- Elencare i soggetti (compresi consulente del lavoro e commercialista) e i software o le app che usiamo e che sono coinvolte nella gestione dei dati.
- Creare accessi individuali e protetti da password forti a sito, app e gestionali, con differenti livelli di permesso.
- Dare le password per usare le app e gli strumenti che contengono dati sensibili solo alle persone autorizzate.
- Mappare i trattamenti dei dati, mettendo in relazione i dati utilizzati, i soggetti coinvolti e le finalità d’uso.
- Individuare eventuali rischi per ciascun gruppo di dati e definire le misure più adatte per garantire la sicurezza delle informazioni, organizzandosi al meglio.
Privacy al sicuro con Welcomeasy
Welcomeasy, con la sua App desktop e mobile, è un sistema che rispetta la privacy al 100%, perché l’unico fine per cui usa i dati salvati o caricati nei profili è quello statistico. A Welcomeasy non servono i dati dei clienti delle strutture ricettive, né per ragioni di marketing né per qualunque altro scopo diverso (appunto) da quello statistico.
Welcomeasy non divulga i dati, non li vende a terzi, e tutte le sue nostre strutture hardware sono all’interno del territorio europeo, come richiesto dalle norme del GDPR.
Tutte le transazioni tramite App o pannello di controllo e via check-in online avvengono sfruttando protocolli di sicurezza criptati e sicuri. Il team di Welcomeasy si impegna giornalmente a mettere in pratica tutte le norme di sicurezza per tutelare l’intero ecosistema!
Il check-in in 30 secondi:
prova gratis per 1 mese Welcomeasy