Le domande frequenti sul regolamento e le migliori prassi RGDP

Hai ancora domande sul RGDP? Consulta le nostre migliori prassi e le domande frequenti accompagnate da relative risposte.
Inoltre, assicuratevi di controllare:
•    Il nostro blog in tempo reale che tratta gli eventuali cambiamenti e le nuove funzionalità di WebHotelier

  • Introduzione al Regolamento GDPR

•    Il glossario dei termini del regolamento RGDP
Migliori prassi
Vi sono tre cose che bisognerebbe fare a seconda della tua situazione e giurisdizione:
Aggiorna la tua informativa sulla privacy
Il requisito legale per informare i clienti delle attività di trattamento dei dati è l’impegno dell’albergatore all’assunzione della qualità di responsabile del trattamento dei dati.
Assicurati che la tua informativa sulla privacy informi in maniera conforme come vengano utilizzati i servizi WebHotelier e simili nel processo di trattamento dei dati e con quale obiettivo il trattamento sta avendo luogo.
Sottoscrivi l’accordo sul processo dei dati (DPA)
Il responsabile al trattamento è obbligato a sottoscrivere un accordo con tutti gli incaricati al trattamento. Abbiamo personalmente preparato un accordo di concerto con il nostro consulente legale in conformità con il Regolamento.
Vi invieremo una versione del nostro documento perché lo controlliate e sottoscriviate. Se avete qualche domanda al riguardo, scrivere all’indirizzo mail dpo@webhotelier.net.
I documenti verranno pubblicati sulla pagina principale di WebHotelier appena pronti. Controlla il nostro blog per l’avviso.
Assicurati abbia prova del consenso per tutti i residenti o i cittadini dell’Unione Europea
Raccomandiamo che si ottenga esplicito consenso con una impostazione di doppia manifestazione di volontà. Con una doppia manifestazione di volontà, appena ci si iscrive per ricevere email di promozione, l’interessato riveverà una mail con un link di verificazione. Cliccando questo link, si confermano ambedue i consensi e il suo indirizzo mail. Serve inoltre a tenere un registro del consenso che è richiesto dal RGDP.
Domande frequenti
Cosa è il RGDP?
Il regolamento generale sulla protezione dei dati (RGDP, in inglese GDPR, General Data Protection Regulation - Regolamento UE 2016/679) è una legislazione europea sulla privacy che entra in vigore il 25 maggio 2018.
Sostituirà la esistente legislazione degli stati membri dell’Unione che implementa a sua volta la direttiva dell’Unione Europea sulla protezione sulla protezione dei dati che è in vigore dal 1995.
Il regolamento si applica nel mio caso?
Il Regolamento si applica a tutte le compagnie ed organizzazioni che hanno cittadini appartenenti all’Unione Europea che fanno parte del loro business o della loro organizzazione. Si applica, inoltre, a tutte le compagnie che processano i dati personali di soggetti residenti nell’Unione Europea, a prescindere da dove sia ubicata la compagnia.
Cosa sono i dati personali?
Sono ogni informazione che collega un identificato o identificabile persona vivente.  Diverse informazioni, raccolte insieme, possono portare all'identificazione di una determinata persona, e, costituiscono anche dati personali.
I dati personali che sono stati precedentemente identificati, crittografati o coperti dall’uso di uno pseudonimo ma che possono essere utilizzati per identificare nuovamente una persona rimangono dati personali e rientrano nell'ambito di applicazione della legge.
I dati personali che sono stati resi anonimi in modo tale che l'individuo non sia o non sia più identificabile non sono più considerati dati personali. Perché i dati siano veramente resi anonimi, l'anonimizzazione deve essere irreversibile.
La legge protegge i dati personali a prescindere dalla tecnologia utilizzata per l'elaborazione di tali dati, in tal senso è neutrale rispetto alla tecnologia, e si applica sia all'elaborazione automatica che manuale, a condizione che i dati siano organizzati in base a criteri predefiniti (ad esempio l'ordine alfabetico). Inoltre, non importa come vengano archiviati i dati: in un software, tramite videosorveglianza o su carta; in tutti i casi, i dati personali sono soggetti ai requisiti di protezione stabiliti nel RGPD.
Esempi di dati personali:

  • Nome e cognome;
  • Indirizzo di casa;
  • Un indirizzo mail come nome.cognome@società.com;
  • Un tesserino di riconoscimento;
  • Dati sulla posizione (per esempio la localizzazione di un cellulare); un indirizzo IP; un cookie;
  • Un “Identificatore di Pubblicità” (Advertising identifier) sul tuo telefono;
  • Dati conservati da un ospedale o un dottore che possono inequivocabilmente identificare una persona.

Esempi di dati NON personali:

  • Il numero di iscrizione al registro delle società;
  • Un indirizzo email come info@albergoX.com;
  • Dati resi anonimi.

Cosa viene regolato dal RGDP?
Il nuovo regolamento disciplina il trattamento da parte di un individuo, una società o un'organizzazione di dati personali relativi alle persone nell'UE.
Il processo non si applica al trattamento di dati personali di persone decedute o di persone giuridiche.
Le regole non si applicano ai dati trattati da una persona per motivi puramente personali o per attività svolte in casa, a condizione che non vi sia alcuna connessione con un'attività professionale o commerciale. Quando una persona utilizza dati personali al di fuori della sfera personale, ad esempio per attività socio-culturali o finanziarie, allora la legge sulla protezione dei dati deve essere applicata.
Esempi
Quando si applica il regolamento
Una società stabilita nell'UE fornisce servizi di viaggio a clienti con sede nei paesi baltici e in tale contesto elabora i dati personali di persone fisiche.
Quando non si applica
Un individuo utilizza la propria rubrica privata per invitare gli amici via email a una festa che stanno organizzando.
Cosa costituisce l’elaborazione dei dati?
L'elaborazione copre una vasta gamma di operazioni eseguite sui dati personali, anche con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o l'alterazione, il reperimento, la consultazione, l'uso, la divulgazione per trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione di dati personali.
Il Regolamento si applica al trattamento dei dati personali, in tutto o in parte, mediante strumenti automatizzati e anche al trattamento non automatizzato, se fa parte di un sistema di archiviazione strutturato.
Esempi

  • Amministrazione del personale e buste paga;
  • Accesso o consultazione di un database di contatti contenente dati personali; invio di email promozionali;
  • Distruzione di documenti contenenti dati personali;
  • Pubblicare la foto di una persona su un sito web;
  • Conservare indirizzi IP o indirizzi MAC;
  • Registrazioni video.

Cosa sono le autorità di protezione dei dati (DPA)?
Le autorità per la protezione dei dati sono autorità pubbliche indipendenti che vigilano, tramite i poteri investigativi e correttivi, sull'applicazione della legge sulla protezione dei dati. Forniscono consulenza specialistica su questioni di protezione dei dati e gestiscono i reclami presentati contro le violazioni del regolamento generale sulla protezione dei dati e le leggi nazionali pertinenti. Ce n’è uno in ciascuno Stato membro dell'Unione.
In linea generale, il punto di contatto principale per le domande sulla protezione dei dati è il DPA nello Stato membro dell'UE in cui si trova la vostra azienda/organizzazione. Tuttavia, se la vostra azienda/organizzazione tratta i dati in diversi Stati membri dell'Unione o fa parte di un gruppo di società stabilite in diversi Stati membri, tale punto di contatto principale può essere un DPA in un altro Stato membro dell'Unione.
Trova  la tua DPA nazionale online.
Lista aggiornata
Il regolamento è applicabile a WebHotelier?
Sì, WebHotelier è coperto dal regolamento in situazioni in cui WebHotelier elabora i dati personali dei clienti degli albergatori, inclusi, ma non solo, gli utenti finali se tali persone si trovano nell'Unione Europea.
Il regolamento è applicabile nei miei confronti come cliente di WebHotelier?
Quasi certamente sì, ma dovresti consultare il consulente legale della tua azienda per determinare se il regolamento si applica nei tuoi confronti.
WebHotelier è un responsabile del trattamento o un incaricato del trattamento?
Può operare in ambedue le circostanze, dipende dalla singola situazione.
Per quanto riguarda i dati personali dei propri clienti, WebHotelier generalmente è incaricato del trattamento e il cliente di WebHotelier è il responsabile del trattamento. Quest’ultimo, determina le finalità e i mezzi del trattamento dei dati personali.
WebHotelier opera anche come responsabile del trattamento in relazione ad alcuni dei suoi servizi e/o database. Ad esempio, per quanto riguarda i dati dei clienti albergatori che accedono alle nostre applicazioni amministrative, WebHotelier è il responsabile del trattamento.
WebHotelier ha un responsabile della protezione dei dati?
Sì, WebHotelier ha un responsabile della protezione dei dati. Puoi contattare il nostro responsabile della protezione dei dati all'indirizzo:

Quali sono le basi legali del regolamento per il trattamento dei dati personali da parte di WebHotelier?
Per quanto riguarda il booking engine e altri servizi che WebHotelier fornisce ai propri clienti (dove WebHotelier agisce come incaricato del trattamento), WebHotelier ha un legittimo interesse nell'elaborazione dei dati.

 

Il regolamento fa specifico riferimento al "trattamento dei dati personali strettamente necessario ai fini della prevenzione delle frodi e che costituisca anche un interesse legittimo del responsabile del trattamento dei dati in questione" - tra gli altri casi, il cliente di WebHotelier utilizza i servizi di WebHotelier per pubblicare un sito web per le prenotazioni online.
WebHotelier fornisce inoltre servizi ai propri clienti che includono il trattamento di dati personali (in cui WebHotelier agisce sia come responsabile del trattamento che come incaricato) in base al consenso ottenuto dai propri clienti e dagli utenti finali.
In che modo WebHotelier gestisce le richieste dei soggetti interessati per esercitare i loro diritti ai sensi del regolamento?
Laddove WebHotelier operi come incaricato, WebHotelier informerà il cliente qualora ricevesse una richiesta da un interessato per esercitare il diritto di accesso della persona interessata, diritto alla rettifica, restrizione dell'elaborazione, cancellazione ("diritto all’oblio"), dati portabilità, opposizione al trattamento o diritto di non essere soggetti a decisioni individuali automatizzate. WebHotelier assisterà inoltre il cliente nella risposta a una richiesta di di dati, se legalmente richiesta e consentita. Il cliente di WebHotelier è responsabile per qualsiasi costo derivante dall'assistenza di WebHotelier con le richieste dei dati.
Laddove WebHotelier operi come responsabile, l'interessato può contattare direttamente WebHotelier per esercitare il suo diritto. Ulteriori informazioni sono contenute nell'informativa sulla privacy di WebHotelier.
WebHotelier ha un piano di intervento in caso di incidente?
Sì, WebHotelier ha un programma di sicurezza delle informazioni scritte che include un piano di intervento per gli incidenti.
WebHotelier esegue valutazioni dell'impatto sulla protezione dei dati?
WebHotelier può condurre valutazioni relativamente ai dati personali dei propri clienti laddove le sue operazioni di elaborazione possano comportare un alto rischio per i diritti e le libertà delle persone fisiche. Laddove WebHotelier operi come elaboratore di dati per conto dei propri clienti, WebHotelier assisterà i propri clienti, i responsabili del trattamento dei dati, laddove necessario e su richiesta scritta, nel garantire il rispetto degli eventuali obblighi del cliente derivanti dall'esecuzione di valutazioni. Per ulteriori informazioni, si prega di contattare il nostro DPO.
Quando è richiesta una valutazione dell'impatto sulla protezione dei dati (DPIA)?
Una DPIA è richiesta ogni volta che l'elaborazione può comportare un rischio elevato per i diritti e le libertà delle persone. Una DPIA è richiesta almeno nei seguenti casi:

  • una valutazione sistematica e approfondita degli aspetti personali di un individuo, inclusa il profiling;
  • elaborazione di dati sensibili su larga scala;
  • monitoraggio sistematico di aree pubbliche su larga scala.

Può WebHotelier rifiutare una richiesta DPIA?
Sì, se la richiesta non è soggetta ai criteri sopra indicati.
In tutti i casi, WebHotelier valuterà la gravità della richiesta e potrà contattare l'autorità per la protezione dei dati prima di condurre la DPIA.
L'infrastruttura Privacy Shield di WebHotelier è certificata?
Sì, WebHotelier utilizza esclusivamente i servizi Amazon Web per la sua infrastruttura, pertanto tutti i server e l'infrastruttura IT sono certificati secondo il Privacy Shield UE-USA. Visualizza la certificazione qui.
Puoi leggere ulteriori informazioni su Privacy Shield Framework di Amazon qui
Quali sono le cose principali che dovrei fare per garantire la conformità del regolamento?
In primo luogo, assicurati che i tuoi fornitori di elaborazione dati offrano soluzioni complete e facili da utilizzare, progettate per aiutarti a raggiungere la conformità del regolamento in relazione ai quattro pilastri principali:

  • prova del consenso;
  • diritto alla portabilità dei dati;
  • diritto alla cancellazione;
  • diritto al rifiuto del profiling.

In secondo luogo, condurre una valutazione dell'impatto sulla privacy in modo da capire il flusso dei dati, chi ha accesso ad esso, dove è memorizzato e per cosa viene utilizzato.
Terzo, assicurati di avere la Prova del Consenso di ogni residente o cittadino dell'Unione Europea all'interno del tuo database. Questo potrebbe dover essere fatto retroattivamente per poter comunicare con loro dopo il 25 maggio 2018. Dovrai essere in grado di dimostrare di aver acconsentito a ricevere le tue comunicazioni di email marketing.
Che cosa devo fare per rimuovere i contatti appartenenti all'Unione con i quali non dovrei comunicare?
È importante che la maggior parte del tuo database accetti il ​​più possibile le tue campagne di marketing. Indirizzare i profili conosciuti negli stati membri dell'Unione con una campagna di doppio consenso prima del 25 marzo 2018 per acquisire la loro prova di consenso.
Il regolamento comporta che abbia bisogno di doppio consenso?
Non è richiesto, ma la prova del consenso lo è. Il modo migliore per stabilire la prova del consenso è attraverso il doppio consenso esplicito.

Anche senza il Regolamento, un approccio a doppio consenso è ancora fortemente richiesto. Ti aiuterà a creare un elenco più sano impedendo l'aggiunta di indirizzi email errati al tuo database. Inoltre, il doppio consenso è migliore per la reputazione del mittente e la circolazione della posta elettronica.
Posso trasferire dati personali relativi a persone provenienti dall'Unione al di fuori dell'Unione?
Le organizzazioni sono autorizzate a trasferire dati personali al di fuori dello spazio economico europeo solo se dispongono di adeguate garanzie per proteggere i dati all'estero. I meccanismi di trasferimento accettati includono l'autocertificazione al Privacy Shield Framework (se trattasi di un'organizzazione statunitense), utilizzando le Clausole contrattuali standard della Commissione Europea, trasferendo i dati in un paese che è stato riconosciuto dalla Commissione europea fornendo un livello "adeguato" di protezione dei dati, ottenendo l'approvazione delle Binding Corporate Rules (norme vincolanti d’impresa), nonché altri meccanismi meno consolidati come certificazioni e codici di condotta.