Gestione affitti brevi e GDPR cosa c’è da sapere

Gestione affitti brevi e GDPR: il regolamento europeo sulla protezione dei dati riguarda da vicino anche property manager, Bed & Breakfast e proprietari di seconde e terze case offerte in affitto per le vacanze.

Il GDPR o General Data Protection Regulation, come chiarisce l’acronimo, è un regolamento che riguarda la protezione delle informazioni sensibili, promulgato il 25 maggio 2018. Tutte le imprese che operano sul suolo UE devono rispettarlo, indipendentemente dalle loro dimensioni e dal tipo di attività.

È quindi fondamentale adeguare il proprio sistema di raccolta e conservazione delle informazioni su dipendenti, collaboratori e clienti.

Per rispettare il GDPR bisogna adeguare il proprio sistema di raccolta e conservazione delle informazioni su dipendenti, collaboratori e clienti

Quando parliamo di gestione affitti brevi, case vacanze, affittacamere eccetera, il regolamento GDPR vale per il trattamento dei dati relativi agli ospiti. Ma anche per gli eventuali collaboratori o dipendenti. Ad esempio quando ci rivolgiamo a un check-in manager o siamo i legali rappresentanti di un’agenzia specializzata in affitti.

Gli oggetti protetti dal GDPR sono tutti i dati che riguardano una persona fisica e la rendono identificabile.

Sbagliare è più facile di quello che sembra

Per quanto possa sembrare strano, violare il GDPR è piuttosto facile, perché le regole da seguire sono tante e non è sempre chiaro come rispettarle nel modo corretto.

Chi non segue alla lettera il GDPR rischia grosso: 

  • fino a 10 milioni di euro per i singoli o il 2% del fatturato totale per le aziende che non garantiscono uno standard di sicurezza adeguato;
  • fino a 20 milioni di euro per i singoli o il 4% del fatturato totale per le aziende che non esplicitano con chiarezza la richiesta per il consenso al trattamento dei dati.

Ovviamente si tratta di cifre pensate per i colossi del mondo high-tech, per i provider telefonici e più in generale per tutte le imprese multinazionali che gestiscono milioni e milioni di dati, vantano fatturati da capogiro e hanno bisogno di essere “incentivati” a seguire le regole con la minaccia di multe stratosferiche.

Il GDPR non indica un importo minimo per le sanzioni ma stabilisce che la multa debba essere effettiva, dissuasiva e proporzionata. Evitare la sanzione, se da un controllo non risultiamo in regola, è praticamente impossibile.

Ad oggi il 44% delle sanzioni comminate in base al GDPR riguardano il trattamento illecito dei dati, il 18% l’assenza di misure di sicurezza per proteggere le informazioni raccolte, il 9% un’informativa sul sito web mancante o non idonea. E ancora il 13% è dovuto al mancato rispetto dei diritti degli interessati e un altro 9%, infine, ad episodi di data breach. Quest’ultimo caso si verifica quando informazioni protette dalla Legge sulla Privacy vengono distrutte, perse, modificate, divulgate o ancora rese accessibili a tutti senza autorizzazione, volontariamente oppure no.

Le multe ci sono per tutti

Le sanzioni, in ogni caso, ci sono anche per il singolo professionista o la piccola attività a gestione familiare. Compresi property manager specializzati nella gestione affitti brevi, affittacamere e simili. Non importa se il soggetto giuridico in questione è un’azienda strutturata oppure no.

Come ha chiarito l’ex Garante della Privacy italiano, Antonello Soro, le multe sono proporzionate alla natura, alla gravità e alla durata dell’illecito. Possono pesare in modo importante sul nostro bilancio, soprattutto se siamo liberi professionisti. Tutto dipende dal nostro giro di affari. Fermo restando che a nessuno fa piacere sprecare liquidità per pagare ammende pecuniarie e amministrative a causa del mancato rispetto della Legge sulla privacy.

Le sanzioni per chi viola il GDPR sono previste anche per il singolo professionista e la piccola attività a gestione familiare

Facciamo un esempio

Nel 2019 un medico italiano è stato multato per aver utilizzato i dati di 3500 pazienti allo scopo di inviare email di propaganda elettorale. Ovviamente si tratta di una violazione lampante e di un illecito grave. A nessuno di noi verrebbe in mente di fare una cosa simile. Questo professionista ha pagato una sanzione pari a 16.000 euro. Ecco il dato interessante, che fa riflettere sull’entità delle multe…

Se abbiamo poco tempo e voglia di capire a fondo come funziona il GDPR, possiamo affidarci all’app Welcomeasy per la gestione dei dati degli ospiti. Welcomeasy rispetta al 100% quanto previsto dal GDPR, senza bisogno di pensare a nulla.

Il check-in in 30 secondi:
prova gratis per 1 mese Welcomeasy

Prova gratis

A noi resterà solo l’onere di occuparci delle informazioni che riguardano eventuali collaboratori, se ne abbiamo.

A cosa serve il GDPR

Il regolamento GDPR è stato introdotto dalla Comunità Europea per tutelare la privacy dei cittadini e impedire che informazioni private vengano usate in modo scorretto dalle aziende. È importante perché contribuisce a evitare l’utilizzo improprio dei dati sensibili di clienti, utenti, ospiti eccetera.

Impedisce cioè che dati come il nome e il cognome, il numero di telefono o la residenza vengano ceduti con facilità e in modo indiscriminato a terzi interessati a usarli. Per fare un esempio classico questi terzi possono essere società di marketing o aziende specializzate in ricerche di mercato.

Dall’entrata in vigore del GDPR è necessaria un’esplicita autorizzazione per vendere o usare i dati di cui si entra in possesso nello svolgimento del proprio lavoro. Anche se talvolta diventa necessario concedere l’uso delle proprie informazioni sensibili, ad esempio per usufruire di un servizio che ci interessa. 

GDPR Scopriamo meglio cosa prevede 

Le regole imposte dal GDPR obbligano le imprese a fornire agli utenti spiegazioni chiare e dettagliate sul trattamento dei dati personali e sulle finalità per cui vengono utilizzati.

Società e professionisti, quando raccolgono informazioni sensibili, sono tenuti a specificare chi sono il Titolare e il Responsabile del Trattamento dei Dati. Può essere un individuo ad assumersi ciascuno dei ruoli o una società di capitali.

Inoltre è necessario chiarire per quanto tempo verranno conservate e usate le informazioni raccolte.

Gli interessati hanno il diritto di essere eliminati dalle liste in possesso del professionista o della società e possono chiedere l’alienazione (cancellazione) definitiva dei dati raccolti.

Tutti i soggetti che vengono autorizzati a entrare in contatto con informazioni sensibili devono essere al corrente dei propri obblighi e dei diritti di clienti, utenti e ospiti.

Accanto alla figura del Titolare e del Responsabile del trattamento dei dati c’è quella del Responsabile della Protezione dei Dati. Un compito che va sempre affidato a un professionista specializzato o comunque a una persona che abbia adeguate competenze in materia di sicurezza informatica.

Per assumere il ruolo di Responsabile della Protezione dei Dati servono competenze in materia di sicurezza informatica

 Gestione affitti brevi e GDPR: di quali informazioni stiamo parlando

Per quanto riguarda la gestione affitti brevi, B&B, affittacamere eccetera ci sono principalmente tre tipi di dati da acquisire, conservare e tutelare.

  1. Dati identificativi degli ospiti
  2. Informazioni che riguardano i proprietari che affidano in gestione le proprie case
  3. Eventuali dati dei collaboratori

In quale modo raccogliamo questi dati? I canali usati per acquisire le informazioni sono generalmente tre.

  1. Conoscenza diretta (di persona)
  2. Contatto telefonico o via email
  3. Sito web e social network

Ovviamente le azioni da intraprendere sono differenti in base alla tipologia e alle dimensioni della nostra struttura/attività e dipendono dal tipo e dalla quantità di informazioni raccolte.

Ricordiamoci, ad esempio, che è più semplice gestire i soli dati anagrafici e di pagamento mentre diventa più complesso l’iter burocratico da seguire quando scegliamo di installare negli appartamenti che gestiamo dei sistemi di videosorveglianza. Anche se li spegniamo quando arrivano gli ospiti la sola presenza della videocamera ci impone degli obblighi aggiuntivi.

Cerchiamo allora di tracciare un percorso delle cose da fare per metterci in regola con il GDPR.

1-Mappare il flusso dei dati e identificare le figure responsabili

Se ci occupiamo di gestione affitti brevi, B&B, affittacamere, case vacanze e simili il primo passo è quello di mettere per iscritto una mappa di tutti i dati in entrata e in uscita a livello giornaliero. Quali e quante informazioni raccogliamo abitualmente? Di quale tipo? In che modo? Mettere nero su bianco queste attività è indispensabile per capire quali sono le informazioni da proteggere.

Ora definiamo a chi affidare il ruolo di Titolare e di Responsabile del Trattamento dei dati. Spesso, nel caso di un libero professionista o di una piccola attività, è lo stesso gestore o professionista a sobbarcarsi uno dei due ruoli. 

Il Titolare è la persona che stabilisce le modalità e il motivo della raccolta dati, oltre a decidere concretamente quali dati saranno raccolti, elaborati e chi potrà accedervi.

Il Responsabile è la persona fisica o giuridica (o anche l’autorità pubblica o il servizio) che tratta i dati personali per conto del titolare.

