Un tema essenziale nel settore del turismo e dell’hospitality, ma il mancato rispetto della normativa in materia può esser fonte di rischi economici e reputazionali. L’analisi di Deloitte Legal per Gv
Nel settore del turismo e dell’hospitality, i dati personali rappresentano, ormai, un assetprezioso che consente di migliorare e personalizzare l’offerta di beni e servizi, attraverso la capitalizzazione delle preferenze espresse da ospiti e clienti in occasioni di precedenti esperienze.
Il grande vantaggio competitivoderivante dalla raccolta e dal trattamento di tali dati per finalità di profilazione e marketing deve, tuttavia, fare i conti con la sempre maggiore sensibilità dei clienti alle modalità di sfruttamento dei propri dati personali e con la nuova normativa europea rappresentata dal General Data Protection Regulation (Gdpr n. 679/2016).
Il citato regolamento sarà, infatti, applicabile a partire dal 25 maggio 2018 e avrà efficacia diretta nell’ordinamento di ciascuno Stato membro dell’Ue (senza necessità di formale recepimento o dell’emanazione di una normativa di attuazione), con un quadro sanzionatorio particolarmente gravoso, che prevede sanzioni amministrative pecuniarie fino a un massimo di 20.000.000 di euro (ovvero, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente).
L’impatto sul settore è davvero ampio e coinvolge catene alberghiere e di ristorazione, tour operator, società di event management, comparto croceristico e società di trasporto ferroviario, aereo, navale, etc.
Molte le novità del regolamento applicabili: dal più ampio ambito di applicazione territoriale (il Gdpr e gli obblighi ivi previsti sono applicabili non solo ai titolari stabiliti nell’Unione europea ma anche ai servizi erogati nell’ambito dell’Unione da titolari stabiliti fuori dall’Ue) ai nuovi presupposti di legittimità per il trasferimento di dati extra Ue (quali le norme vincolanti d’impresa, i codici di condotta, le certificazioni); dall’introduzione del diritto del cliente alla portabilità dei dati, all’obbligo di notificada parte del titolare all’autorità garante in caso di “data breach”, da effettuarsi entro 72 ore dal momento in cui ne è venuto a conoscenza della violazione.
L’applicazione del Gdpr a livello locale non potrà, peraltro, prescindere dalle leggi speciali dell’ordinamento italiano applicabili al settore dell’hospitality, attraverso un equo bilanciamento degli interessi in gioco. Si pensi, ad esempio, agli obblighi di comunicazione, alle autorità di pubblica sicurezza, dell'arrivo di persone alloggiate in strutture ricettive.
Numerose sono dunque le sfide che attendono gli operatori del settore, in termini di risorse umane ed economiche, i quali dovranno in particolare fronteggiare la necessità (ndr: cui verrà dedicato un approfondimento nel prossimo numero) di:
- nominare una nuova figura nell’ambito dell’organizzazione aziendale, il Data Protection Officer (Dpo), laddove il titolare svolga, come attività principale, un monitoraggio regolare, sistematico e su larga scala delle persone fisiche ovvero tratti su larga scala categorie particolari di dati (dati sensibili e/o giudiziari). Si pensi, al riguardo, alla gestione di Customer Relationship Managemet System per finalità di profilazione e di marketing;
- disciplinare con maggior grado di controllo le relazioni contrattuali “multilivello”con soggetti che trattano dati per conto del titolare, attraverso la nomina del Responsabile esterno e la previsione di autorizzazioni generali o specifiche per la nomina di sub-responsabili. Avv. Claudia Grilli Ph.D. – Deloitte Legal – Fonte: Guidaviaggi.it
