Privacy

GDPR e Data Economy: obblighi e problemi o stimoli a migliorare, differenziarsi e crescere?

Dal 25 maggio 2018 è obbligatorio attenersi al GDPR – Global Data Protection Regulation.

Alessandro Calligaris, Direttore Marketing di Serenissima Informatica, ci aiuta a fare chiarezza su una materia complessa e spinosa, spiegandoci tutto ciò che il nuovo regolamento sulla privacy comporta per le strutture ricettive.

Il GDPR – Global Data Protection Regulation diventa obbligatorio dopo 2 anni e 21 giorni dalla sua pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea come “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

Per la cronaca, quindi, il GDPR è entrato in vigore il 25 maggio 2016: abbiamo avuto 2 anni di tempo per studiarlo e metterci in regola, ma fino a poco tempo fa non se ne sentiva proprio parlare, e per qualcuno è tutt’ora l’ennesimo Carneade.

Finalità e sanzioni previste dal GDPR

Per evitare sensazionalismi, diciamo subito che in caso di inadempienze e violazioni dei dati personali il GDPR prevede sanzioni fino a 20 milioni di euro oppure al 4% del fatturato mondiale dell’azienda incriminata. Senza contare gli effetti sulla capacità di business a lungo termine determinati dalla perdita di fiducia dei clienti e i danni alla reputazione. Acquisire queste consapevolezze rende di colpo più appassionante la lettura dei 186 articoli che costituiscono il corpo principale del Regolamento e le due Direttive (UE) ad esso collegate (2016/680 e 2016/681).

In sintesi, il GDPR ha lo scopo di rafforzare i diritti degli individui, potenziare e unificare la normativa sulla protezione dei dati personali entro i confini UE e regolare anche l’esportazione dei dati personali al di fuori dei confini UE. I concetti fondamentali espressi dal GDPR sono semplici quanto potenti e significativi nelle conseguenze: la salvaguardia e la protezione dei dati personali deve essere proattiva da parte del responsabile, garantita e conseguita “by design e by default” in maniera integrata attraverso prodotti, servizi e processi a tale scopo implementati;

La raccolta del consenso

Il consenso al trattamento dei dati deve essere raccolto per tutte le persone fisiche maggiori di 16 anni (per i minori è il genitore o tutore ad esercitare la patria potestà) e tutte le informative sul trattamento dei dati, così come i modelli utilizzati per raccogliere i dati devono essere facilmente comprensibili anche da un minore e devono includere il motivo e la finalità per cui i dati vengono raccolti. In particolare il consenso deve essere:

  • sempre valido, esplicito e revocabile;
  • espresso liberamente dall’interessato: la normativa vieta caselle premarcate e, nel caso in cui l’interessato non specifichi esplicitamente il consenso, questo si intende negato;
  • dimostrabile, in caso di disputa, quindi è necessario organizzarsi per archiviare correttamente (anche digitalmente) tali dati.

Secondo le prime due definizioni tra quelle elencate nell’articolo 4 del Regolamento, per “Dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Mentre la gestione dei dati, ovvero il “Trattamento” come: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.”

Il GDPR nel settore ricettivo

Il business alberghiero tratta dati personali per la sua natura più intima di servizio personalizzato agli individui e oltretutto, per le tendenze attuali alla disintermediazione grazie alla fidelizzazione della clientela attraverso azioni di customer relationship management e marketing automation, cade perfettamente nel paradigma della Data Economy.

I dati diventano quindi la materia prima di una nuova economia basata sulla conoscenza e sull’elaborazione delle informazioni, un potenziale motore per lo sviluppo e una fonte di nuovi business. Il GDPR, nato proprio per essere lo statuto della Data Economy, è quindi di estrema rilevanza per l’hospitality e tutti gli operatori del settore devono mettersi in regola al più presto ed essere pronti entro il 25 maggio 2018.

Chi in hotel è interessato al GDPR?

Qualsiasi persona che viene a contatto con dati personali, così come qualsiasi strumento informatico e non, utilizzato per processare i dati personali di clienti, potenziali clienti, aziende, fornitori e dipendenti è soggetto al GDPR. Quindi: l’azienda alberghiera, gli strumenti aziendali, i collaboratori dell’azienda nonché i fornitori dell’hotel. Ma il ruolo che ogni strumento e/o collaboratore dell’azienda ha nel processo dei dati personali è diverso, e il GDPR identifica diverse figure di base:

• il Data Controller o Titolare del Trattamento è chi raccoglie i dati e decide come questi dati vengono utilizzati: l’azienda alberghiera è un Data Controller;
• il Data Protection Officer è una figura professionale con competenze in campo informatico, giuridico, di valutazione del rischio e di analisi di processi, Il suo compito è quello di osservare e valutare l’utilizzo dei dati personali in modo conforme al GDPR;
• il Data Processor è chi tratta i dati per conto del Data Controller, ad esempio un’OTA o un Channel Manager.

