respirator-mask-with-passport-and-keys-on-a-counter-personal-picture-id1216011745

Settore alberghiero e della ricezione turistica: firmato dalle associazioni di categoria il 27 aprile 2020 il Protocollo “Accoglienza Sicura” a supporto delle strutture ricettive.

Il protocollo “Accoglienza Sicura” contiene numerose indicazioni pratiche rivolte agli operatori del settore e rappresenta un importante strumento a disposizione degli stessi. Le misure suggerite, assieme a quelle già previste dal Testo Unico Salute e Sicurezza (D. Lgs. 81/2008), sono indispensabili al fine di tutelare la salute degli ospiti e dei lavoratori delle strutture ricettive.

Il 27 aprile 2020 FederAlberghi, l’Associazione Italiana Confindustria Alberghi ed Assohotel, in collaborazione con la Croce Rossa Italiana, hanno sottoscritto un protocollo nazionale denominato “Accoglienza Sicura”, allo scopo di fornire uno strumento di supporto nella lotta al contagio da Covid-19 all’interno delle strutture turistico-ricettive.

Il protocollo – realizzato da una task force composta da imprenditori e dirigenti, italiani e stranieri, e sotto la supervisione dell’infettivologo Pierluigi Viale, professore ordinario dell’Università di Bologna – approfondisce le procedure e le cautele che le aziende del settore turistico saranno chiamate ad implementare in vista del ritorno alla normale attività, individuando soluzioni capaci di bilanciare le esigenze di tutela della sicurezza dei clienti e dei collaboratori con quelle relative alla qualità del servizio ed al controllo dei costi di gestione.

Il protocollo è suddiviso in otto parti e suggerisce misure di prevenzioni e indicazioni pratiche per ogni fase dell’erogazione dei servizi turistico-ricettivi, dall’accoglienza degli ospiti alla pulizia delle camere, dalla somministrazione di alimenti e bevande alla gestione di un ipotetico caso sintomatico.

Quanto al “ricevimento degli ospiti”, si rammenta che alla reception e negli ambienti comuni è sempre obbligatorio rispettare la distanza interpersonale di almeno un metro tra una persona ed un’altra e, a tal fine, può essere utile affiggere dei cartelli informativi o delimitare gli spazi mediante adesivi, nastri segna-percorso o simili. È raccomandata l’adozione di misure volte ad evitare assembramenti e a ridurre il tempo di permanenza nell’area della reception, come ad esempio l’impiego di sistemi automatizzati di registrazione e autorizzazione all’accesso.

Rispetto alla “somministrazione di alimenti e bevande”, il protocollo suggerisce l’utilizzo di altre aree interne ed esterne alla struttura ricettiva, anche se normalmente destinate ad altri usi, così da favorire il distanziamento interpersonale. Quanto al servizio, nel caso in cui non si riuscisse a garantire un’adeguata igienizzazione degli oggetti a disposizione degli ospiti, è raccomandato l’utilizzo di prodotti monouso. Il protocollo fornisce, poi, specifiche direttive in merito alla pulizia ed alla disinfezione dell’area destinata alla somministrazione di alimenti e bevande, sia prima che dopo il servizio, nonché alle attività legate alla manipolazione degli alimenti (e per le quali si rimanda al documento integrale).

Quanto ai “dispositivi di protezione individuale” (DPI), il protocollo prevede che, oltre ai classici guanti e mascherine, la dotazione individuale del personale debba essere adeguata alle concrete mansioni svolte e sempre accompagnata da una corretta formazione circa l’utilizzo degli strumenti di protezione.

Nel caso in cui una persona presente all’interno della struttura – ospite, collaboratore, ecc. – presenti sintomi riconducibili all’infezione da Covid-19, questa dovrà comunicarlo tempestivamente alla direzione aziendale (via telefono), la quale provvederà ad informare l’autorità sanitaria ed il medico competente.

Il protocollo consiglia, inoltre, di predisporre, presso la reception, un kit da utilizzare per coloro che presentano sintomi da Covid-19 o che si prendono cura di una persona con sintomi, contenente: mascherine di tipo FFP2, protezione facciale, guanti  monouso, grembiule protettivo monouso, tuta a maniche lunghe a tutta lunghezza, copri-scarpe (usa e getta), disinfettante/salviette germicide per la pulizia di superfici e tessuti, sacchetto monouso per rifiuti a rischio biologico.

Il protocollo “Accoglienza Sicura” contiene numerose indicazioni pratiche rivolte agli operatori del settore e rappresenta un importante strumento a disposizione degli stessi. Le misure suggerite, assieme a quelle già previste dal Testo Unico Salute e Sicurezza (D. Lgs. 81/2008), sono indispensabili al fine di tutelare la salute degli ospiti e dei lavoratori delle strutture ricettive e, per queste ragioni, consigliamo la lettura del documento integrale, liberamente consultabile al seguente link: https://www.federalberghi.it/comunicati/hotel-al-tempo-del-covid-protocollo-nazionale-accoglienza-sicura.aspx#.XrvQ_EQzbX4.

happy-couple-shaking-hands-with-real-estate-agent-in-the-office-picture-id1093900326

Cassazione: legittimo il licenziamento intimato al dipendente di un istituto di credito che abbia indebitamente trattato i dati dei clienti.

Le informazioni raccolte dal datore di lavoro tramite i controlli difensivi sugli strumenti di lavoro dei dipendenti sono utilizzabili per tutti i fini connessi al rapporto di lavoro, a condizione che sia stata data adeguata informazione sulle modalità d’uso di detti strumenti e sull’effettuazione dei controlli.

Con sentenza 4871/2020 la Cassazione, confermando le pronunce di primo e secondo grado, ha riconosciuto la legittimità del licenziamento per giusta causa intimato da una Banca milanese ad una propria dipendente per avere questa effettuato – nello svolgimento di un nuovo incarico – interrogazioni di conti correnti di alcuni clienti non giustificate da ragioni di servizio.

Nel proprio ricorso, la dipendente ha censurato la sentenza impugnata per tre motivi:

  • Violazione e falsa applicazione dell’art. 2119 c.c. e art. 2103 c.c., comma 3, nonché dell’art. 112 c.p.c, per avere la Corte di Appello ritenuto sussistente la giusta causa di licenziamento senza esaminare la questione della novità dell’incarico di “referente” di agenzia e della mancata formazione (obbligatoria) per lo svolgimento dello specifico incarico;
  • Deducendo i vizi di cui ai nn. 4 e 5 dell’art. 360 c.p.c., la ricorrente ha censurato l’omesso esame del fatto decisivo, oggetto di discussione tra le parti, costituito dalla novità dell’incarico di “referente” e dalla mancanza della formazione necessaria all’espletamento delle relative mansioni;
  • Violazione e falsa applicazione dell’art. 4 L. 300/1970, nonché l’omesso esame di fatto decisivo oggetto di discussione tra le parti, per avere la Corte di Appello ritenuta adeguata la nota prodotta in giudizio dal datore di lavoro al fine di dimostrare l’adempimento dell’obbligo informativo, nonostante questa fosse antecedente all’entrata in vigore della nuova norma (D. Lgs. 151/2015) e riguardasse le sole modalità di effettuazione dei controlli sui dipendenti (e non anche le modalità d’uso degli strumenti di lavoro).

La Suprema Corte ha esaminato congiuntamente i primi due motivi, in quanto connessi, e ne ha rilevato il difetto di riferibilità alla decisione impugnata, avendo la Corte di Appello correttamente accertato – dopo un ampio esame delle risultanze di causa, sia di fonte documentale sia tratte dall’istruzione probatoria – come il datore di lavoro avesse assolto l’obbligo di informazione di cui all’art. 4 della L. 300/1970, avendo questi informato specificamente la generalità dei propri dipendenti, indipendentemente dalla loro qualifica, attività o funzione, stabile o temporanea, in ragione della stretta inerenza dell’attività bancaria alla tutela della riservatezza della clientela e del rischio diffuso di indebiti accessi alle relative posizioni. Ciò premesso, la Suprema Corte ha rilevato come né la “novità” dell’incarico, né la carenza di “formazione” della ricorrente avrebbero potuto sovvertire le conclusioni a cui è pervenuto il giudice di secondo grado, non avendo queste alcun ruolo nel processo informativo correttamente seguito dal datore di lavoro nei confronti dei propri dipendenti.

Allo stesso modo, la Suprema Corte ha rigettato anche il terzo motivo di ricorso. Difatti, l’art. 4 della L. n. 300/1970, così come modificato dall’art. 23 del D. Lgs. 151/2015, permette l’utilizzabilità delle informazioni raccolte per tutti i fini connessi al rapporto di lavoro, a condizione che sia data al lavoratore idonea informativa circa le modalità d’uso degli strumenti e di effettuazione dei controlli, senza che vi sia alcuna distinzione tra informative “precedenti” e “successive” all’entrata in vigore del D. Lgs. 151/2015. Da ciò, l’affidamento della lavoratrice sulla ricezione di una “nuova” informativa è stato ritenuto estraneo all’ambito applicativo della norma.

Il terzo motivo è stato disatteso anche nell’ulteriore profilo dedotto dalla lavoratrice, risolvendosi in un diverso apprezzamento di fatto circa l’adeguatezza dell’informativa, che la Corte di merito ha esattamente ricondotto, in relazione alle peculiarità del caso concreto, all’esigenza che al dipendente sia data comunicazione del tipo e della finalità del controllo, in modo che quest’ultimo possa averne consapevolezza e regolarsi di conseguenza.

In conclusione, la Corte di Cassazione ha integralmente respinto il ricorso proposto dalla lavoratrice, confermando il noto principio in base al quale le informazioni raccolte dal datore di lavoro tramite i controlli difensivi sugli strumenti di lavoro dei dipendenti sono utilizzabili per tutti i fini connessi al rapporto di lavoro, a condizione che sia stata data adeguata informazione sulle modalità d’uso di detti strumenti e sull’effettuazione dei controlli.

 

 

 

aerial-view-of-crowd-connected-by-lines-picture-id1180187740

I risvolti privacy del Protocollo 14 marzo 2020 per il contrasto ed il contenimento della diffusione del Coronavirus.

Il nuovo Protocollo sottoscritto il 14 marzo scorso tra le Parti sociali fornisce utili indicazioni operative dirette ad agevolare le imprese nell’adozione di misure di sicurezza anti-contagio. I datori di lavoro possono effettuare alcuni trattamenti sui dati dei lavoratori, ma a condizione che siano rispettate le prescrizioni della vigente normativa privacy.

Il 14 marzo 2020, su invito del Presidente del Consiglio dei Ministri e dei Ministri competenti, è stato sottoscritto tra le Parti sociali il «Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro».

Detto Protocollo – nato in attuazione della misura ex art. 1, c. 1, n. 9, del DPCM 11 marzo 2020 che raccomandava intese tra organizzazioni datoriali e sindacali in relazione alle attività professionali e alle attività produttive – fornisce numerosi indicazioni operative dirette ad agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio, con particolare riferimento agli obblighi informativi del datore di lavoro, alle modalità di ingresso in azienda, alla pulizia e sanificazione dei luoghi di lavoro, all’organizzazione aziendale ecc.

In questo breve contributo ci limiteremo a trattare le novità introdotte dal Protocollo in tema di trattamento dei dati personali, anche alla luce del recente intervento del Garante Privacy del 2 marzo 2020, che aveva sconsigliato l’effettuazione da parte dei datori di lavoro di accertamenti “fai-da-te” sulle condizioni di salute di dipendenti, collaboratori e fornitori.

Nel paragrafo dedicato al trattamento dei dati personali, il Protocollo prevede espressamente che il personale, prima dell’accesso al luogo di lavoro, possa essere sottoposto al controllo della temperatura corporea, così da poterne impedire l’ingresso nel caso in cui questa dovesse risultare superiore ai 37,5°.

Come noto, la rilevazione della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire nel pieno rispetto della vigente normativa in tema privacy. Sotto tale aspetto, il Protocollo suggerisce di rilevare la temperatura senza, tuttavia, registrare il dato acquisito, salvo che l’identificazione dell’interessato e la registrazione del superamento della soglia siano necessari a documentare le ragioni per le quali non è stato consentito l’ingresso in azienda. L’interessato che subisca tale trattamento dei propri dati personali ha il diritto di ottenere l’informativa privacy dal titolare, la quale potrà essere fornita oralmente e potrà essere limitata alle sole informazioni di cui l’interessato non sia già in possesso in ragione del rapporto sottostante.

Il Protocollo fornisce utili indicazioni anche quanto alla finalità del trattamento in questione (prevenzione dal contagio da COVID-19), alla sua base giuridica (implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. 1, n. 7, lett. d) del DPCM 11 marzo 2020, in conformità con l’art. 6, c. 1, lett. e) e l’art. 9, c. 2, lett. b), del GDPR) ed al termine di conservazione dei dati (termine dello stato di emergenza).

Risulta evidente come detto trattamento rappresenti una deroga al generico divieto di trattare i c.d. dati particolari, ex art. 9, c. 1, del GDPR (tra i quali vi rientrano certamente quelli relativi alla salute), derivante dalla previsione di cui al comma 2, lett. b), del medesimo articolo: [Il divieto non si applica se si verifica uno dei seguenti casi:] il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Il Protocollo precisa che i dati particolari così rilevati possono essere trattati esclusivamente per la finalità di prevenzione dal contagio da COVID-19 e non possono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. Tra i casi in cui è ammessa la comunicazione dei dati rientra certamente quello in cui sia l’Autorità Sanitaria a richiederli, ad esempio al fine di ricostruire la filiera degli eventuali contatti stretti di un lavoratore risultato positivo al coronavirus.

Tra le altre indicazioni operative, il Protocollo prevede che possa essere disposto l’isolamento momentaneo del soggetto con una temperatura corporea superiore al limite consentito, ma è onere dal datore di lavoro assicurare che detto isolamento avvenga con modalità tali da garantire la riservatezza e la dignità del lavoratore. Le stesse cautele devono essere garantite al lavoratore che abbia comunicato all’ufficio responsabile del personale di aver avuto contatti con soggetti risultati positivi al coronavirus, nonché nel caso di allontanamento del lavoratore che, durante l’attività lavorativa, sviluppi sintomi riconducibili al COVID-19.

Il Protocollo suggerisce, inoltre, di definire le misure di sicurezza e organizzative adeguate a proteggere i dati trattatati per la finalità in esame. Quanto alle misure di sicurezza, il Protocollo non fa menzioni specifiche e, pertanto, ci si deve rifare a tutto quanto previsto dall’art. 32 del GDPR. Sotto il profilo organizzativo, invece, il Protocollo suggerisce al datore di lavoro (titolare del trattamento) di individuare i soggetti preposti al trattamento e fornire loro tutte le istruzioni necessarie.

Tutte le accortezze menzionate devono essere tenute anche nel caso in cui il datore di lavoro richieda ai lavoratori una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico o l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, in quanto l’acquisizione di detta dichiarazione costituisce un trattamento di dati. In tal senso, il Protocollo consiglia di raccogliere solo i dati necessari, adeguati e pertinenti alla prevenzione del contagio da COVID-19.

Coronavirus, interviene il Garante privacy: no ai controlli fai-da-te.

Con comunicazione del 2 marzo 2020 il Garante privacy ha precisato come la necessità di prevenire i contagi non giustifichi la sospensione della tutela della privacy di dipendenti, fornitori e visitatori: i datori di lavoro devono astenersi dal raccogliere, in modo sistematico e generalizzato, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti.

 

Negli ultimi giorni, a causa del diffondersi dei contagi, in molti si sono chiesti fino a che punto possano spingersi gli accertamenti dei datori di lavoro sul personale dipendente, sui fornitori o sui visitatori delle proprie aziende. La normativa d’urgenza adottata per fronteggiare l’emergenza sanitaria dispone che chiunque abbia soggiornato nelle zone c.d. “a rischio epidemiologico” negli ultimi 14 giorni, debba comunicarlo all’ASL, anche per il tramite del medico di base, così da poter procedere con gli accertamenti necessari, ma da ciò non ne consegue che chiunque possa procedere a detti accertamenti, viste le ovvie implicazioni in tema di trattamento di dati personali.

L’Autorità Garante ha ricevuto numerosi quesiti riguardanti la possibilità di raccogliere informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti del personale e dei loro più stretti contatti e, per tale ragione, con comunicazione del 2 marzo 2020, il Garante ha precisato che l’obiettivo di prevenire la diffusione del Coronavirus deve essere perseguito da soggetti che istituzionalmente esercitano questa funzione in modo qualificato.

Sebbene il datore di lavoro debba, quindi, astenersi dall’effettuare autonomamente controlli che non gli competono, lo stesso è comunque tenuto a comunicare, agli organi preposti, le eventuali variazioni del “rischio biologico” derivanti dal Coronavirus per la salute sul posto di lavoro, nonché ad adempiere agli oneri connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente (a tal proposito, il Garante ipotizza la possibilità di sottoporre ad una visita straordinaria i lavoratori più esposti).

Per quanto attiene ai prestatori di lavoro, per questi permane il generico dovere di segnalare qualsiasi situazione di pericolo per la salute e la sicurezza dei luoghi di lavoro (preferibilmente per il tramite di canali appositamente predisposti dal datore di lavoro, così da salvaguardare la riservatezza delle stesse comunicazioni).

Il Garante ha quindi chiarito i limiti e la portata dell’intervento del datore di lavoro, invitando tutti i titolari del trattamento ad attenersi alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti, nonché ad astenersi dall’effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dalle autorità.

2. Il trattamento dei dati personali nel settore alberghiero - Il RDT

Il trattamento dei dati personali nel settore alberghiero: il registro dei trattamenti.

Al fine di dimostrare la propria conformità al GDPR, i titolari del trattamento devono tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità. Il registro è finalizzato a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. È importante non considerare il registro dei trattamenti come una mera formalità perché  è uno strumento essenziale al fine di aderire al principio fondamentale che sostiene l’intero impianto del GDPR: il principio di accountability.

Sebbene vi sia stata un po’ di confusione rispetto ai soggetti effettivamente obbligati alla tenuta del registro dei trattamenti – a causa della non chiara formulazione del paragrafo 5 dell’art. 30 del GDPR,  che dispone che la tenuta non è obbligatoria per le imprese e le organizzazioni con meno di 250 dipendenti, a meno che (i) il trattamento possa presentare un rischio per i diritti e le libertà degli interessati, (ii) il trattamento non sia occasionale o (iii) includa il trattamento di dati particolari o di dati personali relativi a condanne penale e a reati – è ormai chiara la portata di questo adempimento: è obbligatorio per qualsiasi titolare che effettui un trattamento di dati personali in modo non occasionale, indipendentemente dal numero di dipendenti.

Al fine di agevolare i titolari di strutture alberghiere, così come già fatto nell’approfondimento relativo all’informativa privacy (link: https://eikoslegal.com/2019/09/11/il-trattamento-dei-dati-personali-nel-settore-alberghiero-linformativa-privacy/), riteniamo utile analizzare punto per punto, seppur brevemente, i contenuti obbligatori del registro dei trattamenti (art. 30 del GDPR):

  1. Identità e dati di contatto del titolare e – ove applicabile – del responsabile del trattamento, del contitolare del trattamento, del rappresentante del titolare e del DPO – Bisogna semplicemente inserire la denominazione e/o ragione sociale ed i dati di contatto (l’indirizzo e-mail, il numero di telefono, ecc.) dei soggetti menzionati. Non è necessario specificare nome e cognome di questi soggetti.
  2. Finalità del trattamento – In questa sezione bisogna inserire le motivazioni per le quali sono trattati i dati degli ospiti e degli altri soggetti coinvolti nel trattamento, come, ad esempio,  i  lavoratori dipendenti. La finalità va indicata per ciascun trattamento (ad esempio, trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro). Nonostante non sia espressamente previsto dal GDPR, il Garante ritiene che debba essere inserita, per ogni trattamento, anche la base giuridica legittimante.
  3. Una descrizione delle categorie di interessati e delle categorie di dati personali – Devono essere specificate sia le tipologie di interessati (ospiti, dipendenti, fornitori, ecc.) sia le categorie di dati personali oggetto di trattamento (dati anagrafici, dati sanitari, ecc.).
  4. Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali – Devono essere riportati, anche solo per categorie (quindi non necessariamente con un’indicazione specifica), gli altri titolari ai quali sono comunicati i dati (ad es., gli enti previdenziali a cui vengono comunicati i dati dei dipendenti per l’assolvimento degli oneri contributivi), gli eventuali responsabili del trattamento (ad es., la società che ospita il booking engine che gestisce le prenotazioni o l’eventuale soggetto a cui sia demandato il compito di elaborare le buste paga dei dipendenti, ecc.). Questa sezione è particolarmente importante, perché, se ben fatta, permette al titolare di avere la consapevolezza di (ed il controllo su) quali sono i soggetti che entrano in contatto con i dati personali coinvolti nella sua struttura.
  5. I trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale – Questa sezione deve essere  compilata solo nel caso in cui il titolare proceda all’effettivo trasferimento di dati personali verso un paese extra UE o un’organizzazione internazionale. Se così fosse, sarà necessario specificare i suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso cui i dati sono trasferiti ed alla documentazione delle adeguate “garanzie” richieste dal GDPR. Il tema del trasferimento di dati personali è particolarmente complesso, quindi nel caso in cui il titolare dovesse ritenere a sé applicabile la disposizione in commento, dovrebbe affidarsi ad un valido consulente privacy al fine di assicurarsi di rientrare nei parametri previsti dalla legge.
  6. I termini ultimi previsti per la cancellazione delle diverse categorie di dati – I dati personali possono essere conservati solo per il tempo strettamente necessario al perseguimento della finalità per la quale sono stati comunicati. Chiaramente, a diversi trattamenti corrispondono diversi tempi di trattamento e conservazione, i quali dovranno essere specificati nel registro mediante l’indicazione di un arco temporale il  più possibile concreto, evitando l’utilizzo di formule astratte quali “I dati personali dell’ospite per la finalità X saranno conservati per il tempo necessario”. Solo ove non sia possibile stabilire un periodo massimo, si potrà  ricorrere a criteri generali, quali “norme di legge”, “prassi” e “prescrizione del diritto”.
  7. Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dal titolare –L’art. 32 del GDPR elenca alcune tra le principali misure tecniche e organizzative adottabili dai titolari al fine di garantire un livello di sicurezza adeguato al rischio (pseudonimizzazione, cifratura dei dati personali, capacità di ripristino tempestivo, procedure per testare la sicurezza dei sistemi, ecc.). Ogni titolare deve analizzare individualmente la propria struttura al fine di individuare le misure più adeguate (le quali ben possono esorbitare da quelle previste dall’art. 32) per eliminare o ridurre i rischi a cui sono esposti i dati personali da lui trattati. Una volta individuate le misure di sicurezza (che è un passaggio logicamente successivo all’individuazione dei rischi), queste dovranno essere inserite nel registro dei trattamenti, anche mediante una descrizione generale e sintetica. È consigliabile essere sintetici in questa fase e preferire un rinvio, nello stesso registro, a dei documenti appositamente predisposti e contenenti le procedure organizzative interne per il contrasto ad uno specifico rischio.

