LA PRIVACY NEI B&B
NOTE SINTETICHE
L’Associazione Bed & Breakfast “Rive d’Abruzzo” di Roseto mi chiede, nella mia veste di operatore della privacy, se vi sia qualche azione da porre in essere da parte delle strutture associate in vista della piena operatività, nell’ordinamento giuridico italiano, del Regolamento europeo 2016/679 a partire dal 25 maggio prossimo.
A tale proposito ritengo si possa dire che la gestione di un B&B, nonostante alla luce del diritto vigente non sia un’attività che viene svolta professionalmente (la legge stabilisce che questo genere di accoglienza turistica, che offre ospitalità saltuaria o per ricorrenti periodi stagionali utilizzando parte dell’abitazione, “non costituisce esercizio di attività imprenditoriale” – infatti non è richiesta l’iscrizione al registro delle imprese), comunque venga in qualche modo investita dalle modifiche apportate dalla nuova normativa sulla privacy.
PREMESSA. Per inquadrare il problema preciso in premessa che nel caso specifico di gestione del B&B, almeno per la gran parte dei casi, vengono trattati solo i dati personali comuni di chi chiede disponibilità di accoglienza, o di chi poi diventa ospite della casa (nome, cognome, data di nascita, codice fiscale, telefono e indirizzo email, estremi di un documento d’identità in caso di pernottamento), con la sola eccezione dei casi in cui venga ospitato un portatore di handicap: in tale occasione, per poter esonerare l’ospite dal pagamento della tassa di soggiorno, occorre raccogliere (e trasmettere al Comune) apposita dichiarazione (completa di consenso) su un modello fornito dal Comune stesso. I minori vengono accolti solo se accompagnati da chi ne ha la potestà genitoriale o la tutela, e i loro dati vengono trattati dal gestore di B&B. I dati vengono poi inviati – online – solo alla Pubblica Amministrazione (al Comune e la Regione per le statistiche, al Ministero degli Interni per la sicurezza) e non profilati.
1. SICUREZZA. Anzitutto, a mio parere viene confermata l’adozione, in questo caso specifico da parte del gestore di B&B, dei sistemi semplificati di sicurezza previsti dal Codice privacy attualmente vigente (fino al 25 maggio), di cui probabilmente ogni struttura di accoglienza già dispone, e quindi:
(i) codice di identificazione che individui in modo univoco una sola persona (username)
(ii) password di almeno 8 caratteri, che non contenga riferimenti riconducibili a chi accede ai dati, da modificare ogni 6 o 3 mesi e che sia conosciuta solo dalla persona che accede ai dati
(iii) aggiornamenti periodici degli antivirus e di quei programmi elettronici che proteggono i dati dalle intrusioni.
Su questo argomento, pertanto, non mi pare che il Regolamento riservi particolari novità o insidie.
2. INFORMATIVA. Ritengo invece che l’informativa vada aggiornata ai requisiti richiesti dalla nuova normativa (v. elenco di cui all’art. 13 del Regolamento europeo) e che detta informativa vada esposta nei locali in cui l’ospite viene ricevuto; ma soprattutto è importante che tale documento usufruisca di un apposito spazio ad esso dedicato, molto ben dichiarato e accessibile, nel sito web del B&B; a proposito di ciò, ho elaborato il documento esplicativo che riporto in calce, di seguito alla presente esposizione, rimandando ad esso per le poche istruzioni per l’uso dell’informativa e per i contenuti che la stessa, sempre a mio avviso, dovrà racchiudere. Chiedo che tutto quanto in esso riportato venga esaminato con attenzione, in modo da rendere coerenti pratica concreta e normativa.
3. REGISTRO DEI TRATTAMENTI. Infine, resto persuaso che in questo, come in quasi tutti i casi di attuazione della nuova normativa privacy, sia necessario che il gestore di B&B adotti il Registro dei trattamenti (elettronico o cartaceo), ove inserire i dati di cui all’art. 30 del Regolamento europeo, che sinteticamente si possono così elencare:
(i) identificazione del titolare del trattamento dei dati personali,
(ii) descrizione dei trattamenti realizzati e di quali siano le finalità dei trattamenti, elenco delle categorie di dati personali trattati e delle categorie di interessati, nonché degli eventuali terzi destinatari dei dati personali trattati,
(iii) il tempo di conservazione dei dati personali trattati,
(iv) una descrizione delle misure di sicurezza adottate per prevenire i rischi di distruzione o perdita anche accidentale dei dati personali trattati o di accessi non autorizzati.
A proposito dell’adozione del Registro dei trattamenti, in effetti ritengo che l’ultimo comma dell’art. 30 del Regolamento europeo non lasci scelta, e che obblighi tutti gli operatori a dotarsi di detto registro: la norma infatti contiene un elenco talmente ampio che le eccezioni a mio parere potranno contarsi. Mi risulta anche che il Garante Privacy italiano si sia prudenzialmente pronunciato nel senso di auspicare che con l’avvento della nuova normativa tutti i soggetti coinvolti si dotino del registro, anche perché in caso di controlli di qualunque tipo la consultazione di un documento come quello rende tutto più semplice per chi effettua il controlli.
Fernando Rubino
Specialista in protezione dei dati personali
e Data Protection Consultant
REQUISITI DELL’INFORMATIVA PER I BED & BREAKFAST
NELLA PAGINA “PRENOTA” INSERIRE L’ESPRESSIONE:
Sì, ho letto l’informativa sul trattamento dei dati personali ☑
N.B.: Nel rispetto della vigente normativa sul trattamento dei dati personali, il Suo messaggio potrà essere inviato solo se dichiara di aver letto l’informativa sul trattamento dei dati personali.
———————
Resta inteso che l’invio del messaggio riguardante la richiesta di disponibilità o la prenotazione è condizionato non solo dall’inserimento nel modo opportuno dei dati obbligatori riguardanti la richiesta, ma anche dall’apposizione del “flag” all’interno del quadratino posto accanto alla suddetta espressione]
NELLA PAGINA “HOME”, O ANCHE IN OGNI PAGINA, IN CALCE, DEVE APPARIRE IL PULSANTE “INFORMATIVA PRIVACY” (O ANALOGO TITOLO), AUTONOMO DA QUELLO RIGUARDANTE I “COOKIES”.
PREMENDO DETTO PULSANTE DEVE APPARIRE IL SEGUENTE DOCUMENTO:
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
Alla luce della normativa europea fissata con il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla libera circolazione dei dati (di seguito Regolamento UE), la informiamo che i suoi dati saranno trattati esclusivamente allo scopo di dare seguito alla sua richiesta riguardante l’esecuzione di misure precontrattuali, ed eventualmente ottemperare agli obblighi di Contratto.
A tale proposito le forniamo le seguenti ulteriori informazioni:
Titolare del Trattamento dei dati personali
Titolare del trattamento dei suoi dati personali ai sensi e per gli effetti del Regolamento UE è………………………………………………………….., nella sua qualità di Gestore del B&B……………………………………………………………, sito in …………………………………………………………., via……………………………………………………………….. n……….., email……………………………………………….., tel………………………………………….
Finalità del trattamento dei dati personali
Le finalità del trattamento dei suoi dati personali sono legate all’adempimento degli obblighi connessi ai rapporti negoziali e prenegoziali con lei intercorrenti; i dati saranno inoltre trattati per finalità connesse alla gestione di un’efficace relazione commerciale, come ad es.:
- per l’inserimento dei dati liberamente comunicati nelle anagrafiche informatiche della struttura di accoglienza,
- per la corretta tenuta della contabilità,
- per la tutela del credito,
- per ottemperare agli adempimenti normativi di carattere fiscale.
Comunicazione a terzi dei dati personali
I suoi dati potranno essere comunicati a:
- dipendenti o collaboratori che abbiano necessità di gestire i dati per la corretta gestione dei rapporti contrattuali, nei limiti strettamente pertinenti alle finalità di cui sopra;
- Società o altri soggetti di diritto, qualificati nel settore informatica, della cui collaborazione il Gestore del B&B si avvale;
- Società o altri soggetti di diritto la cui attività è finalizzata alla gestione contabile, fiscale e amministrativa del contratto, nonché alla tutela del credito e ad altre attività connesse; tali soggetti gestiranno i dati sulla base di atti negoziali, idonei a garantire l’obbligo di riservatezza e la correttezza nel trattamento dei dati stessi e potranno comunicare i dati raccolti nei limiti in cui ciò sia funzionale all’esecuzione del contratto,
- Istituti bancari incaricati di incassi e pagamenti;
- Organi della Pubblica Amministrazione, per l’espletamento dei loro compiti d’istituto in attuazione di disposizioni di legge.
Trasferimento dei dati personali verso Stati non appartenenti all’Unione Europea
I suoi dati non potranno essere trasferiti a un Paese terzo rispetto a quelli aderenti alla Comunità europea o a un’organizzazione internazionale extra UE.
Periodo di conservazione dei dati personali
I suoi dati saranno conservati per un periodo di tempo adeguato alla realizzazione delle finalità del trattamento dei dati personali sopra illustrate; in particolare, i criteri di comportamento in relazione al periodo di tempo di conservazione dei dati personali si richiameranno esclusivamente alla necessità di conservare i suoi dati fino a che sussisterà un interesse giustificabile, connesso al raggiungimento degli scopi per i quali sono stati raccolti e trattati.
Diritto di accesso ai propri dati personali
In ogni momento lei potrà esercitare, nei confronti del Titolare del trattamento, il diritto di chiedere l’accesso ai suoi dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che la riguarda, oltre al diritto alla portabilità dei dati. Inoltre, lei potrà in ogni momento esercitare il diritto di proporre reclamo al Garante per la protezione dei dati personali.
Processo decisionale automatizzato
Il trattamento dei dati personali di cui al presente atto non sarà sottoposto ad un processo decisionale automatizzato, compresa la profilazione, di cui all’art. 22, par. 1 e 4, del Regolamento UE.
Sicurezza dei dati
Il Gestore del B&B, come sopra identificato quale Titolare del trattamento dei suoi dati personali, assicura, infine, che i dati raccolti per le finalità di cui alla presente informativa saranno trattati con e senza l’ausilio di mezzi elettronici, adottando misure organizzative, fisiche e logiche idonee a garantirne la sicurezza e la riservatezza, secondo i principi di liceità, correttezza e trasparenza fissati dalla normativa europea in tema di trattamento dei dati personali delle persone fisiche e libera circolazione di tali dati.