Applicazione del GDPR nell’attività alberghiera

3 Novembre 2018

  • Italia
  • Privacy e Trattamento dati
  • Turismo

Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, in materia di “protezione” dei dati personali (di seguito il “Regolamento” o “GDPR”), strumento normativo comunitario che mira a rafforzare il diritto delle persone fisiche a veder protetti i propri dati personali, già elevato a “diritto fondamentale” nella Carta dei diritti fondamentali dell’Unione europea (Articolo 8 paragrafo 1) e nel Trattato sul funzionamento dell’Unione europea (Articolo 16 paragrafo 1).

Il Regolamento ha immediata applicazione nell’ordinamento italiano e non necessita di alcun recepimento da parte del legislatore nazionale. Le sue disposizioni prevalgono sulle leggi interne. Da un punto di vista pratico ciò significa che, in caso di contrasto tra una disposizione contenuta nel Regolamento ed una prevista nel “vecchio” Decreto Legislativo 196/2003, sarà la prima a prevalere.

Il GDPR si compone di 99 articoli di cui, solo alcuni, costituiscono delle novità ed hanno una specifica rilevanza per i titolari/gestori di strutture ricettive.

Sicuramente una prima novità è quella relativa al “consenso esplicito” per il trattamento dei dati “sensibili” e le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). È infatti necessario che il cliente manifesti un consenso distinto da quello relativo agli altri dati. Il consenso raccolto prima del 25 maggio 2018 resta valido solo se ha queste caratteristiche.

Ciò impone, ad esempio, al titolare dei dati di adeguare il proprio sito web, o le newsletter promozionali inviate ai propri clienti. Questi devono essere informati delle finalità per le quali vengono raccolti i dati e dei diritti che spettano loro. Per l’iscrizione alla newsletter dovrebbe essere necessaria unicamente la mail e qualora fossero richiesti altri dati, andranno specificate le finalità per le quali vengono domandati. Prima della richiesta di iscrizione il cliente dovrà rilasciare il proprio consenso e l’accettazione della privacy policy. L’informativa sulla privacy dovrà essere raggiungibile chiaramente dall’home page del sito. Per quanto concerne specificamente la newsletter, l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.

Sono state poi introdotte delle rilevanti modiche ai compiti del Titolare del trattamento dei Dati ed al Responsabile per il trattamento dei dati, entrambe figure che vengono in rilievo nelle strutture alberghiere. 

Il Titolare del trattamento dei dati deve ora: (i) essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento, (ii) fornire i dati di contatto del Responsabile della protezione dei dati, (iii) dichiarare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, (iv) specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, (v) specificare se il trattamento comporti processi decisionali automatizzati (anche la profilazione), e le conseguenze previste per l’interessato.

Il Responsabile per il trattamento dei dati (c.d. Data protection Officer – DPO), è invece il professionista (che può essere interno o esterno alla struttura) garante dell’osservazioni delle norme del GPDR e della gestione e trattamento dei dati.

Secondo la nuova normativa i compiti di detto soggetto consistono ora nella: (i) tenuta del registro dei trattamenti svolti (ex art. 30,paragrafo 2), e (ii) nell’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 Regolamento).

Il suo nome deve essere riportato nell’informativa che occorre consegnare al Cliente. Il suo rapporto con il titolare del trattamento è regolato obbligatoriamente da un contratto che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” ad una corretta gestione e trattamento dei dati. Il Responsabile può nominare a sua volta un “sub-responsabile” ma solo per limitate attività di trattamento, nel rispetto di quanto previsto nel suo contratto, e risponde dell’inadempimento del sub-responsabile.

Alla luce di tali disposizioni, le strutture alberghiere dovranno poi provvedere ad una più attenta valutazione del rischio derivante dal trattamento dei dati, approntare una dettagliata procedura in grado di monitorare costantemente l’idoneità del trattamento, provvedere tempestivamente a notificare una violazione della procedura di sicurezza che comporti la divulgazione anche accidentale dei dati, adeguare le proprie informative da consegnare al Cliente.

