GDPR per Hotel, cosa fare per mettersi a norma

Sicuramente molti di voi, in quest’ultimo periodo, avranno già sentito parlare del tanto “famigerato” GDPR che entrerà in vigore il 25 Maggio del 2018.

Per chi non conoscesse l’argomento, il GDPR (General Data Protection Regulation) è la nuova legge che disciplina il modo in cui le società gestiscono e proteggono i dati personali dei cittadini dell’Unione europea.

La norma interessa tutte le realtà che entrano in contatto con informazioni e dati personali di persone fisiche. Pertanto, hotel e strutture ricettive sono assolutamente interessate e obbligate a mettersi in regola con questa normativa.

La tematica è abbastanza ampia e alcuni aspetti della normativa non sono ancora perfettamente chiari, quindi, oggi vi forniremo una prima panoramica su questo argomento e nelle prossime settimane vi daremo ulteriori informazioni riguardanti la nuova legge.

 

Perché ne parliamo su Web Marketing e Turismo?

Una prima premessa doverosa: perché parliamo di questa tematica su un blog dove solitamente si parla di marketing? Bene, affrontiamo questo argomento perché molti aspetti del GDPR riguardano proprio la gestione dei dati che gli hotel utilizzano a fini pubblicitari.

Quindi se lavorate con AdWords, Bing Ads, Facebook Ads, newsletter ed altri canali pubblicitari è quanto mai importante mettersi in regola con la nuova normativa.

 

Cosa richiede la nuova normativa sulla Privacy.

Il GDPR si fonda su un principio di trasparenza che richiede alle strutture ricettive di condividere con i diretti interessati le modalità di utilizzo dei loro dati e di tutelarne la gestione e l’archiviazione.

Essenzialmente, ciò che viene richiesto nel GDPR è di fare un’analisi dettagliata dei trattamenti che vengono effettuati con le informazioni rilasciate, di redigere una privacy policy coerente con l’utilizzo dei dati raccolti e di appoggiarsi a infrastrutture tecnologiche sicure per la gestione dei dati.

 

Quali sono i requisiti fondamentali per rispettare il GDPR

Di seguito vediamo quali sono le attività più importanti che la maggior parte degli hotel devono rispettare per essere in regola con il GDPR.

 

• Richiedere agli ospiti esplicitamente il consenso alla raccolta e all’utilizzo dei dati.
• Informare chiaramente i clienti su quali saranno i dati che verranno raccolti, per cosa verranno usati, da chi saranno utilizzati e per quanto tempo verranno archiviati.
• Dare la possibilità alle persone di accedere ai propri dati per poterli modificare o rimuovere in qualsiasi momento.
• Fornire notifiche di violazioni dei dati tramite canali specifici e all’interno di specifici intervalli di tempo.
• Nel caso del salvataggio di dati digitali, assicurarsi che tali informazioni siano salvate all’interno di server sicuri e trasmessi tramite protocollo https.
• Nominare un responsabile della protezione dei dati per sorvegliare la conformità GDPR.

 

I passaggi che deve seguire un hotel GDPR per mettersi a norma:

1. Mappare il flusso di dati in entrata e in uscita

Può sembrare banale, ma è importante avere un’idea chiara di quali dati vengono raccolti quotidianamente. Risalite a tutte le attività attraverso le quali acquisite informazioni dei clienti e valutate bene quali di queste vi sono veramente necessarie.
Avere una visione precisa dei dati raccolti e delle modalità di acquisizione potrà aiutarvi a ridurre molto il rischio di incappare in eventuali inadempienze.

2. Pulite i vostri dati attuali

Prendetevi il ​​tempo necessario per contrassegnare i dati che avete attualmente nei vostri archivi e cercate di ottenere un consenso esplicito dai diretti interessati per continuare a conservare ed utilizzare i loro dati.

3. Aggiornare e formate il vostro personale interno

Ogni membro dello staff della vostra struttura ricettiva che potenzialmente raccoglie o elabora i dati degli ospiti, dovrebbe essere a conoscenza del GDPR e delle sue implicazioni, ma, cosa più importante, dovrebbe essere formato per saper gestire e utilizzare i dati degli ospiti in modo appropriato e rispettoso in ogni momento.

