B&B e privacy: il GDPR

A partire dal 25 maggio 2018 è entrato in vigore il General Data Protection Regulation (GDPR), noto anche come Regolamento Europeo 679/2016 sulla protezione dei dati.

L’Unione Europea ha deciso di introdurre questa normativa per garantire una maggiore privacy agli utenti sia online che offline, i quali devono avere la possibilità di dare o meno il loro consenso al trattamento dei dati personali e capire in che modo vengono utilizzati. Tutte le strutture ricettive, B&B compresi, devono avere sul proprio sito un testo dell’informativa sulla privacy.

Quali sono gli obblighi di un gestore di un B&B?

Per rispettare le norme imposte dal GDPR i gestori di B&B devono:
  • pubblicare sul proprio sito un testo della informativa della privacy;
  • specificare il motivo per il quale vengono raccolti i dati personali;
  • definire i dati personali ritenuti necessari e documentare i soggetti che trattano tali dati (personale, web agency, altri responsabili ecc.), ai quali bisogna chiedere con chi a loro volta hanno stipulato contratti per la cessione dei dati;
  • distinguere tra dati personali non sensibili e dati personali sensibili;
  • localizzare i dati sensibili indipendentemente che siano forme fisiche o forme elettroniche;
  • specificare le modalità in cui vengono processati i dati;
  • indicare le politiche di sicurezza adottate per proteggere i dati raccolti ed il periodo di conservazione dei dati.

Registrazione degli ospiti e raccolta dei dati dai form

I gestori di B&B che affittano camere per un periodo inferiore ai 30 giorni hanno l’obbligo di comunicare i dati delle persone ospitate alla Questura. Per registrare gli ospiti le strutture possono utilizzare una comoda procedura via web che consente di accedere al Portale della Polizia di Stato (AlloggiatiWeb) e di usufruire di un certificato digitale per comprovare l’autenticità della certificazione del proprio pc.
All’arrivo degli ospiti il gestore deve raccogliere i loro dati e successivamente compilare la scheda informativa da inviare alla questura. Non sono necessarie copie di documenti, anche se il gestore può comunque richiederli per fotocopiarli ed effettuare la comunicazione alla questura con maggiore calma. Tuttavia gli ospiti possono rifiutarsi di consegnare la carta d’identità o il passaporto per la fotocopia. Per evitare ogni imbarazzo o incomprensione è opportuno preparare in anticipo un modello prestampato e compilarlo al momento del check-in verificando i documenti in presenza degli ospiti, per poi completare successivamente la procedura online. Il gestore ha inoltre l’obbligo di cancellare i dati digitali o le copie cartacee inviate via email per fini di registrazione, a meno che l’ospite non abbia firmato l’autorizzazione al trattamento dei dati personali.
Per quanto riguarda la raccolta dei dati dei clienti dai form di registrazione i B&B devono seguire gli adempimenti precedentemente elencati. Nei form per affittare una camera o nei form di iscrizione alle newsletter i clienti devono avere la possibilità di spuntare una casella dove dare esplicitamente il proprio consenso all’utilizzo dei dati. Sarà compito del gestore del B&B informare che i dati vengono raccolti non in forma anonima ma personale (email, numeri di telefono, indirizzi ecc.) in modo chiaro e facilmente comprensibile. L’informativa della privacy sul sito deve comunicare quali dati vengono raccolti, perché, come e per quanto tempo.

GDPR per i B&B in pratica

Fino a maggio 2018 la tutela della privacy e il trattamento dei dati degli italiani erano regolamentati dal D.lgs 196/2003. Dal 25 maggio 2018 il regolamento europeo sulla privacy prevale sul codice italiano in materia di protezione dei dati personali.

Cosa deve fare un B&B?

