| Negli ultimi anni si è sviluppato, in maniera esponenziale, il mercato dell’imprenditoria turistica. Anche tali attività soggiacciono alla vigente normativa in materia di protezione dei dati personali. Come già ricordato nei precedenti articoli di questa rubrica, il GDPR (General Data Protection Regulation) è il Regolamento n. 2016/679 dell’Unione Europea che mira a proteggere le persone in relazione al trattamento dei loro dati personali. I soggetti che operano nel settore turistico debbono rispettare le norme previste per la tutela della privacy anche per rispondere alle aspettative della clientela che, oramai, è consapevole dei propri diritti e confida nella corretta gestione dei propri dati. Questa tipologia di informazioni ha anche un consistente valore economico; attenendosi ai parametri legali imposti dal GDPR sarà possibile utilizzare il patrimonio di dati acquisiti per finalità di promozione della propria attività. Sono, fondamentalmente, due le finalità per le quali gli operatori turistici raccolgono dati personali: 1. Finalità contrattuali o precontrattuali: vengono acquisiti dati anagrafici, dati di contatto e informazioni bancarie per garantire la prenotazione e il soggiorno; 2. Finalità di marketing: in questo caso le informazioni vengono gestite per l’invio di newsletter e offerte e, pertanto, il cliente (o potenziale tale) deve aver concesso, espressamente, il proprio consenso alla ricezione del materiale promozionale. La privacy nel settore turistico: quali misure adottare Quali sono le misure privacy da adottare nella gestione di servizi di ospitalità? In primo luogo, l’utilizzo di informazioni personali presuppone l’adozione di adeguate misure tecniche e organizzative: a titolo esemplificativo, gli strumenti utilizzati per prenotazioni e check-in/check-out debbono essere protetti (antivirus, firewall, ecc.), i dati bancari debbono essere criptati e il personale addetto all’accoglienza deve essere formato sulla normativa privacy e deve essere formalmente autorizzato al trattamento dei dati personali dei clienti. Nella raccolta dei dati il principio ispiratore dovrebbe essere la minimizzazione: bisognerebbe, cioè, acquisire (e, solo a determinate condizioni, conservare) esclusivamente le informazioni necessarie per gestire il soggiorno, evadere i relativi adempimenti di legge e, eventualmente, svolgere ulteriori attività di promozione. Un adempimento ineludibile è la somministrazione alla clientela di un’informativa che, ai sensi dell’Art. 13 del GDPR, descriva le modalità di trattamento e di conservazione dei dati, eventuali trasferimenti di informazioni a terzi e i diritti degli interessati. Per poter utilizzare i dati acquisiti anche per finalità ulteriori come, a titolo esemplificativo, marketing e/o profilazione dei clienti, è necessario acquisire preventivamente il consenso esplicito del cliente, consenso che dovrà essere comprovato da documenti cartacei o elettronici da esibire in caso di richieste dell’interessato stesso o verifiche dell’Autorità Garante per la protezione dei dati personali. La privacy nel settore turistico: gli elementi critici Per finire, esistono due elementi molto critici nella gestione dei servizi di hospitality. Il primo consiste nel trattamento di dati appartenenti alle cosiddette categorie particolari di dati – una volta definiti dati sensibili – per i quali il Regolamento europeo e la normativa italiana hanno dettato una protezione rafforzata. Si pensi al caso in cui il cliente condivida informazioni sanitarie come condizioni di disabilità per poter accedere alla struttura – richiedendo assistenza o presidi specifici – oppure alla segnalazione di allergie/intolleranze alimentari. Tali informazioni, per loro natura, vanno trattate con la massima confidenzialità, mai in presenza di altri clienti/avventori, e debbono essere cancellate una volta esaurita l’attività per la quale erano state acquisite, senza lasciare traccia nei propri archivi. Altra criticità deriva dall’utilizzo di sistemi di videosorveglianza, ai quali abbiamo dedicato il precedente articolo in materia privacy, in quanto considerati dall’Autorità Garante per la protezione dei dati personali estremamente invasivi. É quindi opportuno valutare, preventivamente, la sussistenza dei requisiti di legge per l’installazione del sistema di videosorveglianza e adottare modalità di ripresa – ed eventuale conservazione delle immagini – che siano rispettose del diritto alla privacy dei clienti. |
dell’Avv. B. Carbonetto – Area GDPR pubblicato su La Spezia Magazine, 15/11/2024
Gesta Srl Società Benefit 0187 564442 – gesta@gestaconsulenza.it
