La privacy nelle strutture ricettive

Secondo il Regolamento europeo n. 679 del 2016 “GDPR”, ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento sono indicati all’articolo 6 del Regolamento e coincidono, in linea di massima e per quanto di diretto interesse, con quelli previsti attualmente dal Codice della privacy del 2003 (consenso, adempimento obblighi contrattuali o misure precontrattuali, obblighi di legge cui è soggetto il titolare, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati, eccetera) cosi come modificato e recepito del decreto 101 dell’agosto del 2018.

In considerazione del fatto che tutte le strutture ricettive (campeggi,  bed and breakfast, agriturismi, residence, ostelli, ecc.), hanno accesso  ad una notevole mole di informazioni strettamente personali sui loro ospiti, oltre che per quanto riguarda i fornitori ed il personale, occorre che queste strutture si dotino di una politica di privacy molto capillare e ben strutturata nelle metodologie produttive.

Solo al fine di far comprendere bene l’importanza e la sensibilità dei dati occorre pensare che oltre ai dati fiscali, le strutture ricettive in considerazione del loro specifico servizio trattano informazioni come:  dati dei minori; eventuali patologie dei propri ospiti; intolleranze alimentari; recapiti personali; dati bancari e si potrebbe continuare.

Il Regolamento europeo (articoli 13 e 14) prescrive che il titolare del trattamento debba adottare misure appropriate per fornire all’interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Il Regolamento ammette, anche al fine di facilitarne la lettura e l’individuazione per punti,  l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7).

Non dimentichiamo poi che è probabile, se non all’ordine del giorno,  che le strutture entrino in possesso di dati relativi a cittadini stranieri, intra ed extra UE, ben sapendo che per quelli dell’Unione Europea occorrerà prestare la massima attenzione  in quanto i loro dati personali ricevono piena tutela dalla normativa europea.

Si impone, quindi, un adeguamento delle organizzazioni aziendali, dimostrando di aver seguito la norma, ma anche e soprattutto di aver assunto una maggiore correttezza di comportamenti nei confronti degli ospiti e dell’attenzione che a loro si pone.

Del resto proprio il Garante nell’intervista rilasciata sul tema, a specificato  che gli adempimenti fondamentali, in questo senso, sono:

• un’adeguata formazione del personale, modulata naturalmente sulla base delle specifiche mansioni;
• una puntuale verifica delle misure di sicurezza, tecniche e organizzative, che dovranno essere adeguate alle caratteristiche del trattamento;
• una complessiva revisione delle proprie informative per adeguarle al Regolamento.
• la predisposizione delle procedure necessarie ad effettuare, la notifica dei data breach.

Per quanto appena detto, il modello di informativa presume che siano effettuati dalla azienda ricettiva i trattamenti di dati di seguito descritti:

• Trattamento di dati dei clienti o ospiti acquisiti dalla struttura ricettiva per confermare una prenotazione di servizi di alloggio e servizi accessori, e per fornire i servizi richiesti. Tali trattamenti sono necessari per la definizione dell’accordo contrattuale e quindi occorre informare il cliente che non è richiesto il suo consenso a meno che non siano conferiti dati particolari, conosciuti come sensibili. Naturalmente deve essere ben chiaro che in caso di rifiuto a conferire i dati personali, tutti o alcuni servizi non potranno essere forniti. Occorre informare il cliente che il trattamento cesserà alla sua partenza, ma alcuni suoi dati personali potranno o dovranno continuare ad essere trattati per altre finalità, da indicare specificatamente (descritte di seguito).
• Trattamento di dati dei clienti o ospiti per adempiere all’obbligo previsto dal “Testo unico delle leggi di pubblica sicurezza” (articolo 109 R.D. 18.6.1931 n. 773) che impone di comunicare alla Questura, per fini di pubblica sicurezza, le generalità dei clienti alloggiati secondo le modalità stabilite dal Ministero dell’Interno (Decreto 7 gennaio 2013 – generalità ed estremi dei documenti di riconoscimento, data di arrivo e notti di pernottamento, relazioni di parentela, ed altri). Deve essere ben chiaro ed è necessario informare il cliente che il conferimento dei dati è obbligatorio ed il trattamento non richiede il suo consenso, ed in caso di rifiuto a fornirli non potrà essere ospitato nella struttura ricettiva. I dati acquisiti per tale finalità non saranno conservati presso la struttura ricettiva, a meno che il cliente non fornisca specifica autorizzazione.
• Trattamento di dati dei clienti e ospiti effettuato per accelerare le procedure di registrazione in caso di successivi soggiorni (generalità, estremi dei documenti di riconoscimento, recapiti, eccetera). Per tale finalità il cliente deve esprimere il consenso, revocabile in qualsiasi momento. L’azienda deve stabilire un termine massimo per la conservazione di tali dati, da riportare nella informativa.
• Trattamento di dati per espletare la funzione di ricevimento di messaggi e telefonate indirizzati al cliente durante il suo soggiorno (generalità, presenza presso la struttura ricettiva, eccetera). Per tale finalità è necessario il consenso del cliente. Il cliente va informato della possibilità di revocare il consenso in qualsiasi momento e che il trattamento cesserà comunque alla sua partenza.
• Trattamento di dati dei clienti e ospiti effettuato per inviare messaggi promozionali (generalità, recapiti). Per tale finalità il cliente deve esprimere il consenso, revocabile in qualsiasi momento. L’azienda deve stabilire un termine massimo per la conservazione di tali dati, da riportare nella informativa.
• Trattamento di dati per fini di protezione delle persone, della proprietà e del patrimonio aziendale attraverso un sistema di videosorveglianza, dove presente. Occorre informare clienti e ospiti nel caso in cui sia installato un sistema di videosorveglianza di alcune aree della struttura ricettiva, individuabili per la presenza di appositi cartelli, e se le immagini siano o meno registrate. Occorre inoltre informare che per tale trattamento non è richiesto il consenso, in quanto persegue il legittimo interesse dell’azienda a tutelare le persone ed i beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo e per finalità di prevenzione incendi e di sicurezza del lavoro. Nel caso in cui le immagini siano registrate, occorre informare che si provvede alla loro cancellazione nei termini previsti dal Garante (dopo 48 ore, salvo festivi o altri casi di chiusura dell’esercizio, e comunque non oltre una settimana) e che non sono oggetto di comunicazione a terzi, tranne nel caso in cui si debba aderire ad una specifica richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

Il modello di informativa allegato, integrato e modificato dalle aziende secondo le proprie specificità, deve essere fornito al cliente all’atto della raccolta di dati personali, sia nella fase di prenotazione sia al momento dell’arrivo presso la struttura ricettiva.

E’ naturale che le strutture cambiano e che i servizi offerti variano da struttura a struttura per cui mai come in questo caso non esiste una regola precisa e valida per tutti, occorre quindi fondare tutta la struttura su alcune regole come:

• Ogni cliente che invia i propri dati personali deve avere la possibilità di dare il consenso esplicitamente, deve capire come verranno usati i suoi dati ed essere attivo nel darti il consenso. Sul sito nel caso del form di iscrizione si deve poter spuntare la casella appropiata e non trovarla già selezionata.
• Sempre sul sito occorre Informare adeguatamente l’utente sull’utilizzo dei cookie che raccolgono dati non in forma anonima ma personale come le e-mail, i numeri di telefono, etc.
• Sul sito e all’interno della struttura ricettiva deve essere presente un’informativa dettagliata sulla privacy.
• Per ogni dato raccolto deve essere chiaro chi è il data controller e il data processor. Per quanto riguarda il DPO (Data Protection Officer) può essere una professionista esterno, un’associazione, un ufficio. Il DPO deve avere competenze informatiche, sulla sicurezza e la normativa europea per la protezione dei dati. Inoltre deve conoscere il settore e il modo in cui opera il titolare del trattamento.

Il titolare dei dati (indicato nell’informativa) è colui che gestisce i dati personali dei clienti ospiti: è sua responsabilità garantirne la riservatezza ed agire nel rispetto del Regolamento (UE) 679/2016. Per il principio di responsabilizzazione (accountability), egli deve essere in grado di dimostrare di fronte ad un controllo di aver adottato tutte le misure di sicurezza proporzionali alla tipologia di attività ricettiva svolta.

Per quanto attiene al consenso, ogni cliente ospite deve poter fornire il proprio consenso al trattamento dei suoi dati sensibili da parte della struttura, indipendentemente dalla modalità in cui avviene la prenotazione.

E’ bene capire e strutturarsi per quanto attiene alla richiesta dei dati ai fini della prenotazione o dell’emissione della fattura, in questi casi la struttura può richiedere il consenso a trattare i  dati anche per finalità commerciali (es. invio newsletter, sconti, promozioni, richieste di feedback, ecc…). Sul sito se presente la pagina di prenotazione dovrà essere introdotto un modulo nel quale il cliente ospite potrà dare o negare il proprio consenso al trattamento commerciale: questo modulo deve essere tale da consentire di revocare il consenso con la stessa facilità con il quale si è dato.

In caso di diniego del consenso da parte del cliente ospite, la struttura ricettiva non è invece autorizzata ad effettuare il trattamento per finalità di tipo commerciale dei dati personali di quest’ultimo.

La conservazione dei dati dei clienti ospiti ai fini marketing da parte della struttura ricettiva dovrà terminare contestualmente alla cessazione del trattamento commerciale e/o in qualsiasi momento in caso di revoca del consenso da parte del cliente ospite stesso.

La struttura ricettiva deve conservare i dati fiscali dei clienti per i dieci anni previsti dalla legge italiana dopodiché, trascorso questo periodo, non sussiste più il criterio di liceità (obbligo di legge) per un ulteriore conservazione degli stessi, perciò la struttura ricettiva dovrà cancellarli oppure anonimizzarli (secondo il principio di pseudonimizzazione).