Durante la partecipazione alla fiera TTG 2023 a Rimini ho avuto modo di incontrare moltissime realtà differenti in ambito turistico. Ho avuto la possibilità di trasmettere il messaggio del forte intreccio che c’è tra trattamento dei dati personali e sistemi di backup.
Ovvio che non bastano i backup per garantire un adeguato trattamento dei dati personali, ma non sono le tematiche più ampie di cybersecurity che tratto nel mio blog, né sono questi gli argomenti che la maggior parte delle imprese della filiera del turismo sono in grado di capire e, di conseguenza, applicare nelle loro attività quotidiane.
Dal piccolo agriturismo al grande hotel, dalla piccola agenzia di viaggi al grande tour operator, persino i partner tecnologici che esponevano si sono interessati ai temi proposti in fiera, chi ponendo di più l’attenzione su metodi a tutela del proprio business in caso di problemi privacy con clienti, altri manifestando interesse nei sistemi di backup rivolti a garantire la resilienza dei dati in caso di cyber-attacchi.
C’è ancora molta confusione, a volte pressappochismo, su questi argomenti: soprattutto manca la consapevolezza da parte delle aziende turistiche dei potenziali rischi che si corrono nel navigare nel mare dei dati elettronici.
In questo articolo riporto alcuni degli aspetti su cui il focus è stato più costante tra le diverse realtà che ho conosciuto.
L’importanza della raccolta del dato personale nel mondo del turismo
I dati personali sono la ricchezza di un’impresa turistica ma, potenzialmente, la più importante fonte di rischio. Piccole o grandi strutture ricettive, agenzie di viaggi o tour operator basano la propria attività sul viaggiatore che è sempre e comunque una persona fisica (anche quando viaggia per lavoro).
Partiamo dal presupposto che il viaggiatore è “l’interessato”, cioè quell’individuo a cui appartengono i dati e che spontaneamente, liberamente e coscientemente lui affida a qualsiasi impresa turistica, per differenti finalità.
Il punto è questo: un’impresa turistica che raccoglie correttamente i dati personali dei propri clienti può trarne enormi vantaggi, ben oltre la fornitura di un singolo servizio.
Tutto ciò a patto di aver raccolto i dati personali in maniera corretta, comunicando al viaggiatore (l’interessato) attraverso l’informativa privacy le finalità per le quali si stanno raccogliendo i dati personali, tenendo distinti i consensi per le finalità definibili come “accessorie” a quella principale.
All’interno di queste finalità accessorie risiede il vero valore potenziale: parliamo infatti dei consensi per le attività di marketing e per quelle di profilazione, due argomenti che in questi anni di incredibile evoluzione tecnologica hanno permesso a molte imprese turistiche di differenziarsi sul mercato.
Per poter fare marketing e profilazione, però, l’impresa turistica deve raccogliere il dato con una informativa molto chiara, garantendo all’utente la possibilità di esprimere un consenso libero, informato ed esplicito.
Non potranno essere utilizzati i dati personali raccolti con un solo consenso: questo è il limite che molte aziende, consapevolmente o meno, si stanno auto-infliggendo. Informative poco chiare e un solo consenso chiudono le porte a potenziali attività promozionali o ad una analisi approfondita dei gusti dei viaggiatori, bloccando le porte allo sviluppo del business turistico nel mondo digitale.
Ecco quindi che il punto di contatto con i dati personali dei clienti, se gestito correttamente, può trasformarsi in una enorme opportunità per lo sviluppo economico di ogni player dell’ecosistema turistico.
Videosorveglianza nelle strutture ricettive
Tema più specifico ma pur sempre presente, soprattutto nelle strutture di dimensioni più importanti come hotels e resorts. E tema sul quale ancora c’è tantissima confusione e, purtroppo, abuso. Ho approfittato quindi di riportare ai contatti della fiera alcuni capisaldi comuni in presenza degli impianti di videosorveglianza:
-
Cartelli. Che siano sempre presenti, correttamente compilati ed esposti prima del raggio di azione delle telecamere, visibili anche in orario notturno. Che non passi il messaggio che, dato che ci si trova in un hotel è meglio non mettere i cartelli “area videosorvegliata” perché altrimenti i clienti si sentono osservati. Il cartello va apposto, per legge, nessuna attività economica di nessun tipo può esimersi dal farlo.
-
Informativa privacy completa. Va resa disponibile su richiesta, non serve apporla in una orribile bacheca o inquadrarla nel tentativo di renderla meno inguardabile. La norma non obbliga di esporla, ma solo di renderla disponibile su richiesta da parte dell’interessato. Molto meglio tenerne una copia in reception, magari plastificata.
-
Tempi di conservazione. Altro tema sul quale la normativa ed i provvedimenti del Garante privacy si sono espressi più e più volte. Non si possono conservare immagini registrate per più di 24-48 ore senza avere una motivazione plausibile. E nel caso di hotel aperti 7/7 non è possibile certo addurre come motivazione quella della chiusura durante il weekend per estendere le registrazioni fino a 72 ore o oltre. 24 ore o massimo 48 sono il limite tollerato che nessun organo di controllo potrà mai contestare, anche perché è un tempo perfettamente in linea con il principio privacy di “minimizzazione” dei dati.
-
Usabilità delle immagini. La buccia di banana sulla quale scivolano sempre tutti. Per quale motivo viene installato un impianto di videosorveglianza? La risposta legalmente ammissibile il 99% delle volte è per la “tutela del patrimonio”. Non si possono usare le immagini per controllare i lavoratori a distanza, né ovviamente per spiare gli ospiti. E non possono nemmeno essere mostrate o scaricate su richiesta degli ospiti dell’hotel, poiché non sono soggetti autorizzati a visionarle. Anche laddove un ospite dovesse essere vittima di un sinistro, l’iter corretto è sempre quello di denunciare l’accaduto alle forze dell’ordine, le quali si occuperanno di richiedere l’estrazione delle immagini dall’impianto di videosorveglianza e le utilizzeranno per la finalità di indagine.
Backup, questo sconosciuto!
Con troppe persone alla domanda “come li fai i backup?” la risposta è stata “beh… in realtà non so se li faccio”. Tristezza, profonda tristezza che in questa epoca di uso quasi esclusivo di strumenti di elaborazione elettronica dei dati gli utenti non si preoccupino di eseguire i backup, riponendo fiducia illimitata nei pc e negli smartphone, senza rendersi conto delle reali vulnerabilità di questi strumenti.
Su questo tema va fatta ancora molta sensibilizzazione: deve passare il messaggio che la prevenzione è d’obbligo e che i backup sono l’unico strumento di prevenzione passiva nel mondo digitale. Si differenziano da strumenti di protezione attiva, come gli antivirus, perché in caso di fallimento dei primi sono in grado, se ben fatti, di resistere all’impatto e garantire la possibilità di recupero.
Cloud si o cloud no?
Molti operatori turistici mi hanno chiesto se tenere i dati in cloud è un problema. Se per cloud si intende quello spazio offerto da Google (Drive), Microsoft, Dropbox o similari, ho sempre detto che di per sé non è certo un problema, anzi. Se usati con attenzione e consapevolezza, gli strumenti di lavoro in cloud non possono essere altro che un’opportunità per l’evoluzione del business nel settore turistico.
Sempre attenti, però, alla sicurezza: cautela con le condivisioni con utenti esterni, cautela con il numero di strumenti nei quali si accede al cloud.
E, mi raccomando, attivare sempre l’autenticazione a due fattori nonché prevedere periodici cambi di password di accesso!