Il regolamento GDPR (General Data Protection Regulation) è entrato in vigore in Europa nel 2018 per uniformare le regole in materia di trattamento dei dati personali e di privacy: una svolta storica alla quale anche i ristoratori sono stati chiamati ad adeguarsi con norme ben precise.
Al contrario di quanto si possa erroneamente pensare, infatti, l’applicazione del regolamento coinvolge anche attività produttive come ristoranti e bar.
Cosa dispone il Regolamento generale sulla protezione dei dati
Il GDPR, stando a quanto contenuto nell’articolo 2, “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi” e, come esplicitato nel Considerando 14, ha come scopo “la protezione delle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali con esclusione dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto”. Ne consegue che tutti i soggetti che esercitano un’attività commerciale o professionale (ad eccezione delle persone fisiche nell’ambito di attività a carattere esclusivamente personale o domestico) sono chiamati a rispettare il Regolamento Ue 2016/679 o GDPR.
Il regolamento è stato adottato il 27 aprile 2016 ed è entrato in vigore il 24 maggio dello stesso anno per diventare pienamente operativo dal 25 maggio 2018. L’obiettivo della Commissione Europea, disciplinando questo nuovo regolamento, è stato quello di rafforzare la protezione dei dati personali dei cittadini dell’Unione e restituire il controllo dei propri dati ai cittadini stessi attraverso una semplificazione del contesto normativo in materia.
Con il Regolamento diventa necessario attuare un’analisi del rischio privacy per dimostrare l’adeguatezza delle misure implementate a tutela dei dati trattati. Sono previste sanzioni amministrative – che dovranno essere proporzionali, efficaci e dissuasive – per i titolari che non osservano le disposizioni del GDPR come previsto dall’art.83. Le sanzioni possono essere anche di natura penale, previste e disciplinate dal D.lgs. n. 101/2018 novellato Codice Privacy (D.lgs. 196/2003).
Quali regole per i ristoratori
Applicare i dettami del GDPR significa per i ristoratori non incappare in evitabili incidenti di percorso che potrebbero mettere a repentaglio la propria immagine e la propria web reputation.
Con i 10 punti riassunti dal Regolamento europeo si passa dall’applicazione di una norma al singolo caso concreto all’enunciazione di principi generali che responsabilizza il Titolare del Trattamento a individuare le corrette misure per salvaguardare i dati trattati.
I ristoratori rientrano nelle categorie che, secondo quanto disposto dal Garante della Privacy, sono tenute a redigere il registro delle attività di trattamento come previsto dall’Art. 30 Regolamento UE 2016/79 (GDPR).
Il gestore dell’hotel o del ristorante è il soggetto responsabile della gestione dei dati dei clienti ed è tenuto a garantire che essi rimangano riservati. Il gestore dei dati deve agire sempre nel rispetto del GDPR tramite l’attivazione di tutte le configurazioni per una corretta gestione dei dati all’interno del software. Il management dell’azienda deve anche poter dimostrare di aver adottato tutte le misure tecniche ed organizzative necessarie per essere in linea con i principi del nuovo regolamento.
I vari tipi di dati e di trattamento
Per affrontare i dati oggetto del trattamento è opportuno partire dai cosiddetti trattamenti base: in questa tipologia rientrano i dati di lavoratori, fornitori e clienti. Per questi ultimi è errato pensare solo a chi entra per consumare velocemente al bancone rimanendo sostanzialmente anonimo. Per quanto riguarda l’adempimento è obbligatorio il Registro delle Attività di Trattamento solo per quelle categorie particolari di dati (va considerato che basta un solo dipendente per far scattare l’obbligo) ma è consigliabile prepararlo in ogni caso. L’obbligo riguarda anche le nomine del Responsabile e dell’Addetto al Trattamento così come le informative e la loro pubblicità tramite affissione, pubblicazione sul proprio sito web o via mail nel caso di informazioni commerciali.
Nel caso delle prenotazioni ci troviamo di fronte ad un tipico caso in cui si perde il proprio anonimato: ne consegue che va attuata una determinata politica sulla privacy a seconda delle situazioni che si ha di fronte. Nel caso di prenotazioni che contengono solo nome, data e orario non ci sono particolari misure da adottare ad eccezione del limite della conservazione della stessa prenotazione entro pochi giorni successivi. Conservare invece informazioni sulle intolleranze alimentari rappresenta un trattamento di dati sensibili a cui va garantito l’accesso solo alle persone strettamente necessarie. È consigliabile evitare la conservazione di queste informazioni facendo in modo che i clienti comunichino le proprie esigenze ogni qual volta consumino nel ristorante. Un discorso molto simile si può fare per le consegne a domicilio, per le quali si aggiunge l’indirizzo e l’ordinazione. In questi casi però bisogna prestare attenzione anche alla piattaforma online che viene usata per le consegne in merito a un ulteriore utilizzo dei dati personali da parte di quest’ultima.
I parametri per rendere compatibili i software con il GDPR
Se il titolare del ristorante, come abbiamo visto, è il responsabile della gestione dei dati personali all’interno del software gestionale a disposizione, l’azienda che fornisce il software è il Data Processor; quest’ultima deve attenersi alla normativa secondo cui il software deve essere conforme alle nuove regole sulla privacy sin dalla fase di progettazione.
Tra le azioni che dovrebbe intraprendere l’azienda utilizzatrice del software rientrano la chiamata di un consulente legale o esperto di privacy, l’affidamento dell’analisi dell’infrastruttura informatica ad un tecnico hardware, definire un periodo di conservazione dei dati dei clienti, predisporre informative chiare e richieste di consenso in linea con il GDPR e fornire un’adeguata formazione del personale sulla materia.
Vediamo ora quali sono alcuni parametri da considerare per rendere compatibile il software con il GDPR. Innanzitutto, l’acquisizione dei dati dei clienti: questa avviene nel caso di un ristorante quando l’ospite richiede l’emissione di una fattura e, di conseguenza, dovrà ricevere la copia dell’informativa per il trattamento dei dati personali.
In quest’occasione l’azienda può richiedere anche il consenso per l’invio di e-mail promozionali. Il software deve mettere a disposizione dell’utente la possibilità di recedere in qualunque momento dal consenso a ricevere comunicazioni di marketing e deve poter cancellare dal database tutti i suoi dati sensibili; per quest’ultimi si intende l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute (allergie), alla vita sessuale o all’orientamento sessuale della persona. Ricordiamo che è responsabilità del gestore mantenere nel database i dati di clienti per l’invio di comunicazioni promozionali per un limite massimo di tempo (ad esempio 2-3 anni).
Riguardo invece alla conservazione a fini fiscali dei dati personali dell’ospite, la durata è consentita dalla legge fino a un massimo di 10 anni: dopo questo termine i dati devono essere anonimizzati in automatico dal gestionale.
Si evince che gli utilizzatori di software gestionali devono configurare automatismi al loro interno per facilitare la corretta gestione dei dati.