Il GDPR (General Data Protection Regulation) ha cambiato radicalmente il modo in cui le strutture ricettive devono gestire i dati degli ospiti. In questa guida ti spiegheremo tutto quello che devi sapere per essere conforme e evitare sanzioni.
GDPR e Strutture Ricettive: Perche Ti Riguarda
Come gestore di un hotel, B&B o casa vacanza, tratti quotidianamente dati personali sensibili:
- Documenti d'identita (carta d'identita, passaporto)
- Dati anagrafici completi
- Informazioni di pagamento
- Preferenze e abitudini di soggiorno
Questo ti rende un titolare del trattamento ai sensi del GDPR, con tutti gli obblighi che ne conseguono.
Quali Dati Raccoglie un Hotel
Le strutture ricettive raccolgono diverse categorie di dati:
Dati Obbligatori per Legge
- Nome e cognome
- Data e luogo di nascita
- Cittadinanza
- Tipo e numero documento
- Date di arrivo e partenza
Questi dati sono richiesti dall'Art. 109 TULPS per l'invio delle schedine Alloggiati.
Dati per Finalita Commerciali
- Email e telefono
- Preferenze di soggiorno
- Storico prenotazioni
- Note e richieste speciali
Per questi dati serve il consenso esplicito dell'ospite.
Gli Obblighi per gli Albergatori
1. Informativa Privacy
Devi fornire agli ospiti un'informativa chiara che spieghi:
- Quali dati raccogli e perche
- Per quanto tempo li conservi
- Con chi li condividi (Questura, ISTAT, ecc.)
- I diritti dell'ospite (accesso, rettifica, cancellazione)
2. Base Giuridica del Trattamento
Per ogni tipo di dato devi avere una base giuridica:
| Tipo di Dato | Base Giuridica |
|---|---|
| Dati per Alloggiati Web | Obbligo di legge (Art. 109 TULPS) |
| Dati fiscali | Obbligo di legge (normativa fiscale) |
| Email per marketing | Consenso esplicito |
| Dati di pagamento | Esecuzione del contratto |
3. Registro dei Trattamenti
Se hai piu di 250 dipendenti, o tratti regolarmente dati sensibili (come i documenti d'identita), devi tenere un registro dei trattamenti.
Attenzione
Anche le piccole strutture che trattano regolarmente documenti d'identita potrebbero essere obbligate a tenere il registro dei trattamenti. Consulta un legale per il tuo caso specifico.
Tempi di Conservazione dei Dati
Uno degli aspetti piu importanti del GDPR e la limitazione della conservazione. Ecco le tempistiche per le strutture ricettive:
| Tipo di Dato | Tempo di Conservazione | Fonte Normativa |
|---|---|---|
| Schedine Alloggiati | 5 anni | Art. 109 TULPS |
| Documenti fiscali | 10 anni | Normativa fiscale italiana |
| Dati marketing (con consenso) | 24 mesi dall'ultimo contatto | Linee guida Garante |
| Copie documenti identita | Da valutare | Principio di minimizzazione |
Consiglio pratico
Non conservare le copie dei documenti d'identita piu del necessario. Una volta inviata la schedina Alloggiati, valuta se hai davvero bisogno di tenere la copia del documento.
Le Sanzioni Previste
Le sanzioni per violazione del GDPR possono essere molto severe:
Sanzioni massime
Fino a 20 milioni di Euro o il 4% del fatturato mondiale annuo (il maggiore dei due) per le violazioni piu gravi.
Anche per violazioni minori, le sanzioni partono da 10 milioni di Euro o il 2% del fatturato.
Violazioni Comuni nelle Strutture Ricettive
- Mancata informativa privacy agli ospiti
- Conservazione dei dati oltre i termini consentiti
- Trasferimento dati a server extra-UE senza garanzie adeguate
- Mancata notifica di data breach entro 72 ore
- Utilizzo di email per marketing senza consenso
Proteggi i dati dei tuoi ospiti
CheckIn Facile e 100% GDPR compliant: i dati restano sul tuo computer, mai su server esterni.
Scopri di PiuCome Scegliere un Software GDPR Compliant
Non tutti i software di check-in rispettano il GDPR allo stesso modo. Ecco cosa verificare:
1. Dove Sono Memorizzati i Dati?
Chiedi al fornitore:
- In quale paese sono i server?
- Se fuori dall'UE, quali garanzie ci sono (Standard Contractual Clauses, ecc.)?
- Chi ha accesso ai dati?
2. Il Software e Self-Hosted o Cloud?
| Aspetto | Software Cloud | Software Self-Hosted |
|---|---|---|
| Dati degli ospiti | Su server del provider | Sul tuo computer |
| Controllo | Limitato | Totale |
| Rischio data breach | Dipende dal provider | Sotto il tuo controllo |
| Trasferimento extra-UE | Possibile | No |
3. Gestione dei Diritti degli Interessati
Il software deve permetterti di:
- Esportare i dati di un ospite (diritto di accesso)
- Modificare dati errati (diritto di rettifica)
- Cancellare i dati quando richiesto (diritto all'oblio)
- Limitare il trattamento se necessario
Checklist GDPR per Hotel
Usa questa checklist per verificare la tua conformita:
Informativa e Consenso
- Ho un'informativa privacy aggiornata e visibile
- Raccolgo il consenso separato per il marketing
- L'informativa specifica chi e il titolare del trattamento
- Sono indicati i tempi di conservazione
Sicurezza dei Dati
- I computer sono protetti da password
- Ho un antivirus aggiornato
- Faccio backup regolari
- So dove sono memorizzati i dati degli ospiti
Gestione Fornitori
- Ho verificato che il software sia GDPR compliant
- Ho un contratto di nomina a responsabile del trattamento con i fornitori cloud
- So se i dati vengono trasferiti fuori dall'UE
Procedure
- So come rispondere a una richiesta di accesso ai dati
- Ho una procedura per la notifica di data breach
- Cancello i dati allo scadere dei termini di conservazione
Soluzione piu semplice
Usando un software self-hosted come CheckIn Facile, molte di queste preoccupazioni spariscono: i dati restano sul tuo computer, non ci sono trasferimenti a terzi, e hai il controllo totale.