Merita, infine, di esser segnalato che le sanzioni per le violazioni al GDPR possono essere assai rilevanti e giungere fino al 4% del fatturato dell’impresa, ben più severe rispetto a quelle previste in precedenza. E’ quindi necessario prestare molta attenzione al rispetto del GDPR, in quanto una sua errata o carente applicazione può determinare gravi pregiudizi all’impresa.

L’autore di questo articolo è Giovanni Izzo.

In this post we will briefly outline some legal aspects related to e-commerce in Iran, starting from the definition of the average Iranian user and main characteristics and advantages of e-commerce in the Islamic Republic, which is attracting several foreign investors.

We will then analyze the requirements for the issuance of online business licenses in Iran, which is mandatory in order to open an e-shop. Finally we will take a look at some successful examples of online business in Iran.

The average Iranian user

Some statistics regarding Iranian users active in the virtual space are useful for understanding the size of the Iranian market, and why it is attracting several investors.

According to the “Internet Data and Statistics”, Iran is the thirteenth country for number of internet users, as 57 million of Iranian (on 83 million of Iran’s population) have access to internet (approximately the 68% of the population), but Government sources believe these numbers are  underestimated.

What matters for the purpose of this analysis, however, is that approximatively the 58% of the internet users search on the Internet is about information on goods and services and that – until the end of Azar 1394 (December 2015) – the average internet users are male (58%) and young (47% between 20 and 29 years old).

In addition, the 42% of the Iranian internet users are involved in electronic commerce and the 13% use the e-banking services.

Online Business Licenses in Iran

Whether carried out in the traditional way or electronically, all the businesses need a business-license to operate on the Iranian market. The most important law governing  is the Union System Act 1971, amended in 1980, 2003 and in 2013, which provides that the business license is issued by the competent union or legal authority.

E-commerce is no exception, therefore all those who intend to sell goods or provide services using the virtual space must acquire a business license.

On February 19th, 2017 the Iranian Government issued an Executive Regulation in regard to the Issuance of License and Supervision on Businesses in Virtual Space and Network Marketing, dividing the activities in virtual space into two categories:

  1. Virtual Business;
  2. Network Marketing.

According to Paragraph 1 in Article 1, Virtual Business is a business established by any natural or legal person in order to provide products (goods or services) directly or indirectly on a wholesale or retail basis, to wholesalers, retailers and consumers through telecommunication means such as websites and digital software (applications).

According to Paragraph 2 of Article 1, Network Marketing is a method for selling products based on which the Network Marketing company uses its website to organize the sellers in order to sell their products directly to consumers in a place far from the regular business location. Through this method, each seller can introduce another marketer as it subset and create a multi-product sales group in order to increase sales.

The competent authority for issuance of licenses in this regard is the National Union. Therefore, any person who intends to acquire a license in order to have its activities carried out online, must apply on the website of Center for Development of Electronic Commerce (an organ of the Ministry of Industry, Mine and Commerce, hereinafter: “CDEC” – www.enamad.ir) in order to acquire the Reliance Symbol, which is a symbol necessary to certify the identity and competence of online activities.

Requirements for the Online Business License

Article 3  of the Executive Regulation on Issuance of License and Supervision on Businesses in Virtual Space and Network Marketing, which governs the Issuance of Online Business Licenses in Iran, provides that business licenses shall be issued according to the following procedure:

  1. Establishment of the virtual business conforming to the checklists provided by the CDEC.
  2. Registration of application in E-Namad website (then the CDEC automatically submits the application to the unions’ website).
  3. Upload of the required documents, which we will list below.
  4. Issuance and submission of the license (after verifying the uploaded documents and the original copies thereof) to the applicant within 15 days and submission of the license information to E-Namad website.
  5. Grant of Electronic Reliance Symbol concurrent with issuance of the license.

Furthermore, the said Regulation specifies the required documents for issuance of business license, as follows:

  1. Office or legal domicile address of the applicant;
  2. Negative criminal record from the Police;
  3. Certificate of the relevant Tax Organization regarding tax compliance;
  4. Certificate for attendance in educational courses of commerce and business;
  5. Confirmation of specialized features regarding virtual business issued by the CDED;
  6. Photocopy of ID-card/Company-Registration number, plus passport/work-permit for foreigners;
  7. Photocopy of Military Service Termination Card or Permanent or Medical Exemption Card for men under 50 or a Student Certificate.

