GDPR e conformità
Tutti gli strumenti per essere conforme al GDPR: consenso, diritto all'oblio, esportazione dati e informative privacy.
Il GDPR nel contesto alberghiero
Il Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento UE 2016/679) ha ridefinito il modo in cui le strutture ricettive raccolgono, utilizzano e conservano i dati personali degli ospiti. Per un hotel, la conformità al GDPR non è solo un obbligo legale con sanzioni significative — è un'opportunità per costruire fiducia con i propri ospiti dimostrando trasparenza e rispetto per la loro privacy.
Hotely integra nativamente tutti gli strumenti necessari per gestire la conformità GDPR in modo semplice e automatico, senza richiedere consulenze legali costose o implementazioni tecniche complesse.
Dati personali nel settore hospitality
Quali dati raccoglie un hotel
Nel corso della propria attività, una struttura ricettiva raccoglie una quantità significativa di dati personali:
- Dati identificativi: nome, cognome, data di nascita, nazionalità
- Dati di contatto: email, telefono, indirizzo di residenza
- Dati di pagamento: numero carta (gestito da Stripe, mai memorizzato da Hotely), storico transazioni
- Dati del soggiorno: date, tipologia camera, preferenze, richieste speciali
- Dati di navigazione: pagine visitate sul sito, ricerche di disponibilità
- Dati dalla schedina PS: documento d'identità, dati richiesti dalla Questura
- Comunicazioni: email scambiate, richieste tramite chat, note interne
Basi giuridiche del trattamento
Il GDPR richiede che ogni trattamento di dati personali sia basato su una base giuridica valida. Per le strutture ricettive, le basi giuridiche principali sono:
| Base giuridica | Applicazione tipica |
|---|---|
| Esecuzione contrattuale | Gestione della prenotazione, fatturazione, comunicazioni operative |
| Obbligo legale | Schedina PS, registro clienti, obblighi fiscali |
| Interesse legittimo | Sicurezza informatica, prevenzione frodi, analisi aggregate |
| Consenso | Newsletter, comunicazioni marketing, profilazione, cookie non essenziali |
Hotely associa automaticamente la base giuridica corretta a ciascun trattamento, semplificando la gestione e riducendo il rischio di errori.
Gestione del consenso
Raccolta del consenso
Il consenso è la base giuridica più delicata da gestire perché deve essere libero, specifico, informato e inequivocabile. Hotely implementa un sistema di raccolta del consenso che rispetta tutti questi requisiti.
Durante la prenotazione
Nel form di prenotazione, l'ospite visualizza checkbox separate per ciascuna finalità che richiede consenso:
- Invio di comunicazioni commerciali via email
- Invio di comunicazioni via SMS
- Profilazione per offerte personalizzate
- Condivisione dati con partner selezionati (se applicabile)
Ogni checkbox è deselezionata per default (nessun consenso pre-impostato) e accompagnata da un testo chiaro che spiega la finalità del trattamento.
Registro dei consensi
Ogni consenso viene registrato con:
- Data e ora esatta dell'espressione del consenso
- Testo dell'informativa nella versione mostrata all'utente
- Indirizzo IP e dispositivo utilizzato
- Modalità di raccolta (booking engine, check-in, area riservata)
- Stato attuale (attivo, revocato, scaduto)
Questo registro è fondamentale in caso di controlli da parte del Garante Privacy: la struttura può dimostrare quando e come ha ottenuto il consenso di ciascun ospite.
Revoca del consenso
L'ospite può revocare il proprio consenso in qualsiasi momento tramite:
- Link di disiscrizione presente in ogni comunicazione marketing
- Area riservata dell'ospite sul sito della struttura
- Richiesta diretta alla struttura (gestibile dal pannello Hotely)
La revoca ha effetto immediato: il sistema aggiorna automaticamente lo stato del consenso e interrompe i trattamenti basati su quel consenso specifico.
Diritti degli interessati
Il GDPR conferisce agli ospiti una serie di diritti sui propri dati personali. Hotely fornisce strumenti integrati per gestire ciascuno di questi diritti in modo efficiente e nei tempi previsti dalla normativa (massimo 30 giorni dalla richiesta).
Diritto di accesso (Art. 15)
L'ospite ha diritto di sapere quali dati personali la struttura possiede su di lui e come vengono utilizzati.
Come funziona con Hotely:
- L'ospite invia la richiesta (via email, chat o form dedicato)
- Dal pannello Hotely, cerchi l'ospite per nome o email
- Clicchi su "Esporta dati personali"
- Il sistema genera un report completo in formato PDF e JSON contenente tutti i dati dell'ospite
- Invii il report all'ospite
Il report include: dati anagrafici, storico prenotazioni, comunicazioni, consensi, preferenze e qualsiasi altro dato associato al profilo.
Diritto di rettifica (Art. 16)
L'ospite può chiedere la correzione di dati inesatti o l'integrazione di dati incompleti.
Come funziona con Hotely:
La modifica avviene direttamente dal profilo ospite nel pannello di controllo. Ogni modifica viene registrata nell'audit log con il valore precedente e quello nuovo.
Diritto alla cancellazione - "Diritto all'oblio" (Art. 17)
L'ospite può chiedere la cancellazione di tutti i propri dati personali, con alcune eccezioni previste dalla legge.
Come funziona con Hotely:
- Verifica che non esistano obblighi legali che impediscano la cancellazione (es. obblighi fiscali per fatture degli ultimi 10 anni)
- Dal profilo ospite, clicca su "Richiesta di cancellazione"
- Il sistema identifica quali dati possono essere cancellati immediatamente e quali devono essere conservati per obblighi legali
- I dati cancellabili vengono rimossi irreversibilmente
- I dati soggetti a obbligo di conservazione vengono anonimizzati (il dato esiste ma non è più riconducibile all'ospite)
- Viene generata una conferma di avvenuta cancellazione
Diritto alla portabilità (Art. 20)
L'ospite può richiedere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Come funziona con Hotely:
La funzione "Esporta dati personali" genera i dati in formato JSON strutturato, conforme ai requisiti di portabilità del GDPR. L'ospite può utilizzare questi dati per trasferirli a un altro fornitore di servizi.
Diritto di opposizione (Art. 21)
L'ospite può opporsi al trattamento dei propri dati per finalità specifiche, in particolare per il marketing diretto.
Come funziona con Hotely:
L'opposizione al marketing diretto viene gestita automaticamente tramite il sistema di gestione dei consensi. Per altre finalità, il pannello consente di registrare l'opposizione e adeguare i trattamenti di conseguenza.
Diritto alla limitazione del trattamento (Art. 18)
In determinate circostanze, l'ospite può chiedere che i propri dati vengano "congelati" — conservati ma non utilizzati.
Come funziona con Hotely:
Dal profilo ospite è possibile attivare la limitazione del trattamento. I dati vengono contrassegnati come "limitati" e il sistema impedisce automaticamente qualsiasi utilizzo non strettamente necessario alla conservazione.
Cookie consent
Banner dei cookie
Hotely include un sistema di gestione dei cookie conforme al GDPR e alla direttiva ePrivacy, con:
- Banner informativo al primo accesso, con spiegazione chiara delle categorie di cookie
- Scelta granulare: l'utente può accettare o rifiutare singole categorie di cookie
- Nessun cookie non essenziale prima del consenso esplicito
- Possibilità di modifica: l'utente può cambiare le proprie preferenze in qualsiasi momento
Categorie di cookie
| Categoria | Descrizione | Consenso richiesto |
|---|---|---|
| Necessari | Funzionamento del sito e del booking engine | No (base giuridica: interesse legittimo) |
| Analitici | Statistiche aggregate di utilizzo | Sì |
| Marketing | Remarketing e pubblicità personalizzata | Sì |
| Preferenze | Lingua, valuta, personalizzazioni | Sì |
Registro dei consensi cookie
Come per i consensi marketing, anche i consensi relativi ai cookie vengono registrati con tutti i dettagli necessari a dimostrare la conformità.
Informativa privacy
Generatore di informativa
Hotely include un generatore di informativa privacy che crea un documento personalizzato per la tua struttura, basato sui trattamenti effettivamente configurati.
L'informativa generata include tutte le sezioni richieste dall'Art. 13 del GDPR:
- Identità e dati di contatto del titolare del trattamento
- Finalità e basi giuridiche del trattamento
- Categorie di dati trattati
- Destinatari dei dati
- Trasferimenti verso paesi terzi (se applicabile)
- Periodi di conservazione
- Diritti dell'interessato
- Dati di contatto del DPO (se nominato)
Aggiornamento automatico
Quando modifichi le impostazioni di trattamento (ad esempio attivi un nuovo canale di marketing o un'integrazione con un servizio terzo), il sistema ti avvisa che l'informativa privacy potrebbe necessitare di un aggiornamento e suggerisce le modifiche da apportare.
