In questi giorni non si parla d’altro: il 25 maggio 2018 entrerà in vigore il Regolamento dell’Unione Europea sulla protezione dei dati personali, il famigerato GDPR (“General Data Protection Regulation”).
Cosa cambia esattamente e cosa devi fare per adeguarti alla nuova normativa? Ti raccontiamo alcune delle principali novità del nuovo Regolamento Europeo per la privacy e cosa stiamo facendo noi di TITANKA!.
A chi si applica il nuovo Regolamento Europeo per la privacy?
Il Regolamento UE 2016/679 (GDPR) si applica a qualsiasi azienda o organizzazione che, durante lo svolgimento della propria attività, tratti dati personali o monitori il comportamento delle persone a fini di marketing. Non stiamo parlando esclusivamente di grandi aziende: il Regolamento si applica sia alle grandi società, sia alle piccole e medie imprese a prescindere dalle dimensioni.
Con l’espressione “dati personali” la legge intende tutte le informazioni che identificano una persona fisica e che contribuiscono a rivelare caratteristiche, abitudini, stato di salute, relazioni personali e situazione economica.
È applicabile anche alle strutture turistiche? Certamente. Anche le strutture turistiche sono aziende che raccolgono dati personali sui propri ospiti. Nello specifico, una struttura turistica non detiene esclusivamente i dati anagrafici degli ospiti: ad esempio, l’ospite potrebbe richiedere un menu speciale al ristorante dell’hotel per credo religioso o per problemi di salute; si tratta, dunque, di dati sensibili ai quali l’albergatore ha accesso e che devono essere trattati in ottemperanza della normativa vigente. Lo stesso può accadere, ad esempio, all’interno di una PMI che abbia una mensa.
Cosa cambia con l’introduzione del GDPR: le principali novità.
Il consenso e l’informativa sulla privacy.
Rispecchiando l’attuale normativa – il D.Lgs. 196/2003 o Codice della Privacy – il trattamento dei dati deve seguire i princìpi di liceità, correttezza e trasparenza: il consenso al trattamento per i dati sensibili dovrà essere esplicito, così come il consenso alla profilazione e ad altri trattamenti automatizzati. Se il consenso è stato raccolto precedentemente all’entrata in vigore del GDPR, in maniera lecita, corretta e trasparente, allora potrà considerarsi valido. Altrimenti, sarà necessario richiedere nuovamente il consenso al trattamento dei dati ai contatti presenti sul tuo database.
Il RDP e il Registro dei Trattamenti.
Il nuovo Regolamento introduce la figura del Responsabile della Protezione dei Dati personali (RDP o DPO dall’inglese Data Protection Officer), che avrà l’obbligo di tenere un Registro dei Trattamenti svolti e di adottare misure tecniche e organizzative per garantire la sicurezza dei dati.
Diritto di accesso ai dati, diritto all’oblio e diritto alla portabilità.
Il Titolare del trattamento dei dati è tenuto a fornire una copia dei dati in suo possesso agli interessati che ne facciano richiesta e a comunicare loro come vengono conservati. Vengono introdotti anche il cosiddetto “diritto all’oblio”, ovvero la possibilità di richiedere la cancellazione dei propri dati personali, e il diritto alla portabilità dei dati, secondo cui è possibile “spostare” il trattamento dei propri dati personali da un Titolare a un altro.
L’accountability ovvero la “responsabilizzazione”.
I Titolari e i Responsabili del trattamento dei dati dovranno impegnarsi a trattare i dati personali in loro possesso dando prova di rispettare il nuovo Regolamento:
- Configurando delle misure di sicurezza per la protezione dei dati (Data Protection by default and by design);
- Facendo una valutazione del rischio di impatto negativo sui diritti degli interessati;
- Predisponendo un registro dei trattamenti;
- Documentando eventuali violazioni di dati personali e dandone notifica all’Autorità e ai diretti interessati entro 72 ore (se la violazione comporta un rischio per gli interessati, in base alla valutazione fatta in precedenza).
Cosa sta facendo TITANKA! per adeguarsi al GDPR?
La nostra azienda ha già recepito il nuovo Regolamento e ha stilato un documento in cui descrive la politica aziendale per la sicurezza delle informazioni. Nel documento sono elencati tutti gli adempimenti e le procedure applicate per i nostri clienti.
Leggi la politica aziendale di TITANKA! per la protezione dei dati personali!
Cosa devi fare tu per essere in regola con il GDPR?
- Verifica chi detiene i dati in tuo possesso: che tu abbia un’azienda o sia titolare di una struttura ricettiva, se usi dei gestionali, i dati dei tuoi clienti saranno elaborati per te dall’azienda che ti fornisce il gestionale; in questo caso, dovrai assicurarti che l’azienda sia in regola con il GDPR.
- Controlla il tuo database clienti: come hai raccolto i dati? Se non sei certo di aver rispettato i princìpi di liceità, correttezza e trasparenza richiesti dal GDRP, richiedi nuovamente il consenso esplicito al trattamento dei dati personali facendo una campagna di email marketing; chiedi ai tuoi clienti di verificare le informazioni che ti hanno lasciato e confermare le loro scelte (campagna di repermissioning).
- Nomina un DPO (Data Protection Officer): se ritieni di non avere all’interno del tuo organico una figura adatta, rivolgiti a un esperto esterno.
- Controlla la tua Informativa per la Privacy e, se necessario, riscrivila adeguandoti alla nuova normativa.
- Chiedi una consulenza a un esperto sui temi della privacy e della protezione dei dati: un esperto potrà consigliarti sulle migliori azioni da fare per adeguare la tua azienda o la tua struttura turistica al GDPR.