Configurazione concreta della conformità per gli hotel che usano WhatsApp — flussi di dati di Meta, base giuridica GDPR, esclusione dal perimetro PCI, regole di conservazione e i contratti di cui ha realmente bisogno.
Ogni gruppo alberghiero europeo con cui parliamo arriva alla stessa domanda entro dieci minuti da qualsiasi conversazione su WhatsApp: "ma è legale?". Sì, a determinate condizioni. WhatsApp può essere utilizzato nel rispetto delle regole GDPR e PCI. Servono i contratti giusti, i flussi di dati corretti e alcune regole rigide che il personale non può infrangere.
La posta in gioco non è teorica. La DPC irlandese ha sanzionato Meta per €1.2bn nel 2023 per i trasferimenti post-Schrems II. Booking.com è stata multata per €475,000 dall'autorità olandese (DPA) nel 2021 per la notifica tardiva di una violazione. Gli hotel raramente ricevono sanzioni che fanno notizia. Spesso però non superano gli audit, perdono account aziendali che richiedono attestazioni GDPR e si ritrovano con un perimetro PCI che non avevano messo a budget. Una configurazione WhatsApp errata può inoltre tradursi in reclami presso ICO, CNIL o Garante da parte di un singolo ospite che ritiene che i propri messaggi siano stati gestiti in modo improprio.
Questo è un manuale operativo, non una consulenza legale. Faccia rivedere la checklist al Suo DPO o al Suo legale prima di andare in produzione. È pensato per direttori, responsabili IT e direttori operations di gruppo che desiderano un documento concreto da consegnare al legale, anziché una vaga rassicurazione del tipo "usiamo un fornitore conforme". Per il quadro completo dei costi, consulti il nostro pillar WhatsApp costs for hotels.
Prima di qualsiasi discussione sulla conformità, elenchi i dati. In una tipica configurazione WhatsApp di un hotel europeo, il canale veicola:
Allergie e dati di accessibilità sono categorie particolari di dati ai sensi dell'articolo 9 del GDPR. Le immagini dei passaporti sono documenti di identità. I reclami su un bambino malato sono dati sanitari. WhatsApp non è un canale a basso rischio solo perché agli ospiti sembra informale.
Per capire come questi dati interagiscono con il resto del Suo stack, consulti integrations and APIs in the hotel tech stack. Il PMS, il fornitore di messaggistica e qualsiasi livello di AI toccano questi dati, e il Suo registro delle attività di trattamento (articolo 30) deve rifletterlo.
L'errore più comune che vediamo è quello degli hotel che invocano il consenso (articolo 6(1)(a)) per qualsiasi cosa. Il consenso è la base più debole. Deve essere libero, specifico, informato e inequivocabile, e l'ospite può ritirarlo in qualsiasi momento. Se sta inviando un messaggio di check-in a chi ha appena prenotato tramite Booking.com, il consenso è la base sbagliata.
Da utilizzare per la messaggistica transazionale legata alla prenotazione. Istruzioni di check-in, invio del codice della camera, notifiche di camera pronta, promemoria di partenza, link alla fattura. L'ospite ha stipulato un contratto prenotando. L'invio dei messaggi necessari per eseguire quel contratto è lecito senza un consenso separato.
Da utilizzare per messaggi di miglioramento del servizio, richieste di feedback post-soggiorno e avvisi operativi non strettamente contrattuali ma ragionevolmente attesi. Esegua una valutazione del legittimo interesse (LIA) e la documenti. Gli ospiti devono poter opporsi facilmente.
Riservi il consenso al marketing. Offerte promozionali, contenuti in stile newsletter, messaggi di retargeting: questi richiedono un opt-in esplicito, raccolto prima dell'invio del messaggio, con un meccanismo di revoca chiaro. Le caselle pre-spuntate non sono valide. La sentenza Planet49 del 2020 ha eliminato quella prassi.
Gli hotel che cercano di gestire tutto sotto consenso si ritrovano con tassi di opt-in bassi e con problemi operativi quando gli ospiti revocano. Suddividere le basi giuridiche per tipologia di messaggio richiede più lavoro all'inizio e molto meno in produzione.
WhatsApp è gestito da Meta Platforms Ireland Limited per gli utenti europei. Lei utilizza inoltre un Business Solution Provider (BSP) come Twilio, 360dialog o MessageBird. Se utilizza un livello di AI, è un ulteriore responsabile del trattamento.
Meta agisce come responsabile del trattamento per il contenuto dei messaggi inviati tramite la WhatsApp Business API. Le loro condizioni includono per riferimento i termini relativi al trattamento dei dati. Non firma un DPA cartaceo separato con Meta. L'accordo è costituito dai termini del Suo BSP più i WhatsApp Business Solution Terms di Meta. Conservi una copia di entrambe le versioni accettate.
Twilio, 360dialog e MessageBird pubblicano tutti i propri DPA. Li firmi. Confermi i sub-responsabili (elencheranno AWS, GCP, talvolta regioni Azure). Verifichi se il BSP tratta i Suoi dati all'interno dell'UE o se li instrada attraverso gli Stati Uniti. 360dialog è un'opzione con sede nell'UE preferita da alcuni hotel per ragioni di residenza dei dati.
Se utilizza un AI Operator come Viqal sopra WhatsApp, ha bisogno di un DPA anche con quel fornitore. Verifichi: residenza dei dati nell'UE, sub-responsabili nominati (qui conta il fornitore di LLM), impostazioni predefinite di conservazione e processo di cancellazione. Approfondisca nella nostra guida data security and compliance.
Un ospite scrive al Suo DPO chiedendo tutti i propri dati personali. I log di WhatsApp ora si trovano nel Suo BSP, nel database del fornitore AI, eventualmente nel Suo CRM e nei server di Meta. Si applicano l'articolo 15 (accesso), l'articolo 17 (cancellazione) e l'articolo 20 (portabilità).
Predisponga un runbook DSAR prima di averne bisogno. I passaggi che funzionano:
La cancellazione è più complessa. Non può cancellare il thread WhatsApp dal dispositivo dell'ospite. Renda esplicito questo limite nella Sua informativa privacy. Lei cancella lato server, ma il telefono dell'ospite conserva il thread finché non lo elimina personalmente.
Un altro tema sui diritti: l'articolo 22 sul processo decisionale automatizzato. Se il Suo AI Operator prende decisioni che riguardano l'ospite (variazioni di prezzo, assegnazioni di camera, rifiuti), lo segnali nell'informativa privacy e offra un percorso di revisione umana. Nella maggior parte dei casi l'AI alberghiera è di supporto e non pienamente automatizzata, ma verifichi con il Suo DPO. La differenza tra "l'AI scrive una bozza, l'umano approva" e "l'AI invia direttamente una risposta" è rilevante.
La regola del PCI DSS è semplice: se i dati dei titolari di carta passano attraverso i Suoi sistemi, quei sistemi rientrano nel perimetro. WhatsApp non fa eccezione. Se un ospite digita un numero di carta a 16 cifre in chat e il Suo personale o il Suo BSP possono leggerlo, ha appena esteso il perimetro PCI a WhatsApp, al Suo BSP, al Suo livello AI e a qualsiasi addetto che abbia visto il thread.
Per questo la regola più importante in qualsiasi policy WhatsApp di un hotel è: non accettare mai numeri di carta in chat. Né dagli ospiti, né dal personale. Se un ospite ne invia uno, lo tratti come un incidente di sicurezza. Cancelli lato server, chieda all'ospite di utilizzare un link di pagamento e documenti l'evento.
Lo schema che funziona: inviare un link a una pagina di pagamento ospitata da un fornitore conforme PCI. Mews Payments, Stripe, Adyen, Worldline e i gateway regionali equivalenti a Stripe lo supportano tutti. I dati della carta dell'ospite vanno direttamente al gateway, non passano mai da WhatsApp, né dal Suo BSP, né dal Suo fornitore AI. Lei riceve indietro un token o una conferma di pagamento via webhook.
Se eseguito correttamente, ciò La mantiene sul SAQ A — il questionario di autovalutazione PCI più leggero. Eseguito male (con personale che occasionalmente digita numeri di carta in chat per "aiutare" gli ospiti) si scivola su SAQ A-EP o peggio, e il Suo QSA non sarà contento.
Deve conciliare tre orologi di conservazione:
Uno schema praticabile: mantenere il log dei messaggi attivo nel BSP per 90 giorni, archiviare nei dati strutturati del PMS (nome ospite, date, importi, riferimento prenotazione) per il periodo di conservazione legale, e cancellare i contenuti in testo libero dopo 12 mesi salvo contenzioso aperto. Documenti la pianificazione. L'articolo 5(1)(e) impone la limitazione della conservazione; "teniamo tutto per sempre" non è una posizione difendibile.
Schrems II ha invalidato il Privacy Shield nel 2020. Le Clausole Contrattuali Standard (SCC) più una valutazione d'impatto sui trasferimenti sono ora la prassi operativa per qualsiasi flusso di dati verso gli Stati Uniti. La sanzione a Meta del 2023 riguardava esattamente questo punto.
Cosa è cambiato nel 2024: Meta ha portato i dati degli utenti UE in data center europei per diversi prodotti. Il routing dei contenuti dei messaggi WhatsApp Business è cambiato, ma non è una risposta univoca — verifichi la documentazione attuale di Meta sulla residenza dei dati per la Sua specifica configurazione BSP. Non dia per scontata la residenza UE senza conferma.
Per il livello AI, ponga tre domande: dove è ospitata l'applicazione, dove viene eseguita l'inferenza dell'LLM e se vengono effettuati addestramenti sui dati dei Suoi ospiti. "Nessun addestramento sui dati dei clienti" deve essere nel contratto. La regione di inferenza è importante perché alcuni fornitori instradano per impostazione predefinita verso regioni statunitensi.
La esamini con il Suo DPO prima del lancio. Ogni voce deve avere un titolare e una risposta documentata.
| # | Voce | Titolare |
|---|---|---|
| 1 | WhatsApp Business Solution Terms accettati e versione archiviata | IT |
| 2 | DPA con BSP firmato (Twilio / 360dialog / MessageBird) | Legale |
| 3 | DPA con fornitore AI firmato con sub-responsabili nominati | Legale |
| 4 | Elenco sub-responsabili mantenuto e rivisto trimestralmente | DPO |
| 5 | Registro dei trattamenti ex articolo 30 aggiornato per includere i flussi WhatsApp | DPO |
| 6 | Base giuridica mappata per tipologia di messaggio (contrattuale, LI, consenso) | DPO |
| 7 | Valutazione del legittimo interesse documentata per i messaggi 6(1)(f) | DPO |
| 8 | Informativa privacy aggiornata, menziona WhatsApp esplicitamente | Marketing & DPO |
| 9 | Meccanismo di opt-out testato (parola chiave STOP rispettata) | Ops |
| 10 | Runbook DSAR che copre gli export di BSP e fornitore AI | DPO |
| 11 | Runbook di cancellazione con API dei fornitori documentate | IT |
| 12 | Programma di conservazione dei contenuti dei messaggi (es. 12 mesi) | DPO |
| 13 | Formazione del personale: mai accettare numeri di carta in chat | GM |
| 14 | Flusso di link di pagamento utilizza gateway conforme PCI (Mews / Stripe / Adyen) | Finance |
| 15 | SAQ A confermato con l'acquirer | Finance |
| 16 | Piano di risposta agli incidenti copre scenari di violazione dati WhatsApp | IT & DPO |
| 17 | Residenza dati UE confermata per BSP e fornitore AI | IT |
| 18 | SCC + valutazione d'impatto sui trasferimenti agli atti per flussi extra-UE | Legale |
| 19 | Template approvati da Meta e verificati per il linguaggio di conformità (vedi WhatsApp templates for hotels) | Marketing |
| 20 | Revisione annuale pianificata con DPO e IT | DPO |
Lista lunga. Ogni voce è qualcosa che un auditor o un ispettore curioso di un'autorità di protezione dati potrebbe chiedere. Avere la risposta pronta in una cartella è meglio che scoprire durante un'indagine che nessuno ha documentato la LIA due anni fa. I direttori a livello di proprietà di solito non hanno problemi con le regole. È mantenere allineata la memoria operativa del front-desk che richiede lavoro continuo. Esegua la formazione sul divieto di numeri di carta in chat ogni sei mesi, non solo all'onboarding.
Abbiamo costruito Viqal pensando agli hotel europei. Hosting UE, sub-responsabili nominati, nessun addestramento sui dati degli ospiti, controlli di conservazione impostabili per ogni proprietà e un endpoint di export DSAR che restituisce un record strutturato per ogni ospite. Abbiamo inoltre pubblicato la nostra posizione su security and compliance, che è la Parte 10 della nostra serie sullo stack tecnologico alberghiero.
Nulla di tutto questo elimina i Suoi obblighi di titolare del trattamento. Resta Lei a definire la base giuridica, l'informativa privacy e le risposte alle DSAR. Ciò che cerchiamo di fare è ridurre la superficie contrattuale e tecnica di cui doversi preoccupare, in modo che il canale WhatsApp sembri una normale relazione con un fornitore anziché un campo minato di conformità.
Per il quadro operativo e di costo più ampio, il pillar WhatsApp costs for hotels esamina prezzi, categorie di conversazione e calcoli di ROI. Conformità e costi sono due facce della stessa decisione di setup. Imposti i contratti correttamente e il resto seguirà.
Non sempre. I messaggi transazionali legati alla prenotazione (check-in, codici camera, promemoria di partenza) rientrano nell'articolo 6(1)(b) del GDPR, esecuzione di un contratto. I messaggi di servizio possono rientrare nell'articolo 6(1)(f) legittimo interesse con una LIA documentata. Riservi il consenso esplicito ai sensi del 6(1)(a) per i contenuti di marketing e promozionali, con un opt-in chiaro e una facile revoca.
No. Accettare dati di carta non protetti in chat trascina WhatsApp, il Suo BSP e il Suo livello AI nel perimetro PCI. Utilizzi invece link di pagamento tokenizzati, inviati tramite WhatsApp ma che puntano a una pagina ospitata da Mews Payments, Stripe, Adyen o un gateway conforme PCI analogo. Formi il personale a non digitare mai numeri di carta in chat, anche quando gli ospiti lo chiedono.
Dipende dalla tipologia di messaggio. Le conferme di prenotazione e le istruzioni di check-in si basano di norma sull'articolo 6(1)(b), necessità contrattuale. Gli avvisi operativi e le richieste di feedback rientrano spesso nel 6(1)(f) legittimo interesse con una valutazione del legittimo interesse agli atti. Il marketing richiede il consenso ai sensi dell'articolo 6(1)(a) con un opt-in specifico. Mappi ogni tipologia di messaggio a una base e la documenti.
Si applicano tre orologi: le impostazioni predefinite di conservazione di Meta, le Sue esigenze operative (in genere da 90 giorni a 12 mesi) e gli obblighi fiscali sui documenti di fatturazione (7–10 anni a seconda della giurisdizione). Uno schema comune è 90 giorni live nel BSP, 12 mesi per i contenuti in testo libero e dati strutturati di fatturazione archiviati nel PMS per il periodo di legge. Documenti la pianificazione.
Sì. Twilio, 360dialog, MessageBird e gli altri Business Solution Provider pubblicano ciascuno il proprio DPA, separato dai WhatsApp Business Solution Terms di Meta. Lo firmi, confermi l'elenco dei sub-responsabili, verifichi la residenza dei dati e conservi entrambi i documenti. Se utilizza anche un fornitore AI in aggiunta, è un terzo DPA. Il Suo DPO ne ha bisogno di tutti e tre.
Meta ha spostato più dati degli utenti UE in data center europei nel corso del 2024, in parte in risposta alla sanzione Schrems II da €1.2bn del 2023. Il routing di WhatsApp Business è cambiato, ma il quadro varia in base alla configurazione BSP. Non dia per scontata la piena residenza UE. Verifichi la documentazione attuale di Meta sulla residenza dei dati, le sedi di trattamento del Suo BSP e aggiorni di conseguenza la valutazione d'impatto sui trasferimenti.
.avif){kind=spacer}
