Il 19 settembre è entrato in vigore il D.Lgs. 101/2018 che adegua il vecchio Codice Privacy D.Lgs. 196/2003 al Regolamento Europeo (GDPR) già in vigore dal 25 maggio.
L’art. 22 comma 13 dice: “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.”
Che valore ha questa richiesta di moratoria?
In sostanza è solo un invito, non una norma, al Garante di tenere un atteggiamento benevolo nei primi otto mesi dal 19/09 ovvero fino al 19/05/2019.
Si deve tuttavia osservare che il GDPR è già in vigore e quindi le sanzioni possono essere già comminate, in caso di violazioni o inosservanze.
Questo è tanto più vero per le strutture alberghiere
La protezione dei dati è un argomento molto sensibile per le strutture ricettive, gli Hotel hanno già subito numerosi attacchi, a causa della grande quantità di dati gestiti, relativamente a Clienti e Ospiti, in particolare Iban e carte di Credito. Dati che fanno gola alla criminalità organizzata, che agisce molto liberamente sul Web.
Alcuni attacchi avvenuti quest’estate (2018)
-
la catena giapponese Prince Hotels ha subito un attacco che ha interessato i dati di oltre 124.000 clienti.
-
Fastbooking, un portale che fornisce una piattaforma per le prenotazioni, ha subito un attacco mettendo a rischio oltre 1.000 Hotels distribuiti in 100 Paesi.
Nel 2017, la stessa InterContinental Hotels Group, che gestisce oltre 5.000 hotel in tutto il mondo, tra cui Holiday Inn, ha subito un Data Breach che ha compromesso un numero non precisato di ospiti.
Il GDPR in albergo per ridurre il rischio
Il GDPR non va visto come un noioso adempimento burocratico, in realtà è un’occasione per rivedere le politiche di Sicurezza dell’Albergo, per evitare possibili violazioni dei Dati.
Subire un attacco, oltre ai danni per il ripristino del sistema, costituisce un notevole danno d’immagine, a cui si devono aggiungere i danni relativi alle sanzioni del Garante, nonché le possibili richieste di risarcimento da parte degli Ospiti interessati alle violazioni.
La protezione dei Dati (GDPR) richiede un nuovo approccio culturale, che oltre alla sicurezza della struttura interna deve garantirsi nei confronti dei Fornitori esterni di servizi Web e Cloud, ai quali viene affidata la gestione dei Dati dei Clienti e Ospiti.