+39 091 33 65 29
Il 25 maggio è entrato in vigore il nuovo regolamento europeo in materia di protezione dei dati personali, introducendo importanti novità per gli operatori economici, “comprese le micro, piccole e medie imprese”. Agenzie e tour operator devono fare attenzione soprattutto ai contenuti dell’informativa sulla privacy, alle modalità di esercizio dei diritti dell’interessato, alla portabilità dei dati e alla contitolarità del loro trattamento. Anche per evitare di incorrere nelle nuove sanzioni, amministrative e penali, il Garante ha già predisposto una guida ad hoc.
Come risulta dal “Considerando n. 13”, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, è stato pensato “per assicurare un livello coerente di protezione delle persone fisiche in tutta l’Unione e prevenire disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno”, garantendo “certezza del diritto e trasparenza agli operatori economici, comprese le micro, piccole e medie imprese”.
Per scongiurare qualunque dubbio di natura interpretativa, rendendone certa l’applicazione agli agenti di viaggio e ai tour operator, l’art. 4, punto 18), contiene la corrispondente definizione di impresa: “la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica”.
Al punto 19), invece, vi è quella di gruppo imprenditoriale: “gruppo costituito da un’impresa controllante e dalle imprese da questa controllate”.
Tra le novità segnalate ci sono i contenuti dell’informativa, elencati agli artt. 13 e 14 del regolamento. Con riferimento ai primi, oltre a indicare il periodo di conservazione dei dati, l’eventuale profilazione dei clienti e le relative conseguenze, è bene ricordare che il titolare del trattamento deve specificare le informazioni di contatto del Data Protection Officer, la base giuridica del trattamento, il suo interesse legittimo, l’eventuale trasferimento dei dati personali in Paesi terzi e gli strumenti a tal fine predisposti.
Per quanto concerne le modalità di presentazione dei contenuti, nella guida all’applicazione il Garante ricorda che essi devono risultare da una nota “concisa, trasparente, intellegibile per l’interessato e facilmente accessibile”, redatta con “un linguaggio chiaro e semplice” e resa idonea ai minori, anche avvalendosi di icone, “ma solo ‘in combinazione’ con l’informativa estesa (art. 12, paragrafo 7)”.
In tema di diritti degli interessati (accesso, cancellazione e limitazione del trattamento), il Garante ricorda altresì che “spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti”.
Va menzionato a parte, invece, il nuovo diritto alla portabilità dei dati (art. 20). In linea di massima, si sostanzia nel trasferimento a un altro titolare indicato dall’interessato e, “se tecnicamente possibile”, si applica solo ai trattamenti automatizzati delle informazioni ottenute con il consenso esplicito dell’interessato; per i quali – ricorda il Garante – è richiesto un “formato interoperabile”.
Meno complessa appare la disciplina sulla contitolarità del trattamento (art. 26) che “impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente”.
In altri termini, ai fini di un eventuale risarcimento del danno causato dal trattamento dei dati, è necessario redigere un documento con il quale si designa un responsabile del trattamento, il quale può essere coadiuvato da uno o più soggetti incaricati di specifiche attività.
Pertanto, è consigliabile rivolgersi a un professionista di fiducia. Chi volesse essere assistito dallo studio Sidoti & Soci può fissare un appuntamento telefonando al n. 091.336529, utilizzando il modulo di contatto o inviando una email al seguente indirizzo: info(AT)studiolegalesidoti.eu.
Al di là dei profili penali, per i trasgressori è prevista una sanzione amministrativa che può arrivare al 4% del fatturato complessivo dell'impresa.