In addition to those, the Regulation provides some other documents for particular sectors, so it is advisable to contact an Iranian expert in the matter to verify the compliance with all applicable regulations. For instance, the Cultural Heritage, Handicrafts and Tourism Organization of Iran has set out some specific criteria for travel and tourism activities in the virtual space, so travel agency services, accommodation centers, private entities and other tourism services must follow a special procedure to render their services on virtual space.

Successful Examples of Iranian Start-ups

In order to become familiar with this sector, hereinafter we would like to report some inspirational examples of investments.

  1. Snapp

Snapp is an Iranian ride hailing company which renders its services online. The Snapp application automatically connects the users to the nearest driver and shows the driver the user’s location. Afterwards, the nearest ready driver will pick up the users from their location, and Snapp calculates the price beforehand. This price is normally lower than the Taxi Agency Unions prices and can be received either in cash or via online payment or credit card.

  1. Digikala

Digikala is the name of one of the biggest e-marketplaces in Iran. Cellphones, laptops and computers, digital cameras, office appliances, automobiles, watches, home appliances, instruments, jewelry, toys, clothes and books are some of the items sold on this website. One of the features of this website is the detailed and comprehensive reviews of different types of digital goods which can be a reliable source for purchasers.

  1. Pintapin

Pintapin is a comprehensive tool for rendering travel services online. Accommodation services are listed in Pintapin and users can book online their desired location. It is also possible to submit the information regarding your destination, duration of stay and number of companions in order to receive suitable suggestions from Pintapin.

  1. Bamilo

Bamilo is probably the most important Marketplace businesses in Iran. It started its activity in 2014 and is now among the most viewed websites in Iran. Based on the Amazon-model, the online store is considered as the main Iranian middleman between suppliers and consumers.

  1. Eskano

Eskano is a smart system for searching real estate in Iran which is performed under international standards. With its huge database of transferable real estates divided between several Iranian cities, Eskano facilitates the sale and lease process, also with the possibility of setting up appointments directly through the website.

The author of this post is Mohammad Rahmani.

Iran – Online business and eCommerce

5 Dicembre 2017

  • Iran
  • eCommerce
  • Investimenti
  • Start-up
  • Turismo

Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, in materia di “protezione” dei dati personali (di seguito il “Regolamento” o “GDPR”), strumento normativo comunitario che mira a rafforzare il diritto delle persone fisiche a veder protetti i propri dati personali, già elevato a “diritto fondamentale” nella Carta dei diritti fondamentali dell’Unione europea (Articolo 8 paragrafo 1) e nel Trattato sul funzionamento dell’Unione europea (Articolo 16 paragrafo 1).

Il Regolamento ha immediata applicazione nell’ordinamento italiano e non necessita di alcun recepimento da parte del legislatore nazionale. Le sue disposizioni prevalgono sulle leggi interne. Da un punto di vista pratico ciò significa che, in caso di contrasto tra una disposizione contenuta nel Regolamento ed una prevista nel “vecchio” Decreto Legislativo 196/2003, sarà la prima a prevalere.

Il GDPR si compone di 99 articoli di cui, solo alcuni, costituiscono delle novità ed hanno una specifica rilevanza per i titolari/gestori di strutture ricettive.

Sicuramente una prima novità è quella relativa al “consenso esplicito” per il trattamento dei dati “sensibili” e le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). È infatti necessario che il cliente manifesti un consenso distinto da quello relativo agli altri dati. Il consenso raccolto prima del 25 maggio 2018 resta valido solo se ha queste caratteristiche.

Ciò impone, ad esempio, al titolare dei dati di adeguare il proprio sito web, o le newsletter promozionali inviate ai propri clienti. Questi devono essere informati delle finalità per le quali vengono raccolti i dati e dei diritti che spettano loro. Per l’iscrizione alla newsletter dovrebbe essere necessaria unicamente la mail e qualora fossero richiesti altri dati, andranno specificate le finalità per le quali vengono domandati. Prima della richiesta di iscrizione il cliente dovrà rilasciare il proprio consenso e l’accettazione della privacy policy. L’informativa sulla privacy dovrà essere raggiungibile chiaramente dall’home page del sito. Per quanto concerne specificamente la newsletter, l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.