Diritti, doveri, piani e azioni

I clienti, potenziali clienti, fornitori, contatti di aziende con cui lavoriamo normalmente nonché i collaboratori ed ex collaboratori dell’hotel acquisiscono più diritti con il GDPR. In sintesi:

  • Diritto di portabilità dei dati: una persona può trasferire i propri dati da un titolare ad un altro
  • Diritto all’oblio: i dati personali devono essere eliminati se la finalità per cui sono stati raccolti è stata raggiunta
  • Diritto all’accesso: l’interessato può richiedere di avere gratuitamente tutti i dati che lo riguardano in un formato elettronico di utilizzo comune (XML, JSON, CSV)
  • Diritto alla limitazione del trattamento: l’interessato può bloccare o limitare l’utilizzo dei propri dati (ovvero: possono essere salvati, ma non possono essere utilizzati)
  • Diritto all’eliminazione: l’interessato può richiedere l’eliminazione dei suoi dati quando rettifica il consenso, i dati sono stati processati in maniera illegale e/o i dati sono soggetti a eliminazione a causa di altre leggi
  • Diritto di obiezione: l’interessato può obiettare riguardo l’uso e la profilazione dei propri dati a meno che non ci sia una valida motivazione per il loro utilizzo
  • Diritti relativi alla profilazione automatica e procedure di decision making: l’interessato può negare il consenso ad eventuali procedure automatiche di profilazione che potrebbero avere un impatto dal punto di vista giuridico.

L’innovatività del GDPR sta nel fatto che, oltre a riconfermare una base giuridica su come le persone con cui ci relazioniamo (clienti, fornitori, dipendenti, ad esempio) o vogliamo relazionarci (potenziali clienti, ad esempio) possono disporre dei propri dati personali, definisce il dovere di organizzarsi con processi aziendali tali da garantire che i dati, da quando il rapporto inizia a quando finisce, vengano trattati in maniera tale da impedire utilizzi fraudolenti. In tal senso il GDPR definisce la necessità di istituire in maniera proattiva processi specifici per ogni fase in cui i dati vengono raccolti e trattati, con lo scopo di prevenire utilizzi non corretti degli stessi, frodi o perdita di dati, e tutta la struttura aziendale e i sistemi informativi utilizzati devono concorrere a tale scopo.

I titolari del trattamento dei dati sono così chiamati a dimostrare di aver analizzato i rischi e predisposto un programma di intervento accurato e dettagliato, di aver analizzato e valutato lo stato attuale del trattamento dei dati personali nel proprio hotel rispetto a principi e regolamenti dettati dalla nuova normativa.
Attraverso questa analisi differenziale iniziale si individuano i punti deboli dei processi in essere e dei sistemi informativi in uso e si definisce il piano di intervento per essere conformi al GDPR, adottando le misure di sicurezza più idonee ad abbattere le vulnerabilità dell’infrastruttura informatica, organizzando e conducendo la formazione del personale.

Security awareness e formazione

Gli attacchi dall’interno dell’organizzazione sono una delle maggiori minacce alla sicurezza dei dati, vuoi per azioni deliberatamente fraudolente da parte di collaboratori scontenti o infedeli, e molto più frequentemente a causa di “attacchi involontari” da parte di utenti non informati e non formati che, in modo non malevolo, rappresentano un problema per la sicurezza delle informazioni.

Visitare siti web infettati da malware, rispondere a e-mail di phishing o mantenere le proprie credenziali di accesso ai sistemi in una zona non sicura, possono causare perdite di dati molto gravi. Pertanto, tutti i collaboratori devono essere formati e informati, ripetutamente nel corso del tempo, affinché comprendano bene le responsabilità sulla sicurezza dei dati legate al proprio ruolo, le policy organizzative e come proteggere in modo adeguato le risorse a essi assegnate man mano che le potenziali minacce si evolvono.
Ambiti di azione

Si possono identificare cinque ambiti di intervento in hotel:
1. totale conoscenza sulla natura dei dati strutturati o destrutturati che si archiviano in formato elettronico o su supporto cartaceo (dati anagrafici e demografici, canali di comunicazione come telefono, cellulare, email, etc.; ID nazionali come codice fiscale, passaporto, targhe, tessere sanitarie; conti bancari; identificativi digitali; riferimenti ad organizzazioni di appartenenza, social media e ulteriori dati particolari relativi alla salute);
2. modalità di accesso ai dati personali e per quali scopi (ad esempio, accesso per consultazione, per profilazione, deduplicazione e così via);
3. governo dei dati: le policy, la governance tout court, il collegamento dei processi, la gestione delle responsabilità;
4. strategie e strumenti informatici e non per proteggere, anonimizzare e crittografare i dati;
5. formazione continua del personale;
6. su tutto, controllo rigoroso delle procedure applicate: reportistica interna, verifiche, comunicazione con il pubblico.

