L’Overbooking e la tutela del viaggiatore per il negato imbarco
21 Marzo 2018GDPR: LA ROAD MAP PER LE AZIENDE
21 Aprile 2018Il nuovo regolamento europeo sulla protezione dei dati personali prevede varie tipologie di “trattamento dati”, cui ricollega conseguenze diverse.
L’art. 4, comma 1, n. 23) del Regolamento 679/2016 definisce il concetto di «trattamento transfrontaliero», individuando due distinte fattispecie.
La prima, riguarda il trattamento di dati personali effettuato da un titolare residente in uno Stato Membro, ma avente più “stabilimenti” (diremmo, con gergo a noi più familiare, “sedi operative”) nel territorio di vari stati membri.
La seconda ipotesi riguarda, invece, il trattamento di dati personali che abbia luogo nell’ambito delle attività svolte in un solo stabilimento di un titolare che abbia sede solo in uno stato dell’Unione, ma che incida, o probabilmente incida, in modo sostanziale, su interessati residenti in più di uno Stato membro.
La vocazione turistica della nostra Penisola e della nostra riviera, impone una riflessione.
Le strutture ricettive italiane trattano tutte, chi più, chi meno, dati personali di ospiti provenienti da svariati paesi dell’Unione Europea (anche extra-europei, ma per quanto qui interessa, rilevano solo quelli dell’Unione Europea).
Tale trattamento pare proprio essere, a tutti gli effetti, un trattamento transfrontaliero.
Una delle possibili conseguenze è che l’autorità competente a ricevere e a trattare eventuali reclami (e a gestire le conseguenti indagini ed ispezioni) potrebbe anche non essere l’autorità italiana (quella che oggi chiamiamo il “Garante privacy” e dopo il 25 maggio 2018 dovremmo chiamare: ”Autorità di controllo”).
Se, ad esempio, la violazione dei dati dovesse riguardare unicamente ospiti francesi, potrebbe pervenirci l’ispezione direttamente da parte dell’autorità di controllo francese.
Diventa, quindi, molto importante, anche, ma non solo, per questa ragione, prestare molta attenzione alla gestione di tutte le informazioni personali raccolte dal titolare della struttura ricettiva (dati anagrafici, dati bancari, numeri di carte di credito, indirizzi email, numeri telefonici, copie di documenti, fotografie, ecc.) alla luce dei nuovi principi e delle nuove limitazioni imposte dal GDPR.
Può essere l’occasione anche per rivedere le procedure in sede di accoglienza, quali la registrazione degli ospiti, la gestione, la conservazione dei registri, ecc., nonché per riesaminare eventuali prassi che oggi diamo per scontate (quali gli auguri di Natale, per esempio) e che non lo saranno più dopo il 25 maggio.
Ancora una volta (ribadendo quanto già detto in precedenza) un gestionale adeguato al GDPR aiuta e non poco.
Avv. Francesco Cucci
Se sei un’azienda o un professionista e necessiti di una consulenza, contattami ai recapiti che trovi qui o sulla home page del sito, anche solo per un preventivo.
Nel fornire la consulenza mi avvalgo, oltre che dei miei collaboratori di studio, anche delle competenze tecniche di un consulente
IT, selezionato per la comprovata esperienza nel campo della Data Protection e della certificazione di qualità.
