Protezione dei dati in Italia

Maggio 2024

Obblighi per host di case vacanza in fatto di privacy e protezione dati degli ospiti

Tra gli obblighi da parte di chi gestisce delle strutture ricettive, a prescindere che si tratti di hotel, di B&B o di case vacanze, c’è quello del trattamento dei dati degli ospiti. A disciplinare questo aspetto si occupa il Regolamento generale sulla protezione dei dati, noto anche con la sigla GDPR, il quale contiene tutte le norme relative al trattamento dei dati da parte di persone, società e organizzazioni. Tale regolamento è stato approvato dall’UE nell’aprile del 2016 ed è in vigore dal maggio del 2018. Se ti stai chiedendo quali obblighi sulla privacy si è tenuti a rispettare per affittare la tua casa vacanze, ecco qualche consiglio utile.

Pubblica la tua struttura su Holidu

La gestione della privacy di una casa vacanze

Il GDPR impone maggiori responsabilità rispetto alla precedente normativa con l’obiettivo di tutelare il trattamento dei dati personali, introducendo regole più chiare che riguardano i consensi, i quali devono sempre essere prestati espressamente dal cliente e ben visibili nel contratto di affitto delle case vacanze o nell’apposito modulo da far firmare. Inoltre agli ospiti è garantito il diritto di revocare in qualunque momento i consensi prestati che, in ogni caso, devono avere una durata limitata nel tempo e specificata dal responsabile del trattamento dei dati. Tra gli obblighi generali vige quello della minimizzazione delle informazioni: solo i dati considerati necessari per ottenere il servizio sono quelli da inviare l’ospite è obbligato a condividere. Il titolare del trattamento dei dati, quindi, non può gestire informazioni supplementari senza averne il consenso. Le informative aggiuntive da comunicare all’interessato possono essere varie, come quella inerente all’eventuale iscrizione alla newsletter con offerte commerciali.

La raccolta dei dati

Raccogliere i dati identificativi di tutti gli ospiti della tua struttura è necessario in quanto relatzivo all’obbligo di legge di trasmetterli alla questura competente, e di conseguenza, avrai a che fare con dei dati personali anche qualora tu non voglia raccogliere altre informazioni. In qualità di responsabile della struttura, hai il pieno diritto a chiedere i dati al momento del check-in, ma allo stesso tempo hai anche il dovere di proteggerli affinché sia rispettata la privacy degli utenti. Nell’ambito delle case vacanze, non è necessario ricevere il consenso da parte dell’ospite per la raccolta dei dati identificativi che sono necessari per la comunicazione alla questura. Per tutti gli altri dati, dal numero di telefono all’indirizzo e-mail, occorre che l’ospite acconsenta al trattamento dei dati personali, anche se talvolta si tratta di dati imprescindibili per la gestione di una casa vacanze online, come ad esempio i dati di pagamento.

Gestione cartacea oppure digitale?

Il modulo cartaceo è sicuramente più immediato. Per renderlo valido è sufficiente la firma dell’ospite, la quale deve essere apposta direttamente sul foglio contenente i vari consensi prestati. Lo svantaggio del cartaceo è rappresentato dalla conservazione: ogni documento redatto va custodito con cura, possibilmente in un cassetto chiuso a chiave, in modo tale da evitare che terze persone possano avere accesso ai dati. La gestione online è più semplice dal punto di vista della custodia dei dati. Dopo aver individuato la piattaforma più adatta alle tue esigenze, non ti resta che creare una password univoca complessa e condividerla solo con i collaboratori più stretti, magari creando più livelli di accesso in base ai dati da mostrare. I portali di prenotazione di case e appartamenti vacanza come Holidu possono renderti la gestione del trattamento dati molto più snella.

Sito web

Se svolgi l’attività tramite un sito web, rispetta le seguenti procedure:

• Inserisci nel sito per affitti vacanze l’informativa sulla privacy vigente, spiegando quali dati verranno raccolti, le ragioni del trattamento e chi ne è il responsabile.
• Rendi i cookie ben visibili non appena si apre la homepage del sito.
• Se usi i social network per pubblicizzare la casa vacanze, collega la pagina al tuo sito Internet, così da mettere al corrente l’interessato circa il trattamento dei dati che verrà effettuato.

Attenzione a fotocopie e a foto

Lo spazio di archiviazione dello smartphone non rappresenta il posto più sicuro in cui custodire i dati sensibili dei clienti. Proprio per questa ragione costituisce una violazione della legge sulla privacy fotografare i documenti tramite il telefono e poi inviare le immagini attraverso le app di messaggistica. Se invece è il cliente a inviarti una fotografia per favorire la raccolta dei dati, si tratta di un’azione consentita, a patto che l’immagine venga immediatamente cancellata dalla memoria dello smartphone una volta completato l’inserimento dei dati. Le fotocopie dei documenti di identità non sono necessarie, per cui rappresentano una violazione del GDPR.

La nomina di un responsabile

Tra gli aspetti del regolamento c’è quello della nomina di un responsabile della protezione dei dati personali. Il soggetto in questione deve possedere determinati requisiti ed è tenuto a garantire il rispetto della privacy all’interno dell’azienda in cui opera. La nomina di un responsabile esterno non è obbligatoria: se ti limiti ad affittare alcuni appartamenti vacanze puoi benissimo svolgere il compito in autonomia, assicurandoti di procedere correttamente con la gestione dei dati dei clienti e la relativa custodia. Per quanto riguarda il Registro delle Attività di Trattamento, si tratta di un obbligo a carico esclusivamente delle aziende che abbiano almeno 250 dipendenti. 

Le sanzioni

Rispettare le normative ti mette al riparo dalle sanzioni previste dal regolamento, le quali sono proporzionate alla natura, alla durata e alla gravità dell’illecito commesso. Non sono previsti importi minimi per le sanzioni, che sono così disciplinate:

• il 2% del fatturato totale o fino a 10 milioni di euro per i titolari che non garantiscono un corretto rispetto degli standard di sicurezza del trattamento dei dati.
• il 4% del fatturato totale o fino a 20 milioni di euro per i titolari che non provvedono a richiedere il consenso per i dati considerati non essenziali al fine di erogare i servizi.

Passi per rispettare il regolamento:

• Mostra agli ospiti, entro l’arrivo in struttura, un’informativa sulla privacy che illustri con precisione quali dati verranno trattati, con quali modalità verranno gestiti e per quanto tempo saranno custoditi.
• Limitati a chiedere i dati essenziali che servono per la registrazione degli ospiti, rispettando il principio della minimizzazione.
• Registrazione di dati non essenziali solo con consenso: chiedi in modo esplicito il consenso prima di entrare in possesso di dati non essenziali.
• Registra dati non essenziali in forma anonima: se hai raccolto informazioni non essenziali, come ad esempio la comunicazione di intolleranze alimentari, registrale in forma anonima oppure cancellale, a meno che l’interessato non abbia espresso un consenso per il trattamento.
• Dopo il check-out prenditi cura di cancellare tutti i dati che non risultano necessari per adempiere ai tuoi obblighi come gestore della struttura e aggiorna le eventuali modifiche sui consensi richieste dagli ospiti.
• Conserva i dati con cura, indipendentemente se scegli la modalità cartacea o digitale.

Pubblica la tua struttura su Holidu