Alcune implicazioni informatiche

A parte le misure organizzative, è ovviamente indispensabile includere nei processi di protezione dei dati personali anche tutti gli strumenti informatici utilizzati: software gestionali on premise o servizi in cloud, sistemi operativi, sistemi antivirus e hardware.
Bisogna fare attenzione anche a elementi dell’infrastruttura che di solito rimangono in secondo piano. Prima di tutto bisogna accertarsi che i prodotti utilizzati siano coperti dal supporto del produttore, e che siano sempre aggiornati, altrimenti il rischio di esposizione di dati e informazioni a possibili attacchi è elevato. Ogni applicazione ha il suo ciclo di vita, perderne il controllo espone a rischi inutili. Operativamente, si parte anche semplicemente dalla verifica dei sistemi operativi presenti in hotel. Ad esempio: utilizzate ancora Windows Xp? Windows Vista? Sapete che è concluso già anche il periodo di supporto esteso? E che per Windows 7 stesso si concluderà il supporto esteso a inizio 2020?.

A un livello più elevato, tutti gli strumenti informatici che raccolgono dati personali o che sono utilizzati per processare dati personali devono consentire come minimo:

  • il log degli accessi ai dati personali e delle eventuali modifiche fatte;
  • processi automatici e on-demand di: definizione del periodo minimo di conservazione dei dati; anonimizzazione dei dati; cancellazione totale dei dati; oblio dei dati; estrazione dei dati in formati elettronici di uso comune; definizione delle restrisioni sull’uso dei dati;
  • la Data Breach Notification, ovvero un sistema che in caso di attacco informatico ai dati personali informa l’azienda entro 72 ore al massimo dall’atto fraudolento.

Ad esempio, adeguarsi significa che:

  • ogni utente che accede alla rete aziendale e ai vari software deve avere un proprio nome utente e password personale, non condivisa con altri utenti;
  • la password deve essere complessa e modificata ogni 6 mesi;
  • nessun altro, oltre a chi è autorizzato a visualizzare o raccogliere dati personali, può accedervi;
  • ci siano misure di protezione dei dati supplementari a quelle previste come standard dagli strumenti informatici attuali;
  • gli strumenti informatici che si utilizzano siano supportati dal produttore;
  • gli strumenti informatici vengano aggiornati con la dovuta frequenza per l’applicazione delle patch di sicurezza.

Appena scendiamo ad un maggior livello di dettaglio ci rendiamo conto di quanto la materia sia complessa e della necessità di affidarsi a professionisti preparati. Ad esempio, dato che l’accesso alla rete e agli strumenti informatici aziendali deve essere autorizzato, allora nessun altro oltre ai collaboratori dell’hotel autorizzati può accedere alla vostra rete, dove potrebbero essere presenti dati sensibili (in questo caso l’Active Directory dei sistemi operativi Windows Server può aiutare) e la WiFi per i clienti deve essere indipendente da quella utilizzata per le necessità operative dell’hotel

Dal momento che è buona norma adottare misure di protezione addizionali rispetto agli standard degli strumenti informatici, è necessario non fermarsi alla protezione standard di Windows, ad esempio, ma prevedere sistemi Anti-Virus, Anti-Malaware, Sistemi di Encryption e Firewall che garantiscano la sicurezza della propria rete e dei dati… Nell’informatica ci vivo da anni, ma con un filo di vertigini mi viene spontaneo chiedere: c’è un sistemista in sala?

E le opportunità?

L’applicazione del GDPR porta con sé l’obbligo di rivedere i propri processi, investire in innovazione tecnologica e in formazione e analizzare i dati di cui si dispone sui propri clienti e, per estensione, a ragionare sulla quantità dei dati raccolti e soprattutto sulla loro qualità. Nel contesto della Data Economy la qualità delle informazioni che si possiedono diventa cruciale per il business, così come l’attenzione da parte dei media e dei consumatori verso le tematiche della sicurezza dei dati e della privacy si fa sempre più pressante.

Da questo punto di vista non può essere ignorato o sottovalutato il vantaggio competitivo che un’hotel può ricavare dal data management, che è possibile solo con un sistema di gestione e controllo dei dati che comporta tutte le misure viste finora, a partire dall’avere il consenso esplicito alla profilazione e allo svolgimento di attività di marketing, al permesso di tracciare i dati nei propri sistemi informativi e così via.

È facile prevedere che i clienti daranno maggior fiducia ad un hotel che pone molta attenzione alla privacy e alla tutela dei dati personali, a tutto vantaggio dell’immagine della struttura e, infine, dei ricavi. In definitiva, l’hotellerie può approfittare di questo cambiamento culturale per occuparsi dei clienti in maniera ancora più importante e a tutto tondo, soddisfacendo le loro aspettative con i servizi offerti e facendoli sentire ancora di più al sicuro. E, si sa, per il piacere di sentirsi al sicuro siamo tutti disposti a spendere…

 

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here