Il regolamento europeo – GDPR 2016/679 – insieme con il decreto n. 101 dell’agosto 2018 che ha provveduto ad adeguare il d.lgs. 196/2003 hanno modificato sostanzialmente la gestione dei sati personali e la loro tutela.
Le novità sono tante e spaziano dal diritto all’oblio alla sicurezza che non ha più regole minime, il famoso allegato b del d. lgs. 196/2003 ma parla ad ampio spetro di sicurezza e nello specifico di sicurezza delle informazioni ben chiarendo che i dati digitali come i cartacei devono essere sottoposti ad una gestione di sicurezza attenta.
Dal 25 maggio in poi si sono susseguiti sull’argomento molte testi, su cui non vogliamo soffermarci, ma sicuramente vogliamo chiarire chi ha l’obbligo di rivedere, o vedere per la prima volta, tutto il processo di tutela dei dati personali, e qui sicuramente sono da ricomprendere tutte le tipologie di strutture ricettive a prescindere dalla loro conformazione giuridica e dalla loro grandezza.
Del resto per capire la portata e l’obbligo di rispetto per la tutela dei dati personali anche da arte delle strutture ricettive di minore impatto basti pensare che ANBBA – Assocaizione nazionale b&b e affitacamere e case vacanze ha dato risalto a questa problematica.
Al fine di evitare interpretazioni più o meno fantasiose chiariamo subito che il regolamento europeo, sovrano legislativamente, recita che tale tutela deve essere costruita gestita e manutenuta da tutte le realtà che a qualsiasi titolo gestiscono dati personali di persone fisiche a prescindere dal motivo per cui ne sono entrati in possesso.
Per chi gestisce una struttura ricettiva, dal b&b all’albergo a 5 stelle, risulta indispensabile raccogliere i dati dei clienti/ospiti, soprattutto se si ha un sito web. Per quanto riguarda il trattamento dati, bisogna innanzitutto distinguere quelli raccolti online da quelli raccolti offline. Per ogni trattamento, devono essere comunicate all’interessato le finalità e le modalità del trattamento stesso, mediante un’apposita informativa.
Se offri la possibilità ai clienti di iscriversi a una newsletter, devi redigere un’informativa specifica in cui elenchi i dati acquisiti, le modalità e le finalità del trattamento.
Se nel sito ci sono dei moduli di contatto, occorre obbligatoriamente inserire un link che rimandi a un’apposita informativa.
Occorre poi ricordare sempre che, in tutti i casi, si procede alla raccolta dei conformemente al principio di minimizzazione: occorre richiedere soltanto le informazioni indispensabili, a seconda delle finalità per cui si tratta i dati personali, per capirci in modo esplicito su una richiesta di prenotazione tra i dati raccolta non ha modo di esistere una richiesta del tipo grado di parentela fra le persone che effettuano la registrazione.
Infine, non dimenticare che devi adottare delle misure idonee a proteggere i dati acquisiti, come password, crittografia e antivirus, per minimizzare il rischio di abusi nel loro trattamento. Nel settore alberghiero e ristorazione le norme sulla privacy sono anche molto restrittive perché il passaggio da dato personale a dato sensibile accade molto frequentemente.
Naturalmente per queste strutture c’è da considerare anche tutta una serie di informazioni collaterali come:
- esistenza di sito internet
- esistenza di profilazione
- esistenza di dati relativi al marketing
- esistenza di dati personali e/o sensibili rilasciati in fase di accettazione alla struttura
- esistenza di videosorveglianza
La raccolta dei dati da parte della struttura deve sempre sottostare al rilascio di alcune informazioni all’utenza alcune delle quali sono:
- Informativa sui dati raccolti
- Criteri di conservazione
- Gestione dei dati ed utilizzo verso terzi
- Cessione dei dati a terzi
- Diritto sui dati relativi a :
- cancellazione
- aggiornamento
- Consenso alla raccolta dei dati con specificato il motivo
- Consenso alla raccolta di immagini
- Consenso al trasferimento dei dati
Già da queste poche informazioni è possibile capire, e proveremo a tracciarle, che le attività da sviluppare sono più di una e se prese e gestite correttamente dall’inizio non creano particolari problematiche, diversamente la situazione potrebbe complicarsi.
Proviamo a vedere un insieme di regole minime da mettere subito in piedi:
- Identificazione del titolare
- Eventuale identificazione e nomina dei responsabili esterni
- Eventuali identificazioni di autorizzazione ex art 27 d.lgs. 196/2003
- Sviluppo della gestione dei rischi
- Sviluppo delle corrette policy aziendali
- Gestione del sito internet – se presente
- Gestione dei cookies – se presente il sito internet
- Gestione delle pagine social – se presenti
- Creazione del registro del trattamento
Molte strutture ricettive stanno impazzendo rispetto all’obbligo eventuale per quanto attiene alla nomina del DPO – Data Protection Officer, è bene chiarire subito che tale designazione non dipende dalle dimensioni dell’attività, ma dalla mole e dalla complessità dei dati gestiti.
Il regolamento, stabilisce che la nomina del Dpo è obbligatoria per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuano un monitoraggio regolare e su larga scala delle persone fisiche, oppure trattano su larga scala categorie particolari di dati personali (dati sensibili).
Anche se il regolamento non impone in modo specifico la designazione di un DPO, in determinati casi, può risultare utile procedere alla sua nomina su base volontaria.
