È molto comune, anche nelle attività alberghiere e di ristorazione, richiedere ai clienti di lasciare dati personali, mail e numeri telefonici per informarli su iniziative, promozioni o eventi. Il soggetto dovrà prestare consenso in modo libero ed esplicito, non è ammesso un consenso tacito o presunto.
Come senz’altro saprete, il 25 maggio è entrato in vigore un nuovo regolamento sulla protezione dei dati personali nonché sulla libera circolazione dei dati, per precisione il Regolamento Ue 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016. La nuova legge unifica le norme europee in materia tenendo conto dei velocissimi cambiamenti avvenuti nel mondo digitale; si applica ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.
Obiettivo della legge è tutelare il nostro diritto ad avere il pieno controllo delle informazioni che ci riguardano: il primo paragrafo del regolamento afferma, infatti, che la protezione del trattamento dei dati personali è un diritto fondamentale dell’individuo. L’introduzione di questa nuova legge sulla privacy non deve essere sottovalutata ma, al contrario, deve essere presa in seria considerazione sia per avere il controllo delle informazioni che ci riguardano personalmente sia per le informazioni che riguardano le persone con cui abbiamo a che fare per la nostra attività lavorativa.
Da ora in poi bisognerà sapere che la nuova legge introduce sanzioni di non poco conto per chi viola le disposizioni previste: infrangere la regola dell’acquisizione del consenso, ad esempio, potrà comportare una multa fino al 4% del fatturato annuo e fino a 20 milioni di euro. Il consenso al trattamento dei dati personali, così come accadeva prima, andrà acquisito informando compiutamente il soggetto interessato che dovrà prestare il proprio consenso in modo libero ed esplicito e cioè in nessun caso sarà ammesso un consenso tacito o presunto.
La legge introduce anche il cosiddetto “diritto all’oblio” e cioè la possibilità che l’interessato chieda di rimuovere per sempre le sue informazioni personali oltre alla già prevista possibilità di fare richiesta di cancellazione, contattando il responsabile del trattamento dati se i dati personali vengono utilizzati illecitamente. Alle aziende che subiscono fughe di informazioni sensibili (data breach), è stato fatto carico dell’obbligo di comunicarlo agli utenti interessati entro 72 ore.
È stata prevista l’introduzione di un Responsabile di protezione dei dati (Dpo) che dovrebbe essere un soggetto che assicura e controlla con indipendenza la corretta gestione dei dati personali: in realtà non è ancora bene chiaro cosa sia, che compiti e quali competenze debba avere anche perché è una figura professionale ancora pressoché mancante. Nel caso, infine, in cui si ritenga che i propri diritti siano stati violati si può presentare una denuncia all’autorità nazionale che dovrà indagare e rispondere entro tre mesi. Insomma, bisogna necessariamente dedicare attenzione a questa nuova legge europea.
Per informazioni e consulenze:
Studio Avv. Verdirameviale Vittorio Veneto 10 - Milano
Tel 02 29521121
s.verdirame@studioverdirame.it