GDPR nelle aziende turistiche

A partire dal 25 maggio 2018 è entrato in vigore il General Data Protection Regulation (GDPR), il regolamento attraverso il quale la Commissione Europea intende restituire ai cittadini il controllo dei propri dati personali e rendere omogenea la normativa privacy dentro l’Unione Europea. Il nuovo regolamento stabilisce in che modo gli enti pubblici e le attività commerciali, comprese agenzie di viaggio e strutture ricettive, devono utilizzare i dati sensibili, gli indirizzi IP e i cookie. In Italia, il GDPR sostituisce e abroga le norme del codice per la protezione dei dati personali (DLgs. 196/2003) che ha rappresentato fino ad oggi il testo di riferimento in materia di privacy.

Ma quali sono le principali novità? Un importante cambiamento è il diritto all’oblio (art. 17) ovvero la possibilità, da parte della persona interessata, di chiedere all’azienda la cancellazione immediata dei propri dati personali. Le aziende devono cancellare i dati personali del cliente se:

  • i dati non sono più necessari rispetto alle finalità iniziali;
  • l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo per procedere al trattamento;
  • i dati personali sono stati trattati illecitamente
  • la cancellazione dei dati personali è necessaria per adempiere agli obblighi previsti ai sensi della legislazione dell’Unione Europea o nazionale.

Il GDPR introduce, inoltre, delle nuove figure fondamentali:

  • data controller: è il titolare del trattamento dei dati, ovvero qualunque organizzazione in possesso dei dati personali dei cittadini europei;
  • data processor: è il responsabile del trattamento dei dati, ovvero l’organizzazione che tratta i dati per conto del titolare;
  • data protection officer: il responsabile della protezione dei dati.

Il GDPR richiede alle aziende di mantenere un piano per rilevare una violazione dei dati, valutare regolarmente l’efficacia delle pratiche di sicurezza e documentare le prove di conformità. Invece di una specifica direzione tecnica, il regolamento impone alle aziende il mantenimento delle migliori pratiche per la sicurezza dei dati:

  1. assets inventory: creare un inventario di tutte le risorse che memorizzano o elaborano dati sensibili per consentire l’applicazione di controlli più rigorosi;
  2. vulnerability scanning: effettuare la scansione delle vulnerabilità per identificare i punti deboli che potrebbero essere sfruttati. Le nuove vulnerabilità si verificano quasi quotidianamente e possono esistere nel software, nella configurazione del sistema, nella logica aziendale e nei processi;
  3. security controls: effettuare test per ottenere la certezza che i controlli di sicurezza funzionino come progettato; esistono diverse tecniche per convalidarne l’efficacia: revisioni, rassicurazioni di affidabilità, test di penetrazione e attività di team;
  4. threat detection: mettere in atto i controlli di rilevamento delle minacce per essere informati in modo affidabile e tempestivo quando si verifica una violazione. In caso di violazione nella procedura di sicurezza, che comporti un pericolo per la libertà o i diritti dei cittadini, il titolare del trattamento ha 72 ore per avvisare l’autorità di controllo;
  5. net analysis: monitorare la rete e il comportamento degli utenti per identificare e investigare rapidamente gli incidenti di sicurezza;
  6. incident response plan: per rispettare i regolamenti GDPR, le aziende devono disporre di un piano per individuare e rispondere a una potenziale violazione dei dati per indurre al minimo l’impatto sui cittadini dell’UE. In caso di attacco o intrusione, un processo semplificato di risposta agli incidenti può aiutare a rispondere in modo rapido ed efficace al fine di limitare l’ambito dell’esposizione.

Per le aziende che non si adeguano sono previste sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo globale.

Quali ulteriori interventi devono adottare le agenzie di viaggio e le strutture ricettive per adeguarsi al nuovo regolamento ed evitare di incorrere in sanzioni?

  • utilizzare un linguaggio chiaro e comprensibile a tutti;
  • dare la possibilità al cliente di esprimere il proprio consenso: ad esempio, nel caso dei form di iscrizione alle newsletters, il cliente deve avere la possibilità di poter spuntare appositamente la casella per il consenso;
  • dare la possibilità al cliente di esprimere il proprio consenso per l’utilizzo dei propri dati anche per strategie di marketing interno all’azienda turistica;
  • richiedere l’autorizzazione all’uso dei cookie che raccolgono dati non in forma anonima ma personale (come le e-mail e i numeri di telefono);
  • scrivere un’informativa dettagliata sulla privacy: spiegare bene quali dati vengono raccolti indicandone il periodo di conservazione.
Condividi su...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *