Ritorna all'inizio

GDPR per piccole strutture ricettive: linee guida e modello privacy


Nessun commento

Scarica il modello privacy aggiornato e verifica di aver fatto queste 5 cose per adeguarti al GDPR. Anche se gestisci una media o piccola struttura ricettiva devi essere in linea con il nuovo regolamento europeo sulla privacy. In questo modo garantirai ai tuoi clienti la sicurezza sull’uso dei loro dati personali ed eviterai sanzioni salate. Per adeguarti e non avere più preoccupazioni, continua a leggere.

GDPR: 5 cose da fare per evitare sanzioni

Usa l’elenco delle cose da fare che trovi qui sotto per verificare di aver già apportato le modifiche organizzative e burocratiche necessarie. In più, abbiamo inserito alcuni consigli e suggerimenti sulla base della nostra esperienza diretta con alcuni operatori turistici che lavorano nel settore hospitality.

Leggi anche: GDPR: cosa cambia per gli hotel e le strutture ricettive, per capire i principi su cui si basa il nuovo regolamento europeo sulla privacy.

1. Scarica il modello privacy per aggiornare la policy

informativa privacy modello

Scarica il modello privacy in PDF

Hai già aggiornato la Privacy Policy aziendale? Scarica il modello privacy che abbiamo preparato per te e personalizzalo. Oppure, se hai bisogno di ulteriori informazioni per completare la tua privacy policy, richiedici una consulenza specialistica.

 SCARICA IL MODELLO PRIVACY 

Ricorda che devi aggiornare l’informativa privacy sia online che offline, modificandola in modo da informare sempre adeguatamente utenti e visitatori su come tratti i loro dati. Ad esempio, quando un cliente compila un form di contatto (online) oppure soggiorna presso il tuo bed & breakfast, affittacamere o qualsiasi altra tipologia di piccola struttura ricettiva (offline).

Inoltre, devi impegnarti a raccogliere sempre in modo esplicito il consenso al trattamento dei dati. Alcune tecnologie digitali possono semplificare questo lavoro. Edgar Smart Concierge, la app di digital concierge e guest management per strutture ricettive, permette di raccogliere il consenso in modo semplice e sicuro. Infatti, tutti gli ospiti che scaricano la app della tua attività ricettiva realizzata grazie a Edgar e si collegano alla struttura, dovranno accettare la privacy policy.

Più esattamente, sulla Extranet personalizzata di Edgar potrai:

  • caricare la tua Privacy Policy
  • fare accettare l’informativa tramite l’app personalizzata
  • tenere tracciare di chi ha accettato la policy con riportata la data esatta, proprio come richiesto dal GDPR.

Se hai un sito web, ricorda che gli utenti devono dare il consenso all’uso dei cookie. Per realizzare questa sezione, utilizza gli strumenti disponibili online. Sono molto diffusi e abbastanza efficaci (anche se non sempre queste tecnologie sono in grado di rispondere adeguatamente alle esigenze specifiche dei singoli operatori). Noi ti suggeriamo di usare Iubenda.

2. Specifica la durata del trattamento dei dati

Devi saper indicare con precisione la durata del trattamento dei dati. Specifica:

  • qual è il periodo di conservazione dei dati
  • i criteri in base ai quali hai calcolato questo intervallo di tempo

Di conseguenza dovrai cancellare i dati inutilizzati dopo un determinato periodo oppure spiegare per quale motivo conservi queste informazioni.

3. Valuta se nominare un DPO

Data Protection Officer

Hai bisogno del DPO?

Il DPO è il Responsabile della Protezione dei Dati. Ovvero il Data Protection Officer in inglese. Le piccole strutture ricettive di norma non hanno bisogno di nominare un DPO. 

Infatti, la figura del Data Protection Officer è obbligatoria quando si effettua il monitoraggio sistematico di alcuni dati o di alcune categorie di informazioni su larga scala.

Tuttavia, anche se gestisci piccoli alloggi può capitare di avere a che fare con molti dati. Ad esempio, quando ospiti tanti clienti (fortunatamente) oppure per la particolare sensibilità delle informazioni raccolte. Se hai dei dubbi su come gestirli, contattaci e ti reindirizzeremo a un consulente specializzato.

4. Individua le tipologie di trattamento dei dati

Il Registro delle Attività di Trattamento non è obbligatorio per le aziende con meno di 250 dipendenti, a condizione che:

  • il trattamento dei dati non presenti un rischio per i diritti e le libertà delle persone
  • si tratti di un trattamento occasionale
  • non abbia ad oggetto particolari tipologie di dati

Il Registro è l’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare o del responsabile del trattamento, quando le due figure non coincidono. Inoltre il registro contiene l’indicazione delle misure tecniche (es. gli strumenti di protezione informatica o fisica) e organizzative (es. le regole comportamentali di dipendenti e collaboratori nella gestione dei dati) implementate per garantire la protezione delle informazioni raccolte.

Anche se non sei obbligato a tenere questo registro, ti consigliamo comunque di:

  1. creare accessi individuali all'”Admin” del tuo sito e dei tuoi gestionali, con differenti livelli di permesso
  2. mappare i trattamenti mettendo in relazione i dati utilizzati, i soggetti coinvolti e le finalità d’uso
  3. individuare eventuali rischi per ciascun trattamento
  4. identificare le misure più adatte per garantire la sicurezza di ciascun trattamento scegliendo il giusto mix di strumenti tecnici e organizzativi
  5. elencare i soggetti (compresi consulente del lavoro e commercialista) e i software/strumenti (CRM, PMS, Channel Manager, Edgar Smart Concierge), che utilizzi e che gestiscono i tuoi dati
  6. rendere facilmente comprensibili le spiegazioni degli utenti nell’Analisi del Trattamento dei Dati

5. Predisponi la Valutazione di Impatto se necessaria

Edgar Smart Concierge

Usa software GDPR Compliant come Edgar

La Valutazione d’Impatto (DPIA) è necessaria per i trattamenti che presentano un pericolo elevato per i diritti e le libertà degli individui. Leggi anche questo articolo sugli elenchi dei trattamenti che richiedono la DPIA. E deve essere validata da un legale o da un DPO esterno.

Se hai bisogno della DPIA, ricorda che deve contenere:

  • la descrizione dei trattamenti, compresa la valutazione della loro necessità e proporzionalità in funzione dello scopo
  • una valutazione dei rischi
  • le soluzioni previste per affrontare i rischi (le garanzie, le misure di sicurezza e i meccanismi per assicurare la protezione dei dati personali e dimostrare la conformità al GDPR)

Ti suggeriamo comunque di:

  • definire dove e come vengono salvate le informazioni online e offline e garantire che i dati raccolti siano protetti. Ad esempio se hai una cartella Drive condivisa, dimostra il modo in cui gestisci i permessi di accesso alle cartelle. Se conservi della documentazione offline, dimostra che è accessibile solo ai responsabili del trattamento;
  • predisporre un accordo riservatezza da far firmare a dipendenti e collaboratori;
  • assicurarti che consulente del lavoro e commercialista applichino misure di sicurezza e abbiano accesso solo ai dati minimi;
  • verificare di poter dimostrare che i software/strumenti implementati (CRM, PMS, Channel Manager, Edgar Smart Concierge) siano GDPR compliant, ad esempio conserva la mail in cui i vari software ti informano di essersi adeguati al nuovo regolamento sulla privacy;
  • organizzare e documentare una sessione di formazione e training per il personale sui nuovi obblighi in materia di privacy.

 

Anche le piccole e medie strutture ricettive devono essere in linea con il GDPR. Certamente l’argomento è ancora confuso e complicato. Non scoraggiarti se non hai le idee chiare. È normale per chi non ha le competenze specifiche. Nel frattempo, scarica il modello privacy e se necessario richiedi l’assistenza di un DPO, di un tecnico oppure contattaci per una consulenza personalizzata.

SCARICA il modello privacy GDPR

  • Acconsento espressamente al trattamento dei miei dati personali e accetto le privacy policy di EDGAR

Articoli correlati