Le Personally Identifiable Information (PII) sono qualsiasi dato in grado di identificare una persona fisica direttamente o indirettamente; ai sensi dell'articolo 4(1) del GDPR sono indicate come dati personali e sono soggette a rigorosi obblighi di trattamento.
Le Personally Identifiable Information, spesso abbreviate in PII, sono qualsiasi informazione che può essere utilizzata da sola o insieme ad altri dati per identificare un individuo specifico. Nel diritto UE il termine equivalente è dati personali, definiti nell'articolo 4(1) del GDPR come "qualsiasi informazione riguardante una persona fisica identificata o identificabile". Una persona identificabile è colei che può essere riconosciuta direttamente, ad esempio dal nome, o indirettamente per riferimento a un identificativo come un indirizzo e-mail, un numero di telefono, un indirizzo IP, un cookie ID, dati di localizzazione o una combinazione di attributi contestuali. Nell'ospitalità, persino un numero di camera combinato con una data di soggiorno può costituire un dato PII perché punta a un singolo ospite.
Un hotel tipico gestisce un'ampia gamma di PII attraverso il proprio hotel tech stack: nome e dati di contatto dal booking engine, scansioni di passaporti al check-in, metadati di pagamento nel PMS, preferenze alimentari nel sistema F&B, indirizzi IP nelle web analytics e contenuti dei messaggi nel canale WhatsApp. Ogni sistema rappresenta un potenziale punto di rischio e deve essere disciplinato da una chiara policy di conservazione, controlli degli accessi e un registro delle attività di trattamento. Le strutture che integrano strumenti CRM devono solitamente mappare anche la finalità del trattamento per le comunicazioni di marketing rispetto a quelle di servizio.
L'errore più comune commesso dagli hotel è trattare le PII come un elenco statico. L'identificabilità è contestuale: una preferenza per il caffè è innocua di per sé, ma combinata con un numero di camera e una data diventa un dato PII. L'implicazione pratica è che qualsiasi dataset operativo, comprese le trascrizioni delle chat e i riepiloghi generati dall'AI, dovrebbe essere trattato come contenente dati personali, salvo prova contraria. Solide pratiche di sicurezza dei dati assumono la sensibilità per impostazione predefinita e applicano la minimizzazione lungo l'intero guest journey.
Viqal tratta le PII degli ospiti rigorosamente sotto le istruzioni dell'hotel, in linea con l'articolo 28 del GDPR. La piattaforma applica la minimizzazione dei dati, accessi basati sui ruoli nella team inbox, crittografia in transito e a riposo e finestre di conservazione configurabili per la cronologia delle chat. Un data processing agreement standard è offerto a ogni cliente, formalizzando il rapporto titolare-responsabile e coprendo la divulgazione dei sub-responsabili, le misure di sicurezza e i tempi di notifica delle violazioni.
Di per sé, un numero di camera non è un dato personale. Combinato con una data di soggiorno o con il nome di un ospite, tuttavia, punta a un individuo specifico e quindi si qualifica come PII. La natura contestuale dell'identificabilità implica che gli hotel dovrebbero, per impostazione predefinita, considerare le combinazioni camera-soggiorno come dati personali ai sensi dell'articolo 4(1) del GDPR.
Ai sensi del GDPR, gli indirizzi IP dinamici sono trattati come dati personali quando il titolare, eventualmente con l'aiuto di una terza parte come un internet service provider, può identificare l'utente che vi sta dietro. La Corte di Giustizia dell'Unione Europea lo ha confermato nella sentenza Breyer. Gli hotel devono pertanto registrare e conservare gli indirizzi IP con la stessa cura riservata agli altri dati personali.
I dati pseudonimizzati, in cui l'identificativo è sostituito da un token, restano dati personali ai sensi del GDPR se l'identità originale può ancora essere ricostruita utilizzando informazioni aggiuntive. Solo i dati completamente anonimizzati, in cui la re-identificazione non è più ragionevolmente possibile, esulano dall'ambito di applicazione del regolamento.
Il GDPR non fissa un periodo di conservazione predefinito; i dati devono essere conservati non oltre il tempo necessario alla finalità originale. Gli hotel allineano tipicamente la conservazione agli obblighi di legge, come quelli fiscali o di registrazione presso la pubblica sicurezza, e procedono poi alla cancellazione o all'anonimizzazione. Un piano di conservazione documentato è richiesto come parte del registro delle attività di trattamento.
Sì. Il numero di telefono, il contenuto dei messaggi e i metadati scambiati su WhatsApp sono dati personali. Gli hotel che utilizzano la WhatsApp Business Platform devono riflettere questo aspetto nella propria informativa sulla privacy, nella valutazione della base giuridica e negli accordi di trattamento dei dati con il proprio BSP e con qualsiasi piattaforma di messaggistica come Viqal.
Viqal applica accessi basati sui ruoli, crittografia in transito e a riposo, conservazione dei dati configurabile e tratta i dati rigorosamente secondo le istruzioni documentate dell'hotel, in linea con l'articolo 28 del GDPR. Un data processing agreement è disponibile per ogni cliente.
.avif){kind=spacer}
