Norme. Il nuovo regolamento europeo in materia di protezione dati personali

protezione dati personaliTesto a cura degli avvocati Giovanni Izzo e Nicola Alessandro Dell’Olio – Abbatescianni Studio Legale e Tributario

Di recente gli operatori economici si sono trovati a fare i conti con le disposizioni del nuovo regolamento europeo in materia di protezione dei dati personali (GDPR), entrato in vigore il 25 maggio 2018. In molti, anche tra gli imprenditori del settore dell’hotellerie, si sono chiesti cosa fare per adeguarsi alla nuova normativa, in particolare con riferimento al trattamento dei dati dei propri clienti.

Per rendere la propria privacy policy conforme al GDPR, l’imprenditore dovrà, preliminarmente, verificare di aver ricevuto il consenso esplicito dei propri clienti al trattamento di dati sensibili e al trattamento automatizzato (profilazione), in forma distinta da quello prestato per altri tipi di dati.

Parallelamente andrà adeguata la comunicazione on line: l’informativa sulla privacy dovrà essere chiaramente raggiungibile dall’homepage del sito aziendale, oltre che indicata e linkata nel box di iscrizione ad eventuali newsletter.

Generalmente per l’invio di messaggi informativi e promozionali è necessario solo l’indirizzo email. Qualora all’atto dell’iscrizione a tale servizio si richiedessero informazioni ulteriori (ad esempio i gusti e le preferenze del cliente), l’operatore dovrà specificare la ragione per cui vengono raccolti anche tali dati.

Bisognerà poi assicurarsi che il soggetto indicato come titolare del trattamento dati i) sia in grado di dimostrare che l’interessato abbia prestato il consenso a uno specifico trattamento; ii) comunichi i contatti del Responsabile della protezione dei dati; iii) dichiari l’eventuale trasferimento dei dati personali in Paesi terzi, indicando le modalità utilizzate; iv) specifichi il periodo di conservazione dei dati o i criteri per stabilire tale periodo; v) informi del diritto di presentare reclami all’autorità di controllo, dell’eventuale utilizzazione di processi decisionali automatizzati (come la profilazione) e delle conseguenze per l’interessato.

GDPRAl titolare dovrà essere affiancato un Responsabile per il trattamento (c.d. Data protection Officer/DPO).

Il DPO è il professionista (anche esterno), da indicare nell’informativa per il cliente, garante del rispetto del GPDR e della gestione e trattamento dati. Egli dovrà tenere un registro dei trattamenti effettuati e assicurarsi che vengano adottate idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti.

L’imprenditore dovrà, inoltre, approntare una procedura specifica per monitorare costantemente l’idoneità delle cautele adottate in considerazione del rischio derivante dal trattamento dei dati.

Eventuali violazioni della procedura di sicurezza che comportino la divulgazione, anche accidentale, di dati dovranno essere tempestivamente notificate.

Si segnala, infine, che le sanzioni applicabili in caso di violazioni del GDPR sono state inasprite rispetto al passato, potendo giungere fino al 4% del fatturato dell’impresa. È quindi opportuno non sottovalutare l’importanza di implementare una efficace ed adeguata privacy policy, onde evitare che l’eventuale applicazione di sanzioni possa pregiudicare la redditività dell’azienda alberghiera.

Pubblicato in Attualità, News Taggato con: , , ,