Agenzie di viaggio online, cosa cambia con il GDPR

Turismo a portata di click, cosa cambia dopo il 25 maggio 2018

Luca Barreca

Versione PDF del documento

E’ piena estate. Si comincia ad assistere all’esodo di coloro che dalla città si recano in luoghi di vacanza. Infatti, ad oggi, effettuare una prenotazione è semplicissimo: basta cercare dal proprio smartphone una struttura nella località desiderata prenotando dalle agenzie di viaggio on-line (booking etc.) o dal sito dell’albergo prescelto, è solo questione di qualche “click”.

L’interazione digitale tra clienti ed alberghi pone questi ultimi in contatto con tutta una serie di dati personali la cui disciplina, dall’entrata in vigore del Regolamento UE 679/2016 (GDPR), ha subito notevoli trasformazioni. Che cambia?

L’importanza del consenso

Innanzi tutto va fatto presente che il fornitore del servizio di booking online è un semplice responsabile del trattamento: il titolare del trattamento dei dati è la struttura alberghiera.

Il consenso va inteso come base giuridica per il trattamento dei dati personali da parte dell’interessato, ovvero quel soggetto (cliente, dipendente, consulente) di cui l’albergo tratta i dati personali.

La struttura, in molti casi, tratterà dati particolari dell’interessato (più sensibili dei comuni dati anagrafici), per i quali il libero consenso deve essere prestato esplicitamente ed in modo l’inequivocabile, sebbene non vi sia obbligo di documentarlo in forma scritta. Inoltre, all’interessato, nel prestare il consenso, devono essere chiarite le finalità per cui vengono utilizzati i propri dati (ad esempio marketing, profilazione, iscrizioni alle newsletter dell’albergo).

Non sussiste, invece, l’obbligo di chiedere il consenso per il check-in in struttura, in quanto si considera precedentemente prestato al momento della prenotazione e parte di questo contratto. Ancora, l’interessato ha diritto a richiedere la cancellazione dei dati (diritto all’oblio) e il totale dovrà adempiere alla richiesta, qualora ne sussistano i presupposti ex art. 17 GDPR.

Un sistema risk based

La ratio del GDPR si basa su un’ottica di responsabilizzazione del titolare: questi ha il dovere di tenere il registro dei trattamenti (di dipendenti, fornitori e clienti) e il potere di scegliere discrezionalmente e consapevolmente le misure di sicurezza adeguate al fine di assicurare la conformità dell’azienda rispetto alla normativa, tutelando i dati trattati.

Pertanto risulterà necessario per il titolare realizzare la valutazione dei rischi e la valutazione di impatto (cd. DPIA) – si pensi a titolo esemplificativo al caso di un albergo che vanti un ingente numero di presenze giornaliere, adotti un sistema di videosorveglianza nel quale si registrano dati sensibili di clienti e dipendenti, tratti dati di minori, etc. – in collaborazione col Data Protection Officer (DPO) o col consulente privacy, al fine di minimizzare i rischi scaturenti dal trattamento dei dati, mettendoli in sicurezza sia nella fase di progettazione del sistema di sicurezza (cd. Privacy by design) che per impostazione predefinita (cd. Privacy by default).

La normativa, per l’appunto, prevede l’istituzione di una “nuova” figura: il Data Protection Officer (Responsabile del trattamento dei dati), la cui nomina viene effettuata dal titolare del trattamento e può risultare volontaria o obbligatoria, in seguito all’analisi dei rischi della singola realtà alberghiera. Tale analisi non potrà prescindere dal vaglio della quantità e/o della qualità dei dati trattati, finalizzata a constatare se per la struttura alberghiera si ravvisi la cd. “Larga Scala”, elemento che rende obbligatoria la nomina del DPO. (come previsto dall’art. 37, par. 1, lett. b) e c) del GDPR).

In aggiunta, risulterà necessario, onde evitare le pesanti sanzioni introdotte, aggiornare  le privacy policy dei siti internet ed aver cura di scegliere la modalità maggiormente sicura di archiviazione dei dati presenti nel sistema gestionale alberghiero.

Volume consigliato 

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere?...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it