Versioning
Ogni versione dell'informativa viene archiviata con data di pubblicazione e di sostituzione. In caso di controlli, puoi dimostrare quale informativa era in vigore in un determinato periodo.
Accordi sul trattamento dei dati
Data Processing Agreement (DPA)
Il rapporto tra la struttura (Titolare) e Hotely (Responsabile del trattamento) è regolato da un Data Processing Agreement conforme all'Art. 28 del GDPR, incluso nei termini di servizio.
Il DPA definisce:
- Le finalità e la durata del trattamento
- Le categorie di dati trattati
- Le misure di sicurezza implementate
- Gli obblighi di Hotely come responsabile del trattamento
- Le condizioni per l'utilizzo di sub-responsabili
- Le procedure in caso di data breach
Sub-responsabili
Hotely utilizza un numero limitato di sub-responsabili, ciascuno selezionato per la conformità al GDPR e le misure di sicurezza implementate:
- Stripe: elaborazione pagamenti (certificato PCI DSS Level 1)
- Provider cloud: hosting dati (data center UE, certificazioni ISO 27001)
- Provider email: invio comunicazioni transazionali
L'elenco completo dei sub-responsabili è disponibile nel pannello di controllo e viene aggiornato in caso di modifiche, con preavviso sufficiente per eventuali obiezioni.
Gestione dei data breach
Procedura in caso di violazione
In caso di violazione dei dati personali (data breach), Hotely segue una procedura rigorosa:
- Rilevamento: sistemi automatici di monitoraggio identificano l'incidente
- Contenimento: intervento immediato per limitare l'impatto
- Valutazione: analisi della natura, portata e gravità della violazione
- Notifica al titolare: comunicazione alla struttura entro 24 ore dal rilevamento
- Supporto alla notifica: assistenza alla struttura per la notifica al Garante (entro 72 ore) e agli interessati (se necessario)
- Documentazione: report completo dell'incidente, delle misure adottate e delle azioni correttive
Prevenzione
La migliore gestione dei data breach è la prevenzione. Le misure di sicurezza descritte nella guida alla sicurezza sono progettate per ridurre al minimo la probabilità di violazioni.
Conformità e responsabilità
Il ruolo di Hotely
Hotely fornisce gli strumenti tecnologici per la conformità al GDPR, ma la responsabilità finale resta del Titolare del trattamento (la struttura). Hotely:
- Implementa le misure tecniche e organizzative appropriate
- Fornisce strumenti per gestire i diritti degli interessati
- Mantiene il registro dei trattamenti per la parte di propria competenza
- Supporta la struttura in caso di controlli o data breach
Il ruolo della struttura
La struttura è responsabile di:
- Verificare che l'informativa privacy sia corretta e aggiornata
- Rispondere alle richieste degli interessati entro i termini di legge
- Formare il personale sulla gestione dei dati personali
- Nominare un DPO se necessario (obbligatorio per strutture di grandi dimensioni)
- Mantenere il registro dei trattamenti per la propria organizzazione
Supporto specializzato
Per questioni specifiche di conformità, Hotely mette a disposizione documentazione dettagliata e supporto dedicato. Per esigenze particolari, consigliamo di rivolgersi a un consulente privacy specializzato nel settore hospitality.
Domande frequenti
Devo nominare un DPO?
La nomina del Data Protection Officer è obbligatoria per strutture che trattano dati personali su larga scala come attività principale. Per la maggior parte degli hotel indipendenti non è obbligatoria, ma è comunque consigliata come buona pratica. Hotely semplifica il lavoro del DPO mettendo a disposizione tutti i dati e gli strumenti necessari.
Come gestisco le richieste degli ospiti?
Dalla sezione Privacy > Richieste del pannello Hotely puoi visualizzare, gestire e documentare tutte le richieste relative ai diritti degli interessati. Il sistema ti guida passo dopo passo nella procedura corretta per ciascun tipo di richiesta.
I dati della schedina PS sono soggetti al GDPR?
Sì, ma la base giuridica è l'obbligo legale, non il consenso. I dati della schedina devono essere conservati per i periodi previsti dalla legge e non possono essere cancellati su richiesta dell'ospite prima della scadenza di tali termini.
Cosa succede ai dati se cambio sistema?
Hai il pieno diritto di esportare tutti i tuoi dati in qualsiasi momento. Hotely fornisce strumenti di esportazione in formati standard (CSV, JSON) per prenotazioni, anagrafiche ospiti, comunicazioni e consensi. Al termine del rapporto contrattuale, tutti i dati vengono cancellati secondo la procedura descritta nella sezione sulla conservazione dei dati.