Con il GDPR è cambiato, nel settore alberghiero, l’approccio alla profilazione dei dati. Dopo la piena attuazione delle recenti normative in ambito di trattamento dei dati personali – Regolamento UE 679/2016 e D.lgs. 196/2003 così come aggiornato dal D.lgs. 101/2018 – le strutture alberghiere, in particolare quelle di lusso, devono confrontarsi con regole stringenti riguardo la profilazione dei dati dei clienti e dei dipendenti.
Indice degli argomenti
Hotel e GDPR, la profilazione dei dati personali
Ma cosa si intende per profilazione? Nell’art. 4 del GDPR la prima definizione indica che “la profilazione è qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Rispetto al settore alberghiero, la profilazione ai fini marketing merita una particolare attenzione. Infatti, conoscere le preferenze dei clienti consente di poter offrire un servizio su misura e soddisfare le aspettative di ogni persona in modo mirato: trasferire questo messaggio, in un’informativa privacy adeguata, è la base per poter conquistare il risultato della migliore accoglienza possibile per gli ospiti di un hotel.
In via generale, occorre offrire una corretta informativa e acquisire il consenso dell’interessato per tracciare gusti, preferenze, abitudini. Nell’informativa dovrà essere chiara la logica della profilazione e gli obiettivi prefissati: così leggiamo nel Considerando n.70 del GDPR: “Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale trattamento, con riguardo sia a quello iniziale che a quello ulteriore, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Tale diritto dovrebbe essere esplicitamente portato all’attenzione dell’interessato e presentato chiaramente e separatamente da qualsiasi altra informazione“.
Le strutture alberghiere e la raccolta di informazioni
La profilazione dei dati può avvenire:
- in modo completamente automatizzato o meno;
- con o senza obbligo di valutazione di impatto, secondo le linee guida del Garante;
- con un rischio da trattamento diverso in funzione delle modalità con cui è attuata;
- riguardando anche dati particolari, ex art. 9 GDPR;
- secondo il rispetto dei principi di privacy by design e by default.
- riguardo, di norma, i dati personali dei clienti o dei dipendenti.
In base all’esperienza maturata in veste di consulente e formatore privacy, credo opportuno segnalare alcuni elementi empirici. In diverse realtà alberghiere visitate ho costatato, infatti, una scarsa consapevolezza dell’equazione profilazione dei dati = maggior fatturato. Per semplificare, proviamo a dividere due diverse origini dei dati oggetto di profilazione:
- dati provenienti dagli utenti su internet, in particolare provenienti dai cookie di terze parti attivi sul proprio sito;
- dati raccolti direttamente nella/e struttura/e.
I dati degli utenti su internet possono essere raccolti direttamente dalla persona che compila dei moduli presenti nel sito; oppure, in modo automatico, tramite cookie di profilazione che consentono di memorizzare una pluralità di informazioni: elementi nella pagina del sito dove si è soffermato l’utente, le modalità di visione delle pagine, la posizione del mouse e tante altre informazioni.
Rispetto ai cookie di profilazione, quasi sempre presenti e attivi nei siti degli hotel, la modalità di acquisizione della scelta dell’utente con metodi impliciti, come lo “scroll” della pagina del sito web, o anche tramite comportamenti “concludenti”, come la selezione con il mouse di una parte qualsiasi della pagina di un sito, non è più consentita: serve un consenso esplicito per ogni finalità (art. 7 GDPR e Considerando 32). Oltre questa novità, e per il resto, il provvedimento del Garante Privacy dal titolo Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014, rimane il testo di riferimento sui cookie.
Cambiamenti del personale coinvolto nella raccolta dati
Il personale di un hotel, intendo tutto il personale, è coinvolto a vari livelli nei trattamenti di dati: istruire queste persone, almeno sui principi base delle modalità di trattamento dei dati personali, è sicuramente necessario, oltre che elemento obbligatorio previsto dal Regolamento. Creare attività di Humint – abbreviazione delle parole inglesi HUMan INTelligence – rappresenta la premessa sulla base della quale progettare l’insieme della gestione privacy aziendale.
In assenza di tali attività, infatti, potrò disporre di tutte le procedure di protezione più evolute senza essere indenne dal rischio di un data breach cosiddetto “involontario”; rischio molto concreto quando, ad esempio:
- il personale che registra o riceve una carta di credito del cliente non segue i criteri individuati dall’azienda;
- un tecnico che opera sui server dell’hotel, non istruito correttamente, provoca una sospensione delle attività online;
- il personale addetto alle camere non conosce le procedure in caso di ritrovamento di documenti dei clienti contenenti dati personali.
Tramite un’istruzione adeguata sarà anche più semplice creare una consapevolezza nei dipendenti, circa la profilazione dei dati che può riguardarli. Infatti, oltre la profilazione dei clienti, può essere effettuata, a diversi livelli e per diverse finalità, quella sui dati dei dipendenti: orari di servizio e tempi di svolgimento delle mansioni affidate, numero di volte che si utilizza la chiave per i dispositivi automatici che erogano bevande/cibo, accessi informatici e via dicendo.
Per quanto la profilazione dei dati dei dipendenti si intrecci con il rispetto degli accordi sindacali e contrattuali, sarà comunque possibile, sempre con informativa e consenso, monitorare numerose attività dei lavoratori ai fini di una corretta gestione aziendale. Come recita il considerando n.71 del Regolamento: “In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione”.
Dati profilati trasferiti all’estero
Le ipotesi principali per le quali l’azienda-hotel dovrà preoccuparsi di tutto quanto disposto dal Garante in tema di trasferimento di dati all’estero, soprattutto se parliamo di dati profilati, sono le seguenti:
- avere il titolare dei trattamenti in una sede fuori dall’Unione Europea;
- utilizzare cookie di una società terza con sede extra UE.
In questi casi è necessario attenersi a quanto disposto dal Garante, che fornisce indicazioni anche sull’attività, obbligatoria nel caso trattato, di valutazione di impatto preliminare.
Opportunità di un DPO
Per elaborare adeguatamente un piano strategico in ordine ai trattamenti che si desidera effettuare, anche laddove non sia strettamente obbligatorio, pare opportuna la nomina di un DPO, ossia un Responsabile della Protezione dei dati.
Tale figura, infatti, esterna all’azienda e priva di conflitti di interesse, può garantire e affiancare l’azienda sui diversi aspetti dell’universo che ruota intorno al trattamento dei dati personali.
