Da qualche anno è diventato ormai un aspetto imprescindibile per qualunque attività commerciale, tra queste anche i ristoranti: stiamo parlando del Gdpr, il Regolamento generale per la protezione dei dati personali adottato a livello europeo il 27 aprile 2016 e diventato definitivamente operativo a partire dal 25 maggio 2018.
Dall’entrata in vigore del regolamento, voluto dalla Commissione Europea per rafforzare la protezione dei dati personali dei cittadini dell’Unione Europea, diverse categorie di aziende, incluse quelle produttive come bar e ristoranti, hanno l’obbligo di adempiere a quanto prescritto dalle norme del documento pena sanzioni amministrative; i provvedimenti nei confronti di chi viola la normativa possono essere anche di natura penale.
Vedremo allora quali sono le azioni che i ristoratori devono adottare per rendere il sito della propria attività conforme ai requisiti del Gdpr, dal trattamento dei dati dei propri clienti alla nomina di addetti preposti alla tutela delle informazioni personali.
Le attività che devono adempiere alle norme del Gdpr
Il Gdpr (General Data Protection Regulation) si rivolge a tutti i soggetti che esercitano un’attività commerciale o professionale (ad eccezione delle persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico) che quindi sono tenuti ad assolvere al regolamento europeo in materia di privacy. Per trattamento si intende qualunque azione svolta sui dati personali di un cittadino. Tra le attività commerciali rientrano anche i ristoranti che devono affrontare con attenzione la questione dei dati personali dei propri clienti laddove essi non consumino in forma anonima nel locale.
Dunque, i ristoratori sono tra le categorie che maggiormente devono essere attenti al trattamento dei dati dei propri clienti per evitare di cadere in violazioni della privacy. Si pensi ai tanti modi con cui i clienti possono lasciare le proprie informazioni personali al titolare di attività quando si effettua una prenotazione, quando vengono fornite informazioni relative alle proprie intolleranze alimentari o indicazioni in merito all’indirizzo della propria abitazione per richiedere consegne a domicilio. Riguardo a tutti questi dati il ristoratore ha precisi obblighi per il trattamento e la loro conservazione.
Il sito web è uno degli aspetti più importanti quando parliamo di tutela dei dati personali da parte delle attività di ristorazione: tramite il proprio spazio in rete, infatti, le attività commerciali possono entrare più facilmente a contatto con le informazioni personali dei clienti e possono condurre attività di profilazione nei confronti degli stessi proprio grazie all’utilizzo dei dati rilasciati dagli utenti. Per questo la gestione di un sito web, che rispetti i dettami del Gdpr e sia conforme alle norme che il regolamento impone, è una questione particolarmente importante e delicata per qualunque titolare di un’attività di questo genere.
Gli obblighi del sito: l’informativa e i cookie banner
Il sito internet della propria attività di ristorazione, dunque, acquisisce un ruolo assai rilevante nella gestione dei dati personali dei propri clienti e nel rispetto del Regolamento generale sulla privacy. Per rispettare tutti i dettami del regolamento europeo il sito web deve guardare con attenzione ai trattamenti relativi ai log di navigazione degli utenti e dei cookies.
Un discorso particolare va fatto proprio per i cookies, piccoli file di testo archiviati dal sito nel browser dell’utente visitatore. Il loro scopo è migliorare l’esperienza del visitatore e monitorare il comportamento dell’utente all’interno del sito: proprio per la loro caratteristica di contenere diverse informazioni specifiche relative alle azioni dell’utente ma anche dati personali identificativi i cookies sono uno strumento particolarmente delicato da “maneggiare” per i gestori di un sito web. Per rispettare le norme imposte dal Gdpr i siti che possono essere visitati da utenti europei e/o siti e app che appartengono ad un’attività situata nell’UE hanno l’obbligo di installare i banner dei cookies al loro interno.
I banner di consenso ai cookies sono degli avvisi che solitamente compaiono sulla pagina di un sito o di una app al primo accesso di un utente: contengono un avviso che informano l’utente della presenza appunto di un cookie, dei loro diritti a riguardo e di chiederne il consenso all’installazione. La presenza di un simile avviso costituisce solamente uno dei requisiti del Gdpr. In aggiunta, infatti, bisogna disporre di una cookie policy che illustri tutti i dettagli riguardanti le finalità di utilizzo delle terze parti correlate ai cookies. Inoltre, il sito deve fare in modo di bloccare i cookies prima di aver ottenuto il consenso dell’utente al trattamento dei dati.
Da ogni pagina del sito deve essere accessibile l’informativa per la privacy, introdotta dall’articolo 12 del Gdpr, che deve fornire agli interessati le informazioni richieste dalle norme prima del trattamento. Lo scopo di questa comunicazione è mettere al corrente l’utente – già prima che avvenga il trattamento – delle finalità e delle modalità del trattamento che verrà operato dal titolare. L’informativa, in formato esteso, deve spiegare in modo dettagliato quali informazioni vengono raccolte dai visitatori del sito (dati inviati liberamente dall’utente, dati ottenuti tramite i cookies e dati raccolti in qualunque altro modo).
La raccolta dei dati rilasciati sui form specifici
Su un sito di un ristorante è molto probabile trovare degli appositi form per la prenotazione di un tavolo. La compilazione di questi spazi da parte dell’utente-cliente implica naturalmente la comunicazione di alcuni dati personali che il titolare dell’attività deve trattare con attenzione. A tal proposito deve essere sempre disponibile un accesso rapido all’informativa per la privacy per rendere costantemente consapevole l’utente; non è necessario richiedere alcun tipo di consenso o accettazione in questi casi mentre può essere introdotta una semplice checkbox per la presa visione. L’importante è che i dati raccolti vengano conservati non oltre un tempo massimo – da stabilire – dopo il quale devono essere cancellati ed è consigliabile che ciò avvenga in maniera automatica.
In qualche modo collegate al sito sono anche le attività di e-mail marketing condotte dal ristorante. Comprendere un utente nella propria newsletter per l’invio di e-mail promozionali e campagne di fidelizzazione porta alla necessità di un consenso da parte dell’interessato che poi potrà ritirare in qualsiasi momento. Per questo l’attività commerciale deve prevedere la gestione di un registro dei consensi e le misure per la loro cancellazione in caso di revoca comunicata in un successivo momento dall’utente. Per quanto riguarda invece le attività di promozione non contrassegnate nominalmente, quindi comunicazioni rivolte a un pubblico generico – come gli avvisi sul sito, le affissioni di cartelli o attività di social media management – queste sono esenti dalle norme sulla protezione dei dati personali non facendo uso di alcun dato sensibile.
Le figure di Data Controller e Data Processor
Il regolamento europeo sulla privacy ha introdotto due nuove figure: il Data Controller e il Data Processor. Il primo coincide con l’albergatore o ristoratore in qualità di azienda o organizzazione in possesso dei dati personali dei cittadini europei; è il titolare del trattamento dei dati. Il Data Processor si riferisce invece all’azienda o organizzazione deputata alla elaborazione e memorizzazione dei suddetti dati per conto del Data Controller. Il Data Processor, quindi, non è altri che l’azienda proprietaria del software che mette a disposizione il gestionale, lo strumento con la quale vengono trattati i dati e deve attenersi alla normativa che prevede l’obbligo di rendere il software conforme alla legge sin dalla fase di progettazione. L’identificazione e la distinzione tra questi due ruoli è importante anche in merito alla gestione del sito web della propria attività nei casi in cui vengano trattati dei dati personali.