GDPR e Cybersecurity: la sicurezza dei dati personali forniti agli alberghi

14 Settembre 2020

La tecnologia permette oggi di svolgere diverse attività con semplici clic.

Che si tratti di un acquisto on line, di un pagamento, di una riunione di lavoro, della prenotazione di un ristorante o di albergo non fa differenza.
Sono sufficienti un dispositivo e una buona connessione internet per portare a termine le operazioni in pochi minuti.

 

Uno dei settori maggiormente coinvolti in questo processo di modernizzazione è sicuramente
quello alberghiero: oggi per prenotare un hotel si utilizzano sempre più spesso APP apposite che con pochi passaggi consentono di selezionare e filtrare le soluzioni più adatte all’utente.
Un hotel che si affida a queste piattaforme riceve la prenotazione e alcuni dati personali senza aver mai avuto contatti con il Cliente.

E una volta che l’ospite arriva in struttura, si procede normalmente con tutta una serie di registrazione legate sia alla normativa sia a procedure interne.

Ma come vengono gestiti dagli hotel i dati personali raccolti? Come vengono tutelati?

 

Consideriamo che spesso ai dati anagrafici si aggiungono impianti di videosorveglianza gestiti da remoto e reti wi-fi con registrazione.

Dopo essere rientrati dalle ferie estive, il team di Mondo Privacy ha voluto approfondire l’argomento ponendosi alcune domande:

o Quanto sono al sicuro i dati che noi clienti forniamo alle strutture ricettive?
o Gli addetti alla reception sono consapevoli dell’attività che fanno?
o Le infrastrutture informatiche sono adeguate?

Abbiamo parlato dell’argomento con il partner Technology4you, esperti in servizi informatici per il mondo alberghiero.

Di seguito le domande e le risposte che abbiamo posto all’Amministratore Delegato.

 

In base alla vostra esperienza, come giudicate le reti wi-fi degli alberghi? Sono sicure per gli ospiti?

Iniziamo dicendo che una qualsiasi attività di consulenza presso una struttura alberghiera richiede come attività primaria un sopralluogo tecnico pre-installazione dell’impianto wi-fi.

Tra le situazioni di partenza maggiormente frequenti, ci imbattiamo con livelli di sicurezza non adeguati, access point collegati direttamente al router del provider, privi di policy di sicurezza per accesso alla rete.

In osservanza al GDPR (Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati) che richiede l’implementazione di misure di sicurezza tecniche e organizzative adeguate a tutelare i dati degli utenti connessi alla rete wi-fi, è sempre consigliato l’inserimento di un firewall, volto a garantire non solo la cosiddetta sicurezza perimetrale (rischi che vengono dall’esterno verso la propria rete) ma anche la sicurezza all’interno della rete tramite layer 2 isolation (impossibilità di comunicazione tra device collegati alla stessa rete wi-fi) e attraverso sistemi di sandboxing e application patrol, capaci di verificare quali applicazioni all’interno della rete sono in corso di esecuzione e se risulta necessario il blocco delle applicazioni malevoli.

 

Durante la fase di check in vengono spesso richiesti dati personali quali nome e cognome e documenti aggiuntivi come la carta di identità (spesso fotocopiata). Qual è la destinazione di queste informazioni? Come possiamo essere certi che i dati vengano conservati in maniera corretta?

Il check in un albergo, dal punto di vista del Regolamento Europeo Privacy, è una fase estremamente delicata.

Si tratta di un momento in cui vengono raccolti i dati personali di un cliente, mediante la consegna di un passaporto ed eventuale carta di credito, i quali devono essere gestiti con attenzione. Per il raggiungimento dell’obiettivo, la soluzione ideale prevede una collaborazione in sinergia con i partner di primario livello che realizzano i software.

I dati scannerizzati dovrebbero passare attraverso procedure capaci di criptarli e tracciare l’operazione in ottemperanza a quanto disposto dagli artt. 24 e 25 del GDPR.

Successivamente dovrebbero essere gestiti tramite NAS o sistemi CLOUD con criptazione di altissimo livelli e sistemi di backup ridondati che consentono massima sicurezza e impossibilità di furto o perdita dei dati.

Sei un hotel e hai bisogno di una consulenza privacy?

Verifica la tua conformità con pochi click

 

Una rete tecnologica aziendale ben strutturata può essere considerata un supporto reale allo svolgimento dell’attività ricettiva? Soprattutto pensando agli eventuali danni economici che attacchi esterni o fermi macchina possono causare…

La nostra esperienza pluriennale ha consentito un confronto con situazioni di diversa natura, tra cui:

  •  Strutture reduci da attacchi informatici mirati al furto dei dati e al completo blocco della funzionalità dell’Hotel (virus ransomware);
  •  Attacchi che avrebbero potuto essere facilmente bloccati da firewall di ultima generazione e da sistemi antivirus opportunamente collocati e programmati per impedire il diffondersi del virus all’interno della rete uffici.

Il lavoro in sinergia di hardware e software risulta indispensabile per la corretta gestione di dati personali.

Non dovrebbe essere possibile avere un database di prenotazioni bloccato o ancora peggio cancellato, il quale non permetta di scoprire nell’immediato se un cliente ha prenotato e pagato. L’installazione di sistemi firewall e antivirus richiede poche ore di lavoro, a differenza della ricostruzione di un database e malintesi con gli utenti.

 

Esistono dei supporti economici per le strutture ricettive che decidono di mettere in sicurezza la loro rete aziendale e la protezione dei dati che trattano?

Esistono supporti economici, i quali grazie a sopralluoghi mirati consentono di realizzare sistemi su misura del cliente.

Risultano disponibili diverse opzioni; tariffe a consumo, con modalità di pagamento rateizzate.

Il detto prevenire è meglio che curare in queste occasioni non può risultare più veritiero

 

Sempre in base alla vostra esperienza, qual è la percentuale di alberghi italiani che sono tecnologicamente avanzati e che investono realmente sulla sicurezza informatica e sulla protezione dei dati?

Secondo quanto rilevato dai nostri case history la percentuale risulta molto bassa: registriamo nello specifico meno del 50 % delle strutture del territorio italiano, proprio perché spesso gli investimenti in sicurezza e impianti tecnologicamente avanzati risultano erroneamente considerati come un costo aggiuntivo non indispensabile nel breve periodo.

Non dimentichiamo però che un impianto tecnologicamente avanzato consente di ottenere molteplici benefici: garantire il necessario livello di sicurezza e aumentare la revenue della struttura, favorendo recensioni propositive sui principali portali.

Attraverso mail mirate o comunicazioni aventi come destinazione il contatto del cliente (dopo la prestazione del consenso) la struttura può verificare la soddisfazione del soggiorno, proporre eventi e chiedere recensioni da rendere visibili in tutta semplicità e con pochi clic su semplici pagine web.

Risulta quindi evidente che sicurezza, tecnologia e soddisfazione del cliente vanno ormai a braccetto. La domanda giusta da porsi sembra quindi essere: quanto costerebbe il blocco operativo di un hotel per settimane e la perdita del database aziendale? Forse la risposta corretta è che la prevenzione è l’investimento che alla lunga permette di tutelare i Cliente e di guadagnare di più.

Contattaci per una consulenza personalizzata

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci