Il canale pizzeria, come gli altri format ristorativi, deve agire con la massima discrezione e attenta osservanza delle norme nel momento in cui chiede a ogni cliente di fornire i propri dati personali. Una disposizione particolarmente delicata, inserita nei provvedimenti governativi degli ultimi mesi. Quali sono le cose da sapere per evitare di incappare in rigide sanzioni pecuniarie, che possono anche comportare un’ammenda massima di 20 milioni di euro?
Lo abbiamo chiesto a Riccardo di Santo, avvocato dello studio legale milanese CBM & Partners.
I ristoranti possono chiedere dati personali ai loro clienti nell’ambito della emergenza Covid-19?
Ai sensi delle linee guida per la riapertura delle attività economiche produttive e ricreative dell’8 ottobre 2020, allegate al Dpcm del 3 dicembre 2020, gli esercizi di somministrazione di pasti e bevande che dispongono di posti a sedere, devono - tra le altre disposizioni - mantenere un elenco dei clienti per un periodo di 14 giorni. Il termine di conservazione può tuttavia variare fra le Regioni, vista la preminenza delle linee guida regionali su quelle nazionali.
Che accorgimenti devono osservare i ristoratori per il trattamento dei dati personali?
Nel momento in cui i ristoratori trattano i dati personali dei clienti per le finalità di prevenzione sanitaria, essi diventano a tutti gli effetti “titolari del trattamento” e sono quindi soggetti alle disposizioni del Regolamento (UE) 679/2016 (cosiddetto Gdpr). Il tema è ovviamente complesso, dovendo il ristoratore effettuare una seria valutazione interna del processo di trattamento alla luce del Gdpr e avvalendosi, nel caso, di un consulente ad hoc. I dati raccolti nel quadro dell’emergenza Covid-19 sono dati relativi alla salute, appartenenti alla categoria dei “dati particolari” (art.9 del Gdpr) e, come tali, assoggettati a una più rigida disciplina, soprattutto in tema di adeguatezza delle misure di sicurezza. Inoltre, ove siano integrate le condizioni richieste dal Gdpr, il ristoratore ha altresì l’ulteriore necessità di approntare il registro dei trattamenti, la nomina di un Responsabile della Protezione dei Dati (DPO) e/o lo svolgimento di una valutazione d’impatto della protezione dei dati (DPIA).
Quali informazioni deve dare ogni ristoratore alla propria clientela?
Al cliente deve essere resa un’adeguata informativa ai sensi dell’art.13 Gdpr contenente, ad esempio, identità del titolare del trattamento, finalità, la base giuridica, durata del trattamento e relativi diritti che l’interessato può esercitare (l’accesso ai dati, il diritto alla cancellazione degli stessi etc). L’informativa può essere resa per iscritto od oralmente, come è stato esplicitato dal Garante della Privacy. Tuttavia, il ristoratore deve essere sempre in grado di dimostrare un trattamento conforme al Gdpr. È dunque consigliabile fornire un’informativa scritta, da consegnare quando il cliente accede al ristorante, predisponendo anche un’idonea procedura al riguardo. La mancata fornitura dei dati personali da parte del cliente comporta la contestuale rinuncia ad accedere al ristorante.
Che sanzioni potrebbero essere inflitte a scapito dell’esercente, se non dovesse trattare in maniera conforme i dati personali dei clienti?
Il mancato rispetto della normativa comporta sanzioni pecuniarie, le quali devono essere in ogni caso effettive, proporzionate e dissuasive. In particolare, le violazioni meno gravi sono soggette a sanzioni fino a un massimo di 10.000.000 euro o, per le imprese, fino al 2% del fatturato; le violazioni più gravi sono invece soggette a sanzioni fino a un massimo di 20.000.000 euro o, per le imprese, fino al 4% del fatturato. Resta, inoltre, salvo il diritto di chiunque subisca un danno materiale o immateriale causato da una violazione del Gdpr a ottenere il risarcimento del danno dal titolare del trattamento.
Testi: C+C Cash & Carry. Tutti i diritti riservati. È vietato prelevare e riprodurre immagini e testi.
È permesso riprendere brevi citazioni, a condizione che sia indicata la fonte.