L'approfondimento

GDPR e marketing digitale nell’industria alberghiera, tutte le regole

Come promuoversi online attraverso gli strumenti di marketing digitale senza scordare la compliance al GDPR: vademecum per strutture alberghiere

25 Feb 2020
D
Federica Domenici

Data Protection & Compliance Consultant, Membro della sezione Privacy e Compliance del Centro Ricerche Economico Giuridiche - Università degli studi di Roma Tor Vergata

K

Athanassios Karaiannis

Digital Marketing Specialist


Ogni imprenditore o esperto dell’ospitalità alberghiera è a conoscenza del fatto che oggi, la parola magica per stare al passo con la concorrenza e migliorare le performance della propria struttura ricettiva è solamente una: internet. Tuttavia, dietro questa parola si nasconde un universo complesso ed estremamente vasto il quale impatta, in modo pressoché inevitabile, con la normativa in materia di tutela dei dati personali. E spesso l’incertezza derivante da questa complessità ha come risultato l’inerzia decisionale in materia di marketing digitale da parte delle proprietà o del management di tante aziende alberghiere.

Vediamo dunque di fare un pò di chiarezza evidenziando il framework e le linee guida che ogni albergatore dovrebbe seguire per sviluppare con successo una strategia di marketing digitale che sia compliant alla normativa in materia di protezione dei dati personali.

L’impronta digitale di un hotel

La prima cosa che un albergatore/imprenditore (o titolare del trattamento) deve fare, quando decide di cimentarsi sul web, è avere un’immagine ben chiara e delineata dell’impronta digitale della propria azienda. L’impronta digitale non è altro che qualsiasi informazione testuale o multimediale riguardante il proprio hotel e presente sia su spazi proprietari, come il proprio sito web, che su spazi di terze parti, come i social network, i siti di recensioni (come Tripadvisor), i motori di ricerca e così via. Una volta mappata l’impronta digitale della propria azienda si è pronti a partire alla conquista delle opportunità offerte dal web.

Vediamo ora di approfondire un pò gli aspetti chiave di una gestione efficace di un’impronta digitale ed i relativi risvolti privacy.

Motori di ricerca e SEO

Quando un viaggiatore usa il web per prenotare una vacanza inizia la sua ricerca sempre da un motore di ricerca. I motori di ricerca si dividono in due macro-categorie: quelli generalisti come Google o Bing e quelli specialisti come Booking o Expedia.  Questa presenza, chiamata “presenza organica” viene sviluppata e gestita tramite una serie di operazioni descritte dal termine SEO, acronimo di Search Engine Optimization o Ottimizzazione per i Motori di Ricerca.

Al momento la gestione della SEO non comporta particolari rischi sotto l’aspetto privacy. Gli imprenditori dovranno prestare attenzione nel caso in cui utilizzino cookie statistici sui propri siti web per monitorarne il traffico. In questo caso sarà necessario inserire nell’informativa privacy tale  trattamento e richiedere un consenso specifico agli utenti. Tale consenso va richiesto al momento dell’accesso al sito web. Inoltre, è buona prassi utilizzare strumenti che anonimizzano gli IP, come ad esempio Piwik, oppure richiedere tale anonimizzazione al proprio fornitore di cookie. In questo caso l’anonimizzazione andrà richiesta sia per i dati trattati dal titolare e sia per quelli trattati dal fornitore, con il quale andrà sottoscritto un accordo sul trattamento dei dati (o Data Protection Agreement).

SEM e Social Media Advertising

La presenza organica, descritta al punto precedente, è importante tanto quanto è importante anche sfruttare il web per fare pubblicità. I due strumenti pubblicitari più potenti ed utilizzati oggi per fare pubblicità sul web sono Google Ads e Facebook Ads. I quali raccolgono l’80% della spesa pubblicitaria sul web. Con Google Ads si fa prevalentemente quello che nel gergo del settore si chiama SEM, acronimo di Search Engine Marketing o Marketing sui Motori di Ricerca. Il concetto che ne sta alla base è alquanto elementare: fondere la pubblicità con l’informazione pagando per essere presenti sui risultati generati da Google in seguito ad una ricerca fatta da un viaggiatore.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Con Facebook Ads si fa prevalentemente quello che nel gergo del settore si chiama Social Media Advertising. Il concetto che ne sta alla base è questo: si sfruttano le capacità di profilazione dei social network proprietari di Facebook (Facebook, Messenger ed Instagram) per mostrare pubblicità in maniera mirata ad un pubblico potenzialmente interessato ai nostri servizi. Nel caso in cui si utilizzi questo strumento il processo funziona così: gli inserzionisti (ovvero gli imprenditori titolari del trattamento) definiscono un proprio obiettivo, che può riguardare ad esempio la promozione di un servizio/prodotto o aumentare la visibilità, successivamente indicano a Facebook il pubblico che intendono raggiungere e  creano le inserzioni da mostrare, usando gli strumenti di Facebook per la gestione delle inserzioni.

A questo punto entra in campo Facebook che crea una audience, analizzando i dati degli iscritti alla piattaforma in suo possesso, in linea con quella richiesta dall’inserzionista. A questa platea di soggetti vengono mostrate le inserzioni senza, però, che gli inserzionisti vengano a conoscenza della loro identità. Per assicurarsi la compliance alla normativa privacy, in questo caso, l’imprenditore dovrà pubblicare sulla landing page, dove atterreranno gli utenti interessati all’inserzione, e sulla propria pagina aziendale una informativa privacy, nominare eventuali consulenti di marketing che concorrono al trattamento e sottoscrivere un Data Protection Agreement ( in breve DPA) con Facebook.

Ricordiamo, riguardo questo ultimo punto, che la Corte di Giustizia Europea ha sentenziato a riguardo (Corte di Giustizia UE, Grande Sezione, sentenza 5 giugno 2018, causa C-210/16), precisando che gli amministratori di pagine Facebook non possono essere esonerati dal rispetto degli obblighi ad essi incombenti in materia di protezione dei dati personali essendo anche loro responsabili, al pari di Facebook, di tali trattamenti.

Diverso è invece il caso il cui si decida di utilizzare il Pixel di Facebook. Il pixel di Facebook è un tracker che genera cookie di profilazione di Facebook e viene installato sul sito web della società che decida di intraprendere questa azione di marketing. Il pixel di Facebook viene attivato ogni qualvolta qualcuno esegue un’azione sul sito web. Il pixel riceve queste azioni, o eventi, che possono essere visualizzate nella pagina Facebook dedicata alla gestione di questo strumento. È così possibile visualizzare le azioni eseguite dai visitatori del sito web e raggiungerli anche attraverso inserzioni pubblicitarie di Facebook, includendoli nell’audience di cui abbiamo parlato poc’anzi.

I dati raccolti da questa attività sono molti ed includono: Http Headers (ovvero indirizzi IP, informazioni sul browser, posizione della pagina, documento, referrer e persona che utilizza il sito Web), Pixel ID e Facebook Cookie, tutti i pulsanti su cui fanno clic i visitatori del sito, le etichette di tali pulsanti e le pagine visitate a seguito dei clic sui pulsanti, nomi di campi del sito web come “email”, “indirizzo”, “quantità” per quando acquisti un prodotto o servizio.

Coniugare marketing e GDPR

È di facile intuizione, da un lato,  la pervasività di tale trattamento e, dall’altro lato, l’enorme potenzialità dal punto di vista del marketing. Come coniugare queste due necessità? Considerando che il pixel di Facebook genera un cookie di profilazione di terza parte, sarà necessario, in questo caso, oltre ovviamente a porre in essere tutti i presidi privacy indicati dal GDPR,  porre particolare attenzione alla richiesta di consenso agli utenti/interessati. Infatti, il consenso è l’unica base giuridica che può legittimare tale trattamento di profilazione.

Rammentiamo che, ai sensi dell’art. 7 del GDPR, il consenso deve essere granulare (un consenso per ogni finalità), specifico (relativo alla singola finalità e riguardante solo i dati necessari per la finalità), documentato (il Titolare deve sempre poter dimostrare di aver ricevuto il consenso) ed agevolmente revocabile in qualsiasi momento. Il titolare che desidera utilizzare il “famigerato” Pixel di Facebook dovrà indicare chiaramente tale distinta finalità nella informativa presente sul proprio sito web, inserendo anche tutte le altre informazioni indicate dall’art. 13 del GDPR. Di particolare rilevanza è la definizione di tempi di conservazione dei dati relativa alla finalità di profilazione, risultando tale trattamento particolarmente pervasivo. A tal proposito potrebbe essere utile tenere a mente i tempi di conservazione stabili nel provvedimento generale del Garante del 24 febbraio 2005, che individua in 12 mesi il termine massimo di conservazione dei dati per la profilazione.

Aggiornata l’informativa il secondo step è inserire un cookie banner sul sito web. Tale banner dovrà informare l’utente della presenza dei cookie e permettergli di selezionare in autonomia da quale cookie farsi tracciare. Quindi, no a banner senza consensi specifici per ogni singola finalità e no a banner con consensi pre-flaggati. In questo senso si è espressa anche la Grande Sezione della Corte di Giustizia Europea il 1° ottobre scorso, ribadendo la non validità di consensi raccolti mediante l’utilizzo di box pre-flaggati. Ovviamente, il cookie dovrà tracciare l’utente solo qualora questo abbia espresso il proprio consenso. Sarà poi il titolare a dover conservare il log del consenso al fine di dimostrare il suo ottenimento. Anche in questo caso è necessario sottoscrivere un Data Protection Agreement con tutti i soggetti che concorrono al trattamento, Facebook inclusa.

OTA, Revenue Management e vendite digitali

Recenti ricerche sull’industria del turismo evidenziano la crescita costante del segmento di viaggiatori che acquistano i propri viaggi e soggiorni via internet e la conseguente diminuzione del segmento che li acquista tramite canali tradizionali come le agenzie di viaggio. Questo significa che ogni albergatore che vuole espandere il proprio business dovrebbe puntare a dominare i canali di vendita digitali che viaggiano su internet e che in sostanza sono 2: le vendite tramite OTA acronimo di Online Travel Agency (come Booking, Expedia, Agoda ecc.) e le vendite dirette tramite canali proprietari come il sito web di ogni struttura ricettiva.

Questa ultima soluzione presenta una evidente complessità operativa delle vendite tramite canali digitali e va gestita con l’adozione di appositi strumenti, come le booking engine ed i channel manager, da parte di professionisti esperti in revenue management alberghiero. Vendere la propria offerta alberghiera sul web è dunque un processo complesso ma ha tantissimi vantaggi come gli incassi anticipati, la diminuzione del rischio di impresa, la diminuzione delle commissioni pagate a agenti di viaggio ed un controllo migliore sulle proprie tariffe ed offerte.

Come possono gli albergatori che decidono di utilizzare tale ultimo strumento garantire la propria compliance al GDPR? Per prima cosa è necessario informare prospect e clienti circa tali modalità di trattamento indicandole chiaramente nell’informativa privacy, ove andranno indicate, altresì, le categorie di soggetti che concorrono a questo trattamento. Operando i professionisti di revenue management secondo le indicazioni del titolare e per le finalità da questo stabilite sarà necessario sottoscrivere un accordo sul trattamento dei dati personali. In tale accordo questi fornitori di servizi saranno individuati quali responsabili del trattamento e gli saranno fornite direttive circa il trattamento dei dati.

Il Titolare poi, qualora questi trattamenti comportino l’utilizzo di tecnologie che possano presentare un rischio elevato per gli interessati, è tenuto ad effettuare, prima di inziare il trattamento, una Valutazione di Impatto sul trattamento dei dati. In breve, tale procedura consente al titolare di valutare, in maniera preventiva, necessità, proporzionalità  e rischi di un determinato trattamento ed ha lo scopo di approntare le misure idonee a mitigare tali rischi.

Per quanto concerne le OTA (agenzie di viaggio on-line), come indicato nel Parere 1/2010 WP 169 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”,  qualora un’agenzia invia dati personali dei suoi clienti agli alberghi per effettuare le prenotazioni, questi si limitano a confermare la disponibilità delle camere richieste. Quindi, in questo caso, agenzia di viaggio ed albergo sono due titolari autonomi, in quanto perseguono finalità differenti. Mentre differente sarebbe il caso in cui decidessero di creare una piattaforma comune, determinandone unitamente gli aspetti fondamentali del trattamento.

Conclusioni

LIVE STREAMING 4 giugno
Emergenza e attività in difficoltà? Affronta le nuove sfide con l'Intelligenza artificiale
Intelligenza Artificiale
Realtà virtuale

Investire in marketing digitale rappresenta oggi per ogni azienda alberghiera una decisione piena di grattacapi ma anche di opportunità commerciali. Per ogni imprenditore alberghiero invece, avere chiare le dinamiche qui esposte  rappresentano il punto di partenza verso lo sviluppo di una strategia di marketing digitale finalizzata al successo del proprio business senza lo spauracchio di incorrere in pesanti sanzioni da parte dell’Autorità o azioni risarcitorie da parte degli interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5