L’implementazione del GDPR non certo facile, vista la complessità e un radicale cambio di mentalità (con conseguente attività di formazione e sensibilizzazione). Purtroppo la complessità della materia spesso non viene percepita. Di solito nelle aziende è la funzione IT a prendere l’iniziativa, altre volte è la funzione legale, ma in entrambi i casi vi è il rischio di una visione molto parziale che si traduce, nel caso in cui siano coinvolti fornitori esterni, in richieste di offerte generiche.
Il primo passaggio verso l’adeguamento al GDPR consiste nel valutare se detto regolamento si applica alla propria organizzazione e, in caso affermativo, in che misura. Per svolgere questa analisi è prima di tutto necessario identificare i dati in proprio possesso e dove risiedono. Il GDPR regola la raccolta, l’archiviazione, il trattamento e la condivisione di “dati personali”. Questi ultimi sono definiti in modo molto generico nel GDPR: qualsiasi tipo di dato correlato a una persona fisica identificata o identificabile. Per una struttura ricettiva fa molta differenza se la raccolta dei dati si limita a quelli anagrafici oppure si è dotati di SPA e si utilizza il CRM per la raccolta delle preferenze dell’Ospite. I dati possono essere acquisiti ma vanno protetti e gestiti in modo corretto.
Per la protezione dei dati è necessaria la distinzione a seconda di dove sono memorizzati.
- Server Locale (On premises). In questo caso il motore utilizzato per la gestione dei dati deve consentire la crittografia. Il server e i personal computer devono disporre di sistemi operativi aggiornati e aggiornabili. La connessione al mondo esterno deve essere protetta da firewall aggiornati.
- CLOUD. La responsabilità della protezione è in carico al fornitore del servizio, che deve certificare la compliance al GDPR.
Per il trattamento dei dati il PMS deve garantire:
- Liceità del trattamento. L’ interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità oppure il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
- Condizioni per il consenso. Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali
- Trattamento di categorie particolari di dati personali. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
- Diritto all’oblio (cancellazione). L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano e il titolare del trattamento ha l’obbligo di cancellare i dati personali, se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati
- Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.
- Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Riguarda specificatamente il gestionale in uso che deve essere predisposto “by design” all’acquisizione e gestione dei consensi e deve poter cancellare i dati, secondo regole decise dal titolare del trattamento, “by default”.
HOTELCUBE di Proxima Service è compliance GDPR
Torna alla Parte 1!