Scrivere un’informativa dettagliata sulla privacy (* bozza più in basso, da adeguare secondo le proprie esigenze).
Sul proprio sito deve essere presente un’informativa dettagliata sulla privacy. Bisogna spiegare bene nel documento quali dati vengono raccolti, perché e come.
Bisogna includere tutte queste informazioni: quelle che l’utente invia spontaneamente, quelle memorizzate eventualmente dai cookie e quelle raccolte da altre tecnologie utilizzate.
Bisogna indicare il periodo di conservazione dei dati e i criteri in base ai quali è stato stabilito questo periodo di tempo.

Form di contatto sul sito

Ogni cliente che invia i dati personali compilando un form sul sito web del B&B deve avere la possibilità di dare il consenso esplicitamente all’utilizzo dei suoi dati personali per gli scopi indicati nell’informativa sulla Privacy, deve capire come verranno usati i suoi dati ed essere attivo nel darti il consenso.
Ad esempio, nel caso del form dei contatti della struttura ricettiva deve poter spuntare la casella appositamente (Dichiaro di aver letto l’informativa sulla Privacy), non trovarla già selezionata o non trovarla del tutto.
Lo stesso, e a maggior ragione, se il sito ha un form di iscrizione alla Newsletter.
Nella redazione dell’informativa bisogna utilizzare un linguaggio chiaro e comprensibile a tutti.
Di seguito un esempio di una informativa sulla privacy che ci sembra adeguata.
Se usate i dati in modi differenti o per altri scopi, dovete dichiaralo lì.
Sostituite i vostri dati dove c’è la freccia –>

Esempio di Informativa sulla Privacy

Nota informativa ai sensi dell’art.13 del Regolamento UE 2016/679 – art.13 del DLgs 196/2003 (Codice di protezione dei dati personali) e successive modifiche.

Ultimo aggiornamento maggio 2018.
  • In applicazione del Regolamento Europeo n. 679 del 2016 de del D.Lgs. n. 196 del 2003 relativi alla protezione dei dati personali Le si comunica che Il Titolare del trattamento dei dati è [–> Nome, Cognome, eventuale nome dell’azienda] (di seguito definito “il Titolare”).
  • I dati personali vengono trattati nel pieno rispetto del Regolamento UE 679/2016 e del D.Lgs 196/2003 e successive modifiche.
  • I dati forniti da Lei (di seguito definito “l’Interessato”) saranno utilizzati al solo fine di dar seguito alle sue richieste e potranno essere comunicati a terzi solo nel caso in cui ciò sia necessario a tal fine, o previo Suo consenso esplicito.
  • Il trattamento dei dati avverrà, da parte di personale incaricato dal Titolare con procedure, strumenti tecnici e informatici idonei a tutelare la riservatezza e la sicurezza dei dati dell’Interessato e consiste nella loro raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione degli stessi comprese la combinazione di due o più delle attività suddette.
  • I dati saranno conservati per il tempo strettamente necessario a fornire all’Interessato i servizi richiesti e saranno in ogni caso eliminati a seguito di richiesta dell’Interessato, salvi ulteriori obblighi di conservazione previsti dalla legge.
  • I dati dell’Interessato non saranno diffusi.
  • Nell’ambito della sua attività e per le finalità sopra indicate il Titolare potrà avvalersi di servizi resi da soggetti terzi che operano per conto del Titolare e secondo le sue istruzioni, quali responsabili del trattamento.
  • Si tratta di fornitori, partner commerciali e produttivi, intermediari, consulenti tecnici e altri soggetti analoghi che collaborano con la nostra organizzazione per assolvere gli impegni contrattuali con lei assunti; soggetti che forniscono un servizio strettamente e necessariamente collegato all’attività del Titolare quali consulenti fiscali, banche, spedizionieri, assicurazioni, enti pubblici e privati, anche relativamente a ispezioni o verifiche; soggetti che possono accedere ai dati in forza di disposizioni di legge.
  • I dati potranno essere altresì comunicati a tutti quei soggetti autorizzati per legge alla loro raccolta (es. aziende provinciale per i servizi sanitari, amministrazione finanziaria ecc).
  • L’Interessato potrà richiedere un elenco completo e aggiornato dei soggetti nominati responsabili del trattamento rivolgendosi al contatto sotto indicato.

Diritti dell’Interessato

  • Diritto di accesso (art. 15 GDPR). Diritto dell’Interessato ad ottenere l’accesso ai propri dati e di porre reclamo all’autorità di controllo.
  • Diritto di rettifica (art. 16 GDPR). Diritto dell’Interessato ad ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano.
  • Diritto alla cancellazione (diritto all’oblio) (art. 17 GDPR). L’Interessato ha diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
  • Diritto alla limitazione di trattamento (art. 18 GDPR). Diritto dell’Interessato di ottenere una limitazione del trattamento del dato.
  • Obbligo di notifica (art. 19 GDPR). Il Titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma degli artt. 16; 17; 18.
  • Diritto alla portabilità dei dati (art. 20 GDPR). L’Interessato ha diritto di ricevere i dati personali che lo riguardano forniti al Titolare e ha il diritto di trasmettere tali dati ad altro titolare di trattamento senza impedimenti da parte del Titolare.
  • Diritto all’opposizione (art. 21 GDPR). Diritto dell’Interessato di opporsi al trattamento dei suoi dati personali.
  • Profilazione (art. 22 GDPR). L’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione o che incida significativamente sulla sua persona.
Il Titolare del trattamento è: [–> Nome del Titolare, della ditta individuale o della Società].

Art. 7 – Diritto di accesso ai dati personali ed altri diritti

  1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
  2. L’interessato ha diritto di ottenere l’indicazione:a) dell’origine dei dati personali;
    b) delle finalità e modalità del trattamento;
    c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
    d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
    e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
  3. L’interessato ha diritto di ottenere:a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
    b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
    c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
  4. L’interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Il Responsabile per la protezione dei dati personali è: [–> NOME e COGNOME]

Titolare e Responsabile del Trattamento dei dati personali

Ai sensi dell’art. 28 del D. Lgs. 196/2003:
Il Titolare del trattamento dei dati personali: [–> Nome dell’Azienda o della Ditta Individuale]
Il Responsabile del trattamento dei dati personali: [–> Nome e Cognome del Responsabile]
Sede Legale: [–> Indirizzo del B&B o sede legale dell’azienda]
Partita Iva: [–> Se il B&B ha partita iva]
Email: [–> Email del Titolare]
Dominio: [–> Eventuale indirizzo del sito web]

Collegamenti ad altri siti

I siti a cui reindirizziamo, inclusi (ma non solamente) i siti secondari e i fornitori di servizi di terze parti, potrebbero avere una diversa politica sulla privacy rispetto a quella esposta qui.
Non ci assumiamo alcuna responsabilità per le politiche sulla privacy dei siti collegati e pertanto vi incoraggiamo a venirne a conoscenza.

Bambini

Non intendiamo raccogliere informazioni personali da nessun individuo di età inferiore a 16 anni. Se hai meno di 16 anni, non dovresti effettuare una prenotazione online o eventuali richieste di informazioni, ma chiedere ad un genitore di farlo al posto tuo.

Domande o preoccupazioni

In qualsiasi momento crediate che il Titolare non abbia seguito la politica sopra citata, vi invitiamo a comunicarcelo inviando una mail a [–> Email del Titolare] e cercheremo di fare del nostro meglio per identificare e risolvere qualsiasi problema.
Potete scriverci anche a [–> Indirizzo Postale].

Variazioni di questa politica sulla privacy online

Potremmo variare questa Dichiarazione sulla Privacy di tanto in tanto per far fronte ai cambiamenti delle normative, alle necessità del business o per soddisfare i requisiti dei nostri visitatori, ospiti, partner di mercato e fornitori di servizi. Versioni aggiornate verranno pubblicate sul nostro sito, insieme alle date di aggiornamento, per informarvi dell’ultimo aggiornamento della politica sulla privacy.
Fonte: Francesco Ferrara, sul portale di Giambattista Scivoletto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *