Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è il regolamento che la Commissione europea ha recentemente emanato allo scopo di potenziare le misure di protezione della privacy dei cittadini e residenti dell’Unione Europea, nonché concretizzare le misure di responsabilizzazione delle imprese e altri organismi per ciò che concerne la tematica della raccolta e utilizzo dei dati personali.

Se hai seguito il recente scandalo Facebook & Cambridge Analytica, saprai già che il GDPR è diventato, infatti, sinonimo di un campanello di allarme, dato che andrà a impattare non soltanto le attività e campagne di marketing future ma soprattutto quelle attive al momento dell’entrata in vigore del regolamento.

Una novità che interesserà tutte le imprese e di ogni dimensione, comprese quelle attive nel comparto del travel, in cui per esperienza, saprai già che la raccolta e il trattamento dei dati non si limita alle informazioni relative alle prenotazioni o alla profilazione dei database per le attività di e-mail marketing.

Disclaimer: i dettagli contenuti in quest’articolo non vogliono sostituirsi a una consulenza legale, approfondita e certificata, in materia per il tuo caso specifico d’impresa.

Non dimentichiamo, infatti, che il GDPR è stato gradualmente recepito anche dalla legislazione italiana, in cui entrerà in vigore, come nel resto d’Europa, a partire dal prossimo 25 Maggio 2018 attraverso i relativi adeguamenti del noto Codice della Privacy (Decreto legislativo 30 giugno 2003, n. 196. CODICE IN MATERIA DI PROTEZIONEre DEI DATI PERSONALI).

Ti stai chiedendo cosa cambierà nel marketing turistico della tua impresa con l’arrivo del GDPR?
Ecco 5 cose che devi assolutamente sapere se lavori nel travel:

  1. Applicabilità del regolamento. Molte imprese attive a livello internazionale si sono sottratte fino ad oggi all’applicazione dei codici della privacy degli stati in cui operavano invocando il principio secondo cui si applicherebbe la legge relativa al paese in cui ha sede  l’impresa.
    Il GDPR elimina ogni dubbio sulla sua applicabilità, sancendo che il regolamento è valido per tutte le imprese, anche esterne all’Unione Europea, che raccolgono e gestiscono i dati di cittadini e residenti dell’UE e, perciò, indipendentemente dalla sede legale e luogo in cui avvengono raccolta e trattamento.
    Un dettaglio non indifferente che renderà il GDPR una priorità sia per le imprese del comparto travel sia inbound sia outbound.
  2. E-mail marketing: non tutto è perduto. Il GDPR non sancisce la morte dell’e-mail marketing quanto piuttosto fornisce le regole per un’applicazione lecita e rispettosa dell’utente.
    Un esempio? Nel caso di form dedicati alla lead-generation, non sarà più sufficiente lasciare in modalità pre-selezionata il rilascio del consenso: l’impresa dovrà far sì che sia l’utente a dover cliccare per selezionare la casella (consenso esplicito). Si tratta di una delle applicazioni del principio di Privacy by design e by default, secondo cui le imprese coinvolte dovranno attivare misure tecniche e organizzative continuative per minimizzare le attività di raccolta dei dati e utilizzarli solo per le finalità e tempistiche dichiarate in sede di raccolta.
    Ecco qualche approfondimento che potrà esserti utile leggere sul tema:

  3. Principio di responsabilizzazione.
    Secondo questo principio, il compito di far sì che il GDPR sia applicato in ogni suo aspetto non è più soltanto del legislatore ma in primo luogo dell’impresa. Secondo quanto si legge, infatti, “il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare” (Guida all’applicazione del Regolamento UE del 2016, Garante per la protezione dei dati personali, 2017). Il principio di responsabilizzazione prevede di conseguenza la nomina obbligatoria, chiara e inequivocabile, di un titolare della privacy – denominato Data Protection Officer (DPO) – che sarà responsabile dell’applicazione dei principi del GDPR e delle eventuali comunicazioni con il Garante della privacy.
  4. Cosa accade nei casi di data breach (violazione dei dati)?
    Con il nuovo GDPR acquisisce ancora più importanza la valutazione dell’impatto di un’eventuale violazione dei dati, sia in merito ai danni causabili sia nel caso di risarcimenti dovuti agli interessati. Secondo il regolamento, è necessario dare notifica del data breach entro 72 ore dalla scoperta sia al Garante per la Privacy che ai soggetti (ad esempio, i clienti) interessati e a tutti gli altri soggetti coinvolti nei processi di protezione dei dati personali.
  5. Sanzioni salate.
    Le imprese ritenute non GDPR compliant, potranno aggiudicarsi delle sanzioni fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo, un valore che se le grandi multinazionali potranno pensare di ammortizzare – almeno nei primi tempi – le piccole-medie impresa faticheranno a permettersi di sostenere senza impatto.

Ricorda, infine, che non è previsto soltanto l’adeguamento delle imprese entro la data di entrata in vigore del regolamento (25 maggio 2018) ma soprattutto la creazione di un sistema di supervisione e gestione continuativa delle attività in materia di dati personali, per cui tutte le imprese, turistiche e non, dovranno attivarsi il prima possibile per organizzare i lavori!

Se prima di rivolgerti a uno specialista, ti va di approfondire l’argomento, ecco una lista di link che possono fare al caso tuo:

Buon divertimento 😉

M.Giulia Biagiotti

M.Giulia Biagiotti

Grazie ad un'esperienza di lavoro internazionale che l'ha portata dall'Italia a Parigi, Dublino, Valencia ed in Svizzera, Giulia si è specializzata in Digital Marketing e strategie Inbound, dall'ottimizzazione SEO alla creazione e promozione dei contenuti, per assistere le imprese nella gestione efficace della loro presenza online. Ti va di farle un saluto? Scrivile pure su LinkedIn o mandale un tweet!

Hai domande? Scrivici su whatsapp