Business | Articoli

Affitto casa vacanze e b&b: adempimenti privacy

14 Agosto 2018 | Autore:
Affitto casa vacanze e b&b: adempimenti privacy

Che cosa cambia col nuovo Gdpr per chi stipula un contratto di affitto breve e per i bed and breakfast: informativa trattamento dati, consenso, adempimenti obbligatori.

Affitti camere, case vacanza, oppure hai un bed and breakfast? È proprio il caso di dire che i cambiamenti, nell’organizzazione della tua attività, non finiscono mai: l’anno scorso un bel po’ di confusione è stata generata dall’introduzione della tassa Airbnb, con la ritenuta d’acconto operata direttamente da portali e intermediari; quest’anno è il turno del Gdpr, il nuovo regolamento europeo sulla privacy. Questo nuovo regolamento comporta dei profondi cambiamenti nella gestione dei dati personali, e diversi adempimenti aggiuntivi: tutti coloro che trattano dei dati personali sono obbligati ad adeguarsi al Gdpr, comprese le strutture ricettive. Non c’è differenza tra alberghi a 5 stelle, b&b e case vacanza: la normativa europea trova applicazione solo in virtù del trattamento dei dati, indipendentemente dalle dimensioni della struttura. Che cosa devi fare, allora, se gestisci un b&b o affitti delle abitazioni per brevi periodi? Facciamo il punto su affitto casa vacanze e b&b: adempimenti privacy, che cosa cambia e quali sono i nuovi adempimenti.

Che cos’è il Gdpr?

Il Gdpr, che sta per “General Data Protection Regulation” è un regolamento europeo [1], entrato in vigore il 25 maggio 2018: si tratta del nuovo regolamento europeo relativo alla protezione dei dati personali delle persone fisiche ed alla loro libera circolazione.

Chi si deve adeguare al Gdpr?

Col Gdpr cambiano le regole per tutti coloro che devono gestire dati personali: la normativa non si riferisce solo alle grandi società ed alle pubbliche amministrazioni, ma a qualsiasi soggetto a cui l’utente comunica i suoi dati personali, se il trattamento di queste informazioni presenta dei rischi specifici.

Lo sviluppo tecnologico e la globalizzazione, infatti, oltre agli innumerevoli vantaggi, comportano un rischio per la privacy di ognuno e per la protezione dei dati personali, la cui condivisione e raccolta è aumentata in modo esponenziale. Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza.

Secondo la nuova disciplina europea, devono dunque conformarsi alle prescrizioni dettate in punto di privacy tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici. Il regolamento, comunque, si applica solo al trattamento di dati personali delle persone fisiche.

Che cosa cambia col Gdpr?

Il Gdpr impone obblighi stringenti ed introduce nuove responsabilità, volte a garantire maggiori misure di sicurezza a protezione dei dati personali, sin dalla progettazione del sistema di trattamento degli stessi. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, finalizzate a garantire che l’assenso dell’interessato sia sempre preventivo e inequivocabile; definisce i limiti al trattamento dei dati personali, assicurando la possibilità di revocare il consenso in qualsiasi momento; stabilisce il principio di minimizzazione, secondo il quale devono essere richieste solo le informazioni indispensabili, secondo la finalità del trattamento; adotta ogni misura necessaria per prevenire la violazione dei dati e stabilisce sanzioni severe se le informazioni gestite vengono violate.

Inoltre, la nuova disciplina in tema di trattamento di dati personali prevede un concetto nuovo e sinora sconosciuto: la scadenza dei dati. Ciò significa che nel momento in cui l’azienda, l’amministrazione, o il lavoratore autonomo, entrano in possesso dei dati degli utenti, non è possibile tenerli per sempre. Di conseguenza, chi raccoglie dei dati, nella propria informativa privacy, deve specificare il tempo entro il quale il dato sensibile viene trattato, scaduto il quale il trattamento diventa illegittimo.

Che cosa significa privacy by default?

Il principio di privacy by default, al quale fa riferimento il Gdpr, comporta l’obbligo di tutelare la privacy dei cittadini di default, cioè come impostazione predefinita di chi tratta i dati, amministrazione, privato o azienda. In altri termini, chi tratta i dati personali deve necessariamente dotarsi di un sistema idoneo a proteggerli adeguatamente e ad evitare il rischio di una loro violazione.

Che cosa significa privacy by design?

Il principio di privacy by design, invece, implica l’obbligo di proteggere i dati sin dalla progettazione del loro processo di gestione. In parole semplici, ogni azienda o amministrazione deve effettuare una valutazione preventiva dei rischi legati alla privacy che la gestione dei dati personali comporta.

Chi è il Dpo?

Il Gdpr ha introdotto anche la nuova figura del Responsabile della Protezione dei Dati Personali, detto Rpd o Dpo. Si tratta di un soggetto, in possesso di specifici requisiti, che ha il compito di garantire la tutela della privacy all’interno dell’azienda, o dell’amministrazione, attraverso vari strumenti (verifica della corretta applicazione del Regolamento, formazione del personale…).

La responsabilità principale del Dpo è quella di sovraintendere alla gestione del trattamento di dati personali effettuata dalle aziende, dai professionisti e dalle amministrazioni, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

È obbligatorio nominare un Dpo per i b&b e per chi affitta case vacanza?

La nomina del Dpo non dipende dalle dimensioni dell’attività, ma dalla mole e dalla complessità dei dati gestiti. Il regolamento, in particolare, stabilisce che la nomina del Dpo è obbligatoria per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuano un monitoraggio regolare e su larga scala delle persone fisiche, oppure trattano su larga scala categorie particolari di dati personali (dati sensibili). Anche se il regolamento non impone in modo specifico la designazione di un Dpo, in determinati casi, può risultare utile procedere alla sua nomina su base volontaria.

Chi è il titolare del trattamento dati?

Il titolare del trattamento dei dati è la persona fisica, l’impresa, la pubblica amministrazione, l’associazione, etc., cui fa capo effettivamente il trattamento di dati personali e alla quale spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo (comprese le misure di sicurezza).

Ad esempio, se affitti case vacanza o sei proprietario di un B&B, sei tu il titolare del trattamento dei dati.

Chi è l’interessato?

L’interessato è la persona cui si riferiscono i dati personali (ad esempio il cliente, nel caso del b&b o dell’affitto breve).

Chi è l’incaricato?

L’incaricato può essere un dipendente o un collaboratore che, per conto del titolare del trattamento dei dati, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare medesimo (o dal responsabile/ Dpo, se designato).

Quali sono gli adempimenti obbligatori in materia di privacy per i b&b e l’affitto case vacanza?

Per chi gestisce un b&b o affitta per brevi periodi, risulta indispensabile raccogliere i dati dei clienti/ospiti, soprattutto se si ha un sito web. Per quanto riguarda il trattamento dati, bisogna innanzitutto distinguere quelli raccolti online da quelli raccolti offline. Per ogni trattamento, devono essere comunicate all’interessato le finalità e le modalità del trattamento stesso, mediante un’apposita informativa.

Se offri la possibilità ai clienti di iscriversi a una newsletter, devi redigere un’informativa specifica in cui elenchi i dati acquisiti, le modalità e le finalità del trattamento.

Se nel tuo sito ci sono dei moduli di contatto, devi inserire un link che rimandi a un’apposita informativa.

Ricorda che, in tutti i casi, devi raccogliere i dati conformemente al principio di minimizzazione: devi, cioè, richiedere soltanto le informazioni indispensabili, a seconda delle finalità per cui tratti i dati personali.

Infine, non dimenticare che devi adottare delle misure idonee a proteggere i dati acquisiti, come password, crittografia e antivirus, per minimizzare il rischio di abusi nel loro trattamento.


note

[1] Regolamento UE n. 679 del 04/05/2016.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube