Come noto, a partire dal 25 maggio 2018 è entrato in vigore il Regolamento Europeo 679/2016che ha profondamente modificato le regole cui devono attenersi le imprese e i professionistiche trattano dati personali. Il regolamento UE 679 del 2016, meglio conosciuto come GDPR, ha integrato e innovato quanto già disposto all’interno della normativa nazionale dettata dal così detto Codice della Privacy del 2003.
Di seguito una breve sintesi su quanto previsto dalla nuova normativa.
Ambito d’applicazione
Qualunque soggetto pubblico o privato, persona fisica o giuridica è obbligato al rispetto della norma a prescindere dalla tipologia di attività svolta, qualora proceda al trattamento di dati personali.
Il regolamento della privacy prevede inoltre che ogni trattamento di dati deve avere una base giuridica che lo giustifichi (art.6 comma 1). I dati devono essere trattati nel rispetto di alcuni principi base (lett. A comma 1 art. 5): liceità, correttezza e trasparenza. Limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione. L’ambito di applicazione è vasto in quanto comprende la totalità di coloro che archiviano o trattano dati personali a qualunque titolo a prescindere dal fatto che l’attività sia finalizzata o meno allo sfruttamento economico degli stessi, fanno eccezione i trattamenti che sono effettuati al di fuori dell’ambito di applicazione del diritto UE o riguardanti la politica estera e la sicurezza comune; sono esclusi:
– i trattamenti effettuati da persona fisica per l’esercizio di attività esclusivamente personale o domestico;
– quelli fatti per finalità di sicurezza pubblica e prevenzione effettuati da autorità competenti.
Dal punto di vista territoriale la normativa si applica a tutti i soggetti UE, a prescindere dal fatto che il trattamento sia effettuato sul territorio dell’Unione o meno; ugualmente si applica ai soggetti non UE che operano in territorio dell’Unione.
Il trattamento è lecito quando:
– l’interessato ha espresso il consenso per una o più finalità specifiche;
– è necessario per l’esecuzione di un contratto; è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
– è necessario per il trattamento degli interessi vitali del soggetto interessato;
– è necessario per l’esercizio di pubblici poteri di cui è investito il titolare;
– è necessario per legittimo interesse del titolare del trattamento.
Adempimento necessario al compimento della liceità del trattamento è il consenso esplicito, informato e specifico dell’interessato.
Specifiche limitazioni sono riservate a quei trattamenti che hanno per oggetto dati personali particolari quali:
– l’origine razziale o etnica,
– le opinioni politiche,
– le convinzioni religiose o filosofiche,
– l’appartenenza sindacale,
– i dati genetici o biometrici,
– i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale,
– i dati relativi a condanne penali,
– i reati o connessi a misure di sicurezza.
Obblighi del titolare del trattamento
Il titolare del trattamento (colui che detiene i dati e ne stabilisce i modi di trattamento e conservazione), in caso di raccolta di dati personali deve fornire all’interessato (persona a cui si riferiscono i dati) una specifica informativa. L’interessato è a sua volta portatore di diritti relativi alle modalità di trattamento dei dati, della conservazione e della cancellazione
Ai sensi della normativa vigente il titolare del trattamento ha l’obbligo di porre in essere ogni misura, tecnica e organizzativa, adeguata a garantire, e essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal GDPR. Il titolare si obbliga ad un costante aggiornamento di tali misure anche nel caso di novazione o modifica legislativa.
Sulla base delle indicazioni riassuntive tratte dall’esame della normativa appare evidente la necessità che ogni soggetto, in relazione alle dimensioni e alla qualità delle informazioni detenute o da raccogliere, si doti di un sistema di gestione della privacy che consenta in ogni momento di dimostrare il rispetto degli obblighi previsti e l’aderenza dei comportamenti tenuti alle indicazioni emanate dall’Autorità competente di controllo.
Tra queste è opportuno segnalare: La predisposizione di apposita modulistica, cartacea o informatica per trasmettere la corretta informativa ai titolari dei dati e i relativi consensi o dinieghi ai trattamenti effettuati o da effettuare.
– La predisposizione dei registri richiesti
– L’implementazione delle misure organizzative e di sicurezza necessarie per assicurare un corretto trattamento dei dati
– L’implementazione delle procedure previste in caso di violazione dei dati personali detenuti
– La nomina delle figure intermedie che collaborano con il titolare del trattamento alle operazioni di gestione e elaborazione.
Infine, è opportuno sottolineare che in caso di violazione delle norme le sanzioni che verranno applicate possono risultare molto onerose.
Impatto pratico nella conduzione dell’attività
Partendo dal presupposto che le strutture ricettive extra alberghiere sono in grandissima parte tutte micro-imprese o persone fisiche, saranno necessarie poche e semplici attività:
– Registro dei trattamenti
– Organigramma
– Informativa cartacea e web per chi ha anche il sito
– Consenso informato
– Informativa e consenso specifico per chi ha impianti di video sorveglianza
– Nomina a responsabile esterno per commercialista e per chi fa i check-in
– Piccolo manuale privacy con procedure interne.
Link al testo della normativa Europea:
