Il 25 maggio 2018 è entrato in vigore il Regolamento UE 2016/679, in materia di “protezione” dei dati personali (di seguito il “Regolamento” o “GDPR”), strumento normativo comunitario che mira a rafforzare il diritto delle persone fisiche a veder protetti i propri dati personali, già elevato a “diritto fondamentale” nella Carta dei diritti fondamentali dell’Unione europea (Articolo 8 paragrafo 1) e nel Trattato sul funzionamento dell’Unione europea (Articolo 16 paragrafo 1).
Il Regolamento ha immediata applicazione nell’ordinamento italiano e non necessita di alcun recepimento da parte del legislatore nazionale. Le sue disposizioni prevalgono sulle leggi interne. Da un punto di vista pratico ciò significa che, in caso di contrasto tra una disposizione contenuta nel Regolamento ed una prevista nel “vecchio” Decreto Legislativo 196/2003, sarà la prima a prevalere.
Il GDPR si compone di 99 articoli di cui, solo alcuni, costituiscono delle novità ed hanno una specifica rilevanza per i titolari/gestori di strutture ricettive.
Sicuramente una prima novità è quella relativa al “consenso esplicito” per il trattamento dei dati “sensibili” e le decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). È infatti necessario che il cliente manifesti un consenso distinto da quello relativo agli altri dati. Il consenso raccolto prima del 25 maggio 2018 resta valido solo se ha queste caratteristiche.
Ciò impone, ad esempio, al titolare dei dati di adeguare il proprio sito web, o le newsletter promozionali inviate ai propri clienti. Questi devono essere informati delle finalità per le quali vengono raccolti i dati e dei diritti che spettano loro. Per l’iscrizione alla newsletter dovrebbe essere necessaria unicamente la mail e qualora fossero richiesti altri dati, andranno specificate le finalità per le quali vengono domandati. Prima della richiesta di iscrizione il cliente dovrà rilasciare il proprio consenso e l’accettazione della privacy policy. L’informativa sulla privacy dovrà essere raggiungibile chiaramente dall’home page del sito. Per quanto concerne specificamente la newsletter, l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.
Sono state poi introdotte delle rilevanti modiche ai compiti del Titolare del trattamento dei Dati ed al Responsabile per il trattamento dei dati, entrambe figure che vengono in rilievo nelle strutture alberghiere.
Il Titolare del trattamento dei dati deve ora: (i) essere in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento, (ii) fornire i dati di contatto del Responsabile della protezione dei dati, (iii) dichiarare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti, (iv) specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo, (v) specificare se il trattamento comporti processi decisionali automatizzati (anche la profilazione), e le conseguenze previste per l’interessato.
Il Responsabile per il trattamento dei dati (c.d. Data protection Officer – DPO), è invece il professionista (che può essere interno o esterno alla struttura) garante dell’osservazioni delle norme del GPDR e della gestione e trattamento dei dati.
Secondo la nuova normativa i compiti di detto soggetto consistono ora nella: (i) tenuta del registro dei trattamenti svolti (ex art. 30,paragrafo 2), e (ii) nell’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 Regolamento).
Il suo nome deve essere riportato nell’informativa che occorre consegnare al Cliente. Il suo rapporto con il titolare del trattamento è regolato obbligatoriamente da un contratto che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” ad una corretta gestione e trattamento dei dati. Il Responsabile può nominare a sua volta un “sub-responsabile” ma solo per limitate attività di trattamento, nel rispetto di quanto previsto nel suo contratto, e risponde dell’inadempimento del sub-responsabile.
Alla luce di tali disposizioni, le strutture alberghiere dovranno poi provvedere ad una più attenta valutazione del rischio derivante dal trattamento dei dati, approntare una dettagliata procedura in grado di monitorare costantemente l’idoneità del trattamento, provvedere tempestivamente a notificare una violazione della procedura di sicurezza che comporti la divulgazione anche accidentale dei dati, adeguare le proprie informative da consegnare al Cliente.
Merita, infine, di esser segnalato che le sanzioni per le violazioni al GDPR possono essere assai rilevanti e giungere fino al 4% del fatturato dell’impresa, ben più severe rispetto a quelle previste in precedenza. E’ quindi necessario prestare molta attenzione al rispetto del GDPR, in quanto una sua errata o carente applicazione può determinare gravi pregiudizi all’impresa.
L’autore di questo articolo è Giovanni Izzo.