Sono state poi introdotte delle rilevanti modiche ai compiti del Titolare del trattamento dei Dati ed al Responsabile per il trattamento dei dati, entrambe figure che vengono in rilievo nelle strutture alberghiere. 

Il Titolare del trattamento dei dati deve ora: (i) essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento, (ii) fornire i dati di contatto del Responsabile della protezione dei dati, (iii) dichiarare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, (iv) specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, (v) specificare se il trattamento comporti processi decisionali automatizzati (anche la profilazione), e le conseguenze previste per l’interessato.

Il Responsabile per il trattamento dei dati (c.d. Data protection Officer – DPO), è invece il professionista (che può essere interno o esterno alla struttura) garante dell’osservazioni delle norme del GPDR e della gestione e trattamento dei dati.

Secondo la nuova normativa i compiti di detto soggetto consistono ora nella: (i) tenuta del registro dei trattamenti svolti (ex art. 30,paragrafo 2), e (ii) nell’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 Regolamento).

Il suo nome deve essere riportato nell’informativa che occorre consegnare al Cliente. Il suo rapporto con il titolare del trattamento è regolato obbligatoriamente da un contratto che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” ad una corretta gestione e trattamento dei dati. Il Responsabile può nominare a sua volta un “sub-responsabile” ma solo per limitate attività di trattamento, nel rispetto di quanto previsto nel suo contratto, e risponde dell’inadempimento del sub-responsabile.

Alla luce di tali disposizioni, le strutture alberghiere dovranno poi provvedere ad una più attenta valutazione del rischio derivante dal trattamento dei dati, approntare una dettagliata procedura in grado di monitorare costantemente l’idoneità del trattamento, provvedere tempestivamente a notificare una violazione della procedura di sicurezza che comporti la divulgazione anche accidentale dei dati, adeguare le proprie informative da consegnare al Cliente.

Merita, infine, di esser segnalato che le sanzioni per le violazioni al GDPR possono essere assai rilevanti e giungere fino al 4% del fatturato dell’impresa, ben più severe rispetto a quelle previste in precedenza. E’ quindi necessario prestare molta attenzione al rispetto del GDPR, in quanto una sua errata o carente applicazione può determinare gravi pregiudizi all’impresa.

L’autore di questo articolo è Giovanni Izzo.

In this post we will briefly outline some legal aspects related to e-commerce in Iran, starting from the definition of the average Iranian user and main characteristics and advantages of e-commerce in the Islamic Republic, which is attracting several foreign investors.

We will then analyze the requirements for the issuance of online business licenses in Iran, which is mandatory in order to open an e-shop. Finally we will take a look at some successful examples of online business in Iran.

The average Iranian user

Some statistics regarding Iranian users active in the virtual space are useful for understanding the size of the Iranian market, and why it is attracting several investors.

According to the “Internet Data and Statistics”, Iran is the thirteenth country for number of internet users, as 57 million of Iranian (on 83 million of Iran’s population) have access to internet (approximately the 68% of the population), but Government sources believe these numbers are  underestimated.

What matters for the purpose of this analysis, however, is that approximatively the 58% of the internet users search on the Internet is about information on goods and services and that – until the end of Azar 1394 (December 2015) – the average internet users are male (58%) and young (47% between 20 and 29 years old).

In addition, the 42% of the Iranian internet users are involved in electronic commerce and the 13% use the e-banking services.

Online Business Licenses in Iran

Whether carried out in the traditional way or electronically, all the businesses need a business-license to operate on the Iranian market. The most important law governing  is the Union System Act 1971, amended in 1980, 2003 and in 2013, which provides that the business license is issued by the competent union or legal authority.

E-commerce is no exception, therefore all those who intend to sell goods or provide services using the virtual space must acquire a business license.

On February 19th, 2017 the Iranian Government issued an Executive Regulation in regard to the Issuance of License and Supervision on Businesses in Virtual Space and Network Marketing, dividing the activities in virtual space into two categories:

  1. Virtual Business;
  2. Network Marketing.

According to Paragraph 1 in Article 1, Virtual Business is a business established by any natural or legal person in order to provide products (goods or services) directly or indirectly on a wholesale or retail basis, to wholesalers, retailers and consumers through telecommunication means such as websites and digital software (applications).

