Dal 25 maggio 2018 sarà direttamente applicabile il nuovo regolamento europeo 2016/679 sul trattamento dei dati personali, noto come GDPR (General Data Protection Regulation).
Il GDPR si fonda sul principio di trasparenza che richiede alle aziende di condividere con i diretti interessati le modalità di utilizzo dei loro dati e di tutelarne la gestione e l’archiviazione.
Col GDPR vengono stabiliti criteri rigorosi per la raccolta dei dati personali e il loro trasferimento al di fuori dell’Ue; vengono fissate norme di comportamento in caso di data breach, cioè falle nel sistema di protezione dei dati; viene introdotta la figura del DPO (Data Protection Officer) all’interno delle grandi aziende e nei soggetti pubblici.
In cosa si traduce l’attuazione del regolamento per un hotel o una struttura ricettiva? In quanto aziende che trattano i dati personali quotidianamente (come documenti, indirizzi email, dati bancari) è fondamentale definire un piano d’azione prima di mettere in pratica il GDPR.
Prima di tutto occorre fare un’attenta analisi della situazione attuale: quali i dati raccolti? Quali le modalità? Quali le finalità? Quali i soggetti che li utilizzano?
Successivamente a questo tipo di analisi dettagliata, sarà necessario redigere una privacy policy coerente con l’utilizzo dei dati raccolti e utilizzare infrastrutture tecnologiche sicure per la gestione dei dati. La Privacy Policy deve contenere le seguenti informazioni:
- Quali informazioni personali saranno raccolte.
- Come e perché vengono raccolti i dati.
- Come vengono usati i dati.
- Come vengono protetti i dati.
- Le terze parti, se ce ne sono, con accesso ai dati e le loro finalità di utilizzo.
- Se e quali cookie vengono utilizzati.
- In che modo gli utenti possono controllare qualsiasi aspetto dei loro dati.
- Chi è il responsabile del trattamento dei dati e come contattarlo.
- Se vengono usati o meno i dati per prendere decisioni automatizzate.
- Qual è la base legale per il trasferimento dei dati.
Una volta adottate tutte le misure precauzionali e completata la Privacy Policy, sarà necessario verificare eventuali gap nel processo di raccolta dati, e pianificare le azioni di rimedio da intraprendere. Dovranno essere effettuati audit periodici e aggiornare procedure e informativa almeno con cadenza annuale.
Eventuali violazioni dei dati personali (data breach) dovranno necessariamente essere notificate al Garante Privacy e, se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, anche a tutti gli interessati.
La materia è certamente complessa e ricca di sfaccettature e in questo modo abbiamo voluto dare giusto una panoramica. Errequadro a breve organizzerà un evento formativo inerente il GDPR con esperti del settore che potranno chiarire tutti i dubbi. Seguiteci per avere informazioni sull’evento.