4. Aggiornare le  politiche sulla privacy

Esistono ottimi servizi online che potranno aiutarvi a creare una privacy policy conforme a quanto richiesto dal GDPR. Qualunque sia il servizio che utilizzerete, però, tenete conto che è importantissimo che la vostra Privacy Policy contenga i seguenti punti:

• Quali informazioni personali raccogliete.
• Come e perché raccogliete i dati.
• Come usate i dati.
• Come proteggete i dati.
• Qualsiasi terza parte con accesso ai dati e le loro finalità di utilizzo.
• Se e quali cookie utilizzate.
• In che modo gli utenti possono controllare qualsiasi aspetto dei loro dati.
• Chi è il responsabile del trattamento dei dati e le loro informazioni di contatto.
• Se usate o meno i dati per prendere decisioni automatizzate.
• Qual è la vostra base legale per il trasferimento dei dati.

5. Aggiornare il modo in cui raccogliete i vostri dati

Online: Dovreste documentare tutte le informazioni rilevanti relative al momento della registrazione dei dati, tra cui data/ora, indirizzo IP, metodo, ecc. Inoltre, dovreste richiedere a tutte le persone che vi rilasceranno i loro dati  di spuntare una casella per indicare che comprendono la privacy policy e che vi autorizzano ad attuare le varie tipologie di trattamento proposte.

Prestate molta attenzione durante il processo di “Lead Generation” su piattaforme di terze parte in quanto è responsabilità vostra accertarvi che i lead in arrivo da altre piattaforme abbiano autorizzato correttamente l’utilizzo dei propri dati e richiedere un’ulteriore conferma alla prima comunicazione.  [Esempio: Lead da campagna Facebook utilizzati per newsletter marketing]

Offline: Inoltre, al momento del check-in, dovreste dire esplicitamente e chiaramente ad ogni ospite quali dati state raccogliendo, perché li state raccogliendo, per cosa li utilizzerete e per quanto tempo li conserverete. E, naturalmente, ottenere il consenso all’utilizzo di tali dati. Dovrete informare i vostri clienti che queste informazioni, su loro richiesta, potranno essere cancellati in qualsiasi momento.

6. Prevedere una politica legata alla violazione dei dati

Nel caso in cui si verifichi una violazione dei dati, è necessario disporre di un processo con il quale si notifica all’autorità di vigilanza, entro 72 ore, dell’avvenuta violazione.
Inoltre, contestualmente all’autorità di vigilanza, devono essere informati di tale violazione anche i titolari dei dati.

7. Creare metodi per gli ospiti per modificare e rimuovere i loro dati

Nel caso in cui un cliente richieda una copia dei  propri dati, devono essergli forniti entro 30 giorni dalla data di tale richiesta. Il cliente può anche chiedere alla struttura che i propri dati vengano cancellati. La struttura, in tal caso, dovrà procedere alla rimozione delle informazioni a meno che non ci siano accordi contrattuali differenti.

8. Designare un addetto responsabile della protezione dei dati

Anche se non tutte le realtà avranno l’obbligo di definire un DPO (Data Protection Officer), sarà comunque importante avere una persona della struttura ricettiva o un operatore esterno che capisca i dettagli del GDPR e che possa garantire che la struttura sia conforme a quanto richiesto dalla legge. Se nella propria struttura non si dispone di qualcuno che abbia le conoscenze o il tempo per investire in tale attività, si consiglia vivamente di affidare a un esperto di terze parti l’esecuzione di un controllo di conformità dei dati.

9. Cerca consiglio legale se sei preoccupato

Anche con un responsabile dei dati designato per supervisionare la conformità della vostra struttura, potrebbe essere comunque una buona idea cercare un consiglio legale per valutare la vostra conformità al GDPR e in particolare per effettuare una revisione delle vostre Privacy.

10. Testare accuratamente il processo

Testate accuratamente il processo attraverso il quale le persone vi forniscono i loro dati, assicuratevi che tutto funzioni come dovrebbe e che i dati, una volta acquisiti, siano utilizzati in modo appropriato. Assicuratevi che i titolari di tali informazioni possano modificarli, limitarne l’uso e rimuoverli in qualsiasi momento.