Talvolta le due figure coincidono: se non sulla carta, nei fatti. Come dicevamo non è facile districarsi tra le regole imposte dal GDPR.

2-Informare tutti e ottenere il loro consenso

Per agire rispettando i termini di legge è necessario che tutte le persone a cui chiediamo di fornire dei dati ci diano un consenso esplicito in forma scritta. L’informativa deve essere redatta con un linguaggio chiaro e comprensibile, senza condizioni nascoste o astruse formule burocratiche.  

Fortunatamente il consenso non deve essere richiesto anche all’atto del check-in, perché la trasmissione dei dati alla questura competente tramite Portale Alloggiati è prevista dalla legge. Mentre serve, ad esempio, se sul nostro sito web salviamo i dati di pagamento degli ospiti.

Dobbiamo chiedere il consenso tutte le volte in cui registriamo i dati dei clienti ma non per le informazioni da inviare tramite schedine alloggiati alla Polizia di Stato

3-Aggiornare la politica sulla privacy

Il sito internet della nostra attività deve essere dotato di un’informativa sulla privacy conforme alla legge e aggiornato per quanto riguarda la politica sulla privacy. Cerchiamo di essere trasparenti e di spiegare per filo e per segno quali dati raccogliamo online e in che modo, perché lo facciamo e per quanto tempo li conserveremo.

È importante, ad esempio, mettere nero su bianco l’informativa relativa ai cookie, che possiamo definire come dei “gettoni” di informazioni che riguardano l’attività di navigazione degli utenti sul nostro sito. Le informazioni sui cookie devono apparire subito, appena un internauta apre la nostra home page.

Ricordiamoci poi che dobbiamo chiarire come proteggeremo le informazioni raccolte dal sito e chi sarà il responsabile de loro trattamento.

4-Non dimenticare i social

Sistemato il sito, gli obblighi non sono ancora finiti. Molti di noi, occupandosi di gestione affitti brevi, B&B eccetera, hanno aperto una Pagina della propria attività su Facebook. Attraverso questa pagina acquisiamo nuovi contatti e riceviamo messaggi da parte di ospiti e proprietari di case.

Di conseguenza dobbiamo adeguarla al GDPR. Come? Colleghiamo la pagina aziendale Facebook al sito, per portare chi la visita a visionare l’informativa sulla Privacy. Se abbiamo problemi rivolgiamoci all’assistenza di Facebook.

I dettagli a cui non si pensa

Quando si parla di gestione affitti brevi e GDPR ci sono molti dettagli che possono sfuggirci. Chiedere i dati degli ospiti per il check-in è nostro diritto, ma questo non elimina l’obbligo di seguire la Legge sulla Privacy.

Se, ad esempio, ci viene in mente di fotografare i documenti dell’ospite e poi inviare le immagini via email o Whatsapp, potremmo finire nei guai. Il nostro telefono non è il posto più sicuro per conservare dati sensibili: stiamo violando la legge.

Chiedere i dati degli ospiti per il check-in è nostro diritto e dovere ma questo non elimina l’obbligo di seguire la normativa della Legge sulla Privacy

Quando a inviarci la foto del documento via Whatsapp è l’ospite non rischiamo problemi legati alla Legge sulla Privacy, a patto di cancellare l’immagine appena non ci servirà più.

Cosa succede se però perdiamo lo smartphone prima di aver cancellato fino all’ultima fotografia dei documenti immortalati? Dobbiamo denunciare l’accaduto al Responsabile per la Protezione dei dati. Il quale a sua volta deve fare denuncia dell’accaduto al Garante della Privacy. Un evento del genere, infatti, rappresenta un reato contro la privacy. E una sanzione amministrativa non ce la risparmia nessuno. Ma questo è solo un esempio.

Ci vuole lo strumento giusto

Per evitare problemi facciamo le foto dei documenti affidandoci a Welcomeasy: i suoi server, dove vengono salvate le immagini, si trovano all’interno della Comunità Europea e rispettano tutti i requisiti di sicurezza previsti dalla legge.

Inoltre la trasmissione dei dati tramite l’app è cifrata e non può essere attaccata da eventuali malintenzionati.

Con Welcomeasy evitiamo di rischiare di conservare impropriamente sul telefono o sul PC informazioni sensibili degli ospiti.

Il check-in in 30 secondi:
prova gratis per 1 mese Welcomeasy

Prova gratis

Welcomeasy è la soluzione per il check-in superveloce che azzera i tempi della burocrazia. Oltre all'App, con Welcomeasy avrai accesso a una piattaforma desktop per gestire in tempo reale tutti i check-in e l’attività dei tuoi collaboratori. Che tu sia il proprietario di un appartamento o il gestore di più strutture, Welcomeasy è la soluzione facile e sicura che ti fa guadagnare tempo.

Prova Welcomeasy gratis per 30 giorni senza vincoli nè carta di credito