According to Paragraph 2 of Article 1, Network Marketing is a method for selling products based on which the Network Marketing company uses its website to organize the sellers in order to sell their products directly to consumers in a place far from the regular business location. Through this method, each seller can introduce another marketer as it subset and create a multi-product sales group in order to increase sales.

The competent authority for issuance of licenses in this regard is the National Union. Therefore, any person who intends to acquire a license in order to have its activities carried out online, must apply on the website of Center for Development of Electronic Commerce (an organ of the Ministry of Industry, Mine and Commerce, hereinafter: “CDEC” – www.enamad.ir) in order to acquire the Reliance Symbol, which is a symbol necessary to certify the identity and competence of online activities.

Requirements for the Online Business License

Article 3  of the Executive Regulation on Issuance of License and Supervision on Businesses in Virtual Space and Network Marketing, which governs the Issuance of Online Business Licenses in Iran, provides that business licenses shall be issued according to the following procedure:

  1. Establishment of the virtual business conforming to the checklists provided by the CDEC.
  2. Registration of application in E-Namad website (then the CDEC automatically submits the application to the unions’ website).
  3. Upload of the required documents, which we will list below.
  4. Issuance and submission of the license (after verifying the uploaded documents and the original copies thereof) to the applicant within 15 days and submission of the license information to E-Namad website.
  5. Grant of Electronic Reliance Symbol concurrent with issuance of the license.

Furthermore, the said Regulation specifies the required documents for issuance of business license, as follows:

  1. Office or legal domicile address of the applicant;
  2. Negative criminal record from the Police;
  3. Certificate of the relevant Tax Organization regarding tax compliance;
  4. Certificate for attendance in educational courses of commerce and business;
  5. Confirmation of specialized features regarding virtual business issued by the CDED;
  6. Photocopy of ID-card/Company-Registration number, plus passport/work-permit for foreigners;
  7. Photocopy of Military Service Termination Card or Permanent or Medical Exemption Card for men under 50 or a Student Certificate.

In addition to those, the Regulation provides some other documents for particular sectors, so it is advisable to contact an Iranian expert in the matter to verify the compliance with all applicable regulations. For instance, the Cultural Heritage, Handicrafts and Tourism Organization of Iran has set out some specific criteria for travel and tourism activities in the virtual space, so travel agency services, accommodation centers, private entities and other tourism services must follow a special procedure to render their services on virtual space.

Successful Examples of Iranian Start-ups

In order to become familiar with this sector, hereinafter we would like to report some inspirational examples of investments.

  1. Snapp

Snapp is an Iranian ride hailing company which renders its services online. The Snapp application automatically connects the users to the nearest driver and shows the driver the user’s location. Afterwards, the nearest ready driver will pick up the users from their location, and Snapp calculates the price beforehand. This price is normally lower than the Taxi Agency Unions prices and can be received either in cash or via online payment or credit card.

  1. Digikala

Digikala is the name of one of the biggest e-marketplaces in Iran. Cellphones, laptops and computers, digital cameras, office appliances, automobiles, watches, home appliances, instruments, jewelry, toys, clothes and books are some of the items sold on this website. One of the features of this website is the detailed and comprehensive reviews of different types of digital goods which can be a reliable source for purchasers.

  1. Pintapin

Pintapin is a comprehensive tool for rendering travel services online. Accommodation services are listed in Pintapin and users can book online their desired location. It is also possible to submit the information regarding your destination, duration of stay and number of companions in order to receive suitable suggestions from Pintapin.

  1. Bamilo

Bamilo is probably the most important Marketplace businesses in Iran. It started its activity in 2014 and is now among the most viewed websites in Iran. Based on the Amazon-model, the online store is considered as the main Iranian middleman between suppliers and consumers.

  1. Eskano

Eskano is a smart system for searching real estate in Iran which is performed under international standards. With its huge database of transferable real estates divided between several Iranian cities, Eskano facilitates the sale and lease process, also with the possibility of setting up appointments directly through the website.

The author of this post is Mohammad Rahmani.