L’introduzione del GDPR ha avuto un notevole impatto sulla gestione del trattamento dei dati personali da parte delle strutture ricettive. Al fine di rispettare la normativa, i gestori di alberghi, hotel, B&B, ecc. devono intervenire proattivamente e rimodellare le proprie prassi operative in modo che sia sempre dimostrabile l’adozione delle più ampie cautele e dei massimi accorgimenti finalizzati ad una effettiva ed efficace tutela dei dati personali degli ospiti.
Con il presente articolo – e con altri che seguiranno a breve – intendiamo fornire ai gestori delle strutture ricettive sia una sintetica panoramica delle novità più importanti sia alcune indicazioni pratiche, utili per individuare e risolvere le criticità più comuni in materia di privacy, tipiche del settore alberghiero.
Prima di addentrarci nell’analisi dei risvolti privacy, è bene che sia chiaro il significato di alcuni concetti di base. Ai sensi del GDPR, è considerato dato personale qualunque informazione che identifica o rende identificabile una persona fisica e che può fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, ecc. Per trattamento, invece, si intende qualsiasi operazione o insieme di operazioni effettuate, con o senza l’ausilio di processi automatizzati, su dati personali. A fini esemplificativi, rientrano nella definizione di trattamento operazioni come la raccolta, la registrazione, la conservazione e la modifica di dati, ma anche la cancellazione o la distruzione degli stessi.
Qualsiasi struttura ricettiva, ovunque situata e di qualsiasi dimensione, effettua inevitabilmente uno o più trattamenti di dati personali. Ovviamente, le tipologie di trattamenti e la quantità di dati trattati cambiano molto a seconda che ad effettuarli sia una guest-house in una zona periferica di una piccola cittadina o il grand hotel di una metropoli. Così come a cambiare sono anche le finalità per le quali i dati personali degli ospiti sono trattati. Mentre una grande struttura ricettiva sarà quasi certamente interessata a conservare i dati degli ospiti al fine di permettere una più semplice registrazione in caso di soggiorni successivi o di inserirli nella propria mailing list per finalità di marketing, la stessa cosa non potrà dirsi per un piccolo affittacamere.
Pertanto, nell’analisi finalizzata alla verifica del sistema di compliance che ogni struttura ricettiva deve adottare per conformarsi al GDPR, è di fondamentale importanza, innanzitutto, identificare i trattamenti effettuati nell’esercizio dell’attività. Una volta individuati tutti i trattamenti effettuati nel corso dell’attività operativa, è necessario comprendere che qualsiasi trattamento di dati personali deve essere giustificato da una finalità e legittimato da una base giuridica riconosciuta dal GDPR. Per base giuridica si intende una di quelle condizioni specificamente previste dall’art. 6 del GDPR, dalle quali deriva la legittimità di un dato trattamento (consenso, esecuzione del contratto o di misure precontrattuali, adempimenti di un obbligo legale, salvaguardia di un interesse vitale, esecuzione di un compito di interesse pubblico, perseguimento di un legittimo interesse).
Volendo sfatare un luogo comune, affinché un trattamento di dati sia lecito non è sempre necessario il consenso dell’interessato, in quanto vi sono altre condizioni che legittimano i diversi trattamenti possibili. Semplificando, se è vero che alcuni dei trattamenti più comuni effettuati da una struttura ricettiva sono basati sul consenso (si pensi alla possibilità di ricevere chiamate, messaggi o posta per conto dell’ospite), altri trattamenti sono legittimi, anche in assenza di un esplicito consenso, in quanto necessari all’esecuzione del contratto (anche il solo rispondere alla richiesta di prenotazione inoltrata per e-mail) oppure per adempiere ad un obbligo legale (si pensi alla comunicazione obbligatoria delle generalità degli ospiti alla Questura). È frequente, inoltre, che alcuni trattamenti siano giustificati dal perseguimento di un interesse legittimo del titolare (si pensi all’installazione di un impianto di videosorveglianza al fine di tutelare il patrimonio aziendale e la sicurezza degli ospiti).
Uno degli adempimenti più importanti dell’intero impianto del GDPR è certamente costituito dall’informativa privacy. Infatti, affinché un trattamento possa definirsi corretto e trasparente, in aderenza ai principi fondamentali del GDPR, è necessario che all’interessato sia resa un’informativa che lo metta al corrente dell’esistenza del trattamento e delle finalità dello stesso. Se è chiara la motivazione per la quale il titolare deve fornire l’informativa – permettere ai propri ospiti di comprendere come saranno trattati i loro dati e per quali ragioni – potrebbero non essere altrettanto chiare le tempistiche per comunicare la suddetta informativa. Senza addentrarci nei complessi meandri delle disquisizioni giuridiche, la risposta è diversa a seconda che si tratti di “dati raccolti presso l’interessato” (ossia di dati forniti direttamente dall’ospite) o di “dati non ottenuti presso l’interessato” (quali i dati comunicati alla struttura ricettiva da agenzie viaggi, tour operator, altri siti di viaggi, ecc.). Nel primo caso, l’informativa privacy (ex art. 13 GDPR) dovrà essere fornita all’interessato nel momento in cui i dati personali sono ottenuti (se, ad es., l’ospite sta compilando un form sul sito internet della struttura, è sufficiente che vi sia un banner e/o un link contenente l’informativa privacy). Nel secondo caso, l’informativa privacy (ex art. 14 GDPR) dovrà essere fornita all’interessato entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese o, nel caso in cui i dati siano destinati alla comunicazione con l’interessato/altro destinatario, al più tardi al momento della prima comunicazione.
È di fondamentale importanza che si faccia particolare attenzione alle modalità attuate per adempiere a questo adempimento, perché ricade sempre sul titolare l’onere probatorio di dimostrare di aver fornito l’informativa. Il contenuto minimo dell’informativa privacy è stabilito dagli artt. 13 e 14 del GDPR. Volendo essere estremamente pratici (e dando per scontato che la struttura ricettiva offra i propri servizi anche tramite portali diversi dal sito internet aziendale, quali Booking, Hotels, Expedia, ecc.) l’informativa dovrà contenere le seguenti informazioni:
- Identità e dati di contatto del titolare del trattamento – Denominazione e/o ragione sociale, indirizzo e-mail, numero di telefono, ecc.
- I dati di contatto del responsabile della protezione dei dati – Questo è un contenuto eventuale che dovrà essere inserito soltanto se si sia effettivamente proceduto a nominare un responsabile della protezione dei dati. Questa figura (meglio conosciuta con il corrispettivo acronimo inglese “DPO” – Data Protection Officer), sarà approfondita in un prossimo post.
- Le finalità del trattamento e le rispettive basi giuridiche – In questa sezione si dovranno inserire le motivazioni per le quali i dati dei clienti sono trattati, come ad es. “Adempiere all’obbligo che impone di comunicare le generalità degli ospiti alla Questura”, “Accelerare la procedura di registrazione dell’ospite in caso di successivi soggiorni presso la struttura”, “Dare riscontro alle richieste di prenotazione”. Si dovrà, inoltre, specificare la base giuridica (tra quelle elencate all’art. 6 del GDPR) che legittima il trattamento.
- Il legittimo interesse perseguito dal titolare del trattamento – Chiaramente, questo è un contenuto eventuale che dovrà essere inserito solo nel caso in cui uno dei trattamenti effettuati abbia come basa giuridica il “legittimo interesse”. L’esempio classico di trattamento basato sul legittimo interesse è quello che consiste nel “Proteggere le persone, la proprietà ed il patrimonio aziendale attraverso un sistema di videosorveglianza di alcune aree della Struttura, individuabili per la presenza di appositi cartelli”.
- I destinatari o le categorie di destinatari a cui i dati vengono comunicati – In questa sezione dovranno essere inserire gli eventuali contitolari del trattamento, i responsabili del trattamento (n.b., i responsabili del trattamento sono soggetti diversi dai titolari del trattamento e dai responsabili della protezione dei dati), gli incaricati del trattamento (es., il personale addetto alla reception). Sebbene sia preferibile inserire i dati identificativi dei soggetti appena menzionati, non è necessario indicare nome e cognome di tutti i dipendenti e dei soggetti che entrano in contatto con i dati dei clienti, ma è sufficiente indicarli per categorie (receptionist, commercialista, avvocato, web provider, ecc.), a condizione che sia chiara l’attività da questi svolta.
- Le categorie di dati personali trattati – Questa informazione deve essere inserita solo nel caso di “dati non ottenuti presso l’interessato”, perché l’interessato non può conoscere quali siano i dati ottenuti dal titolare non essendo stati forniti direttamente dallo stesso.
- La fonte da cui hanno origine i dati personali – Questa informazione deve essere inserita solo nel caso di “dati non ottenuti presso l’interessato” e dovrebbe includere la natura della fonte (pubblica o privata) e l’origine specifica dei dati (se possibile).
- L’intenzione di trasferire i dati personali dei clienti ad un paese terzo o ad un’organizzazione internazionale – Questa sezione dovrà essere inserite solo dove applicabile, ovviamente. Se, ad esempio, la struttura ricettiva fa parte di un gruppo di società controllato da una holding americana a cui sono comunicati i dati dei clienti alloggiati in Italia (per le ragioni più svariate), tale circostanza dovrà essere specificata chiaramente.
- Il periodo di conservazione dei dati – I dati degli ospiti non possono essere conservati indefinitamente, nella speranza di creare un archivio di tutte le persone ospitate negli ultimi 100 anni. Il tempo di conservazione dei dati varia a seconda del trattamento per il quale sono utilizzati. Talvolta è facile identificare un periodo di tempo che appaia ragionevole (es., i dati degli ospiti conservati al fine di accelerare le procedure di registrazione in caso di successivi soggiorni saranno conservati sino all’intervenuta revoca del consenso), altre volte sarà necessario fare riferimento a dei criteri generali (esempio tipico è il riferimento al termine di prescrizione: i dati acquisiti per l’adempimento di obblighi di legge saranno conservati sino alla prescrizione dei relativi diritti e, in ogni caso, non oltre i termini massimi stabiliti dalla legge).
- I diritti dell’interessato – l’informativa dovrà fornire una descrizione dei diritti riconosciuti dal GDPR agli ospiti in quanto interessati del trattamento (accesso, rettificazione, cancellazione, limitazione del trattamento, obiezione al trattamento, portabilità, reclamo), nonché una spiegazione circa il loro esercizio.
- L’indicazione se la comunicazione di dati personali è facoltativa o obbligatoria – Dovrà essere specificato se, per un determinato trattamento, l’ospite ha la facoltà o l’obbligo di fornire i propri dati e le conseguenze in cui incorrerebbe se si rifiutasse di fornirli. Si pensi al caso di un ospite che rifiuti di fornire le proprie generalità al momento della prenotazione, impedendo il necessario (e obbligatorio) processo di identificazione. È evidente che in una situazione come questa il titolare della struttura è tenuto a rifiutare la prenotazione e ad impedire, così, la conclusione del contratto.
- L’esistenza di un processo decisionale automatizzato, compresa la profilazione – Dovrà essere specificato chiaramente se è previsto o meno il ricorso alla profilazione o ad altri processi decisionali automatizzati, chiarendo la logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.
La redazione di un’informativa privacy completa e trasparente è un adempimento imprescindibile che non deve essere mai sottovalutato. Infatti, come ormai noto, in caso di mancato rispetto delle norme poste a tutela del legittimo trattamento dei dati personali, le sanzioni previste dal GDPR arrivano a 20 milioni di euro o al 4% del fatturato (se superiore).