Quanto detto sinora costituisce il contenuto minimo del registro dei trattamenti, ma nulla impedisce al singolo titolare di aggiungervi tutto ciò che ritiene utile al fine di fornire la migliore descrizione del proprio impianto privacy (come ad es. le modalità di raccolta del consenso, l’indicazione di eventuali incaricati interni individuati con riferimento  ad alcune specifiche tipologie di trattamento, le eventuali valutazioni di impatto effettuate, ecc.). Al di là di valutazioni personali, è consigliabile inserire la base giuridica dei trattamenti, la valutazione del rischio e le azioni di mitigazione dello stesso, nonché la verifica preliminare di impatto.

Una volta predisposto il registro, bisogna mantenerlo costantemente aggiornato, in quanto deve sempre corrispondere all’effettività dei trattamenti posti in essere dal titolare. Ogni eventuale cambiamento rispetto alle modalità del trattamento o alle sue finalità, alle categorie di dati o di interessati ecc., deve essere immediatamente inserito nel registro, assicurandosi che siano sempre dimostrabili le modifiche intervenute.

Che sia redatto in formato elettronico o cartaceo, il registro deve sempre recare la data della sua prima creazione e quella dell’ultimo aggiornamento. Un modo facile ed immediato per certificare la data di creazione/modifica del registro consiste nel firmare digitalmente il documento, così da poter creare uno storico che ricomprenda l’originale e tutte le successive versioni.

Secondo il Garante, è importante non commettere l’errore di considerare il registro dei trattamenti come una mera formalità, in quanto è uno strumento essenziale al fine di aderire al principio fondamentale che sostiene l’intero impianto del GDPR: il principio di accountability. Il registro è finalizzato a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. Si consideri, inoltre, che è uno tra i primissimi documenti che sarete richiesti di esibire alla Guardia di Finanza in caso di ispezione.

 

hotel-reception-shelf-with-room-keys-3d-illustration-picture-id1017713722

Il trattamento dei dati personali nel settore alberghiero: l’informativa privacy.

L’introduzione del GDPR ha avuto un notevole impatto sulla gestione del trattamento dei dati personali da parte delle strutture ricettive. Al fine di rispettare la normativa, i gestori di alberghi, hotel, B&B, ecc. devono intervenire proattivamente e rimodellare le proprie prassi operative in modo che sia sempre dimostrabile l’adozione delle più ampie cautele e dei massimi accorgimenti finalizzati ad una effettiva ed efficace tutela dei dati personali degli ospiti.

Con il presente articolo – e con altri che seguiranno a breve – intendiamo fornire ai gestori delle strutture ricettive sia una sintetica panoramica delle novità più importanti sia alcune indicazioni pratiche, utili per individuare e risolvere le criticità più comuni in materia di privacy, tipiche del settore alberghiero.

Prima di addentrarci nell’analisi dei risvolti privacy, è bene che sia chiaro il significato di alcuni concetti di base. Ai sensi del GDPR, è considerato dato personale qualunque informazione che identifica o rende identificabile una persona fisica e che può fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, ecc. Per trattamento, invece, si intende qualsiasi operazione o insieme di operazioni effettuate, con o senza l’ausilio di processi automatizzati, su dati personali. A fini esemplificativi, rientrano nella definizione di trattamento operazioni come la raccolta, la registrazione, la conservazione e la modifica di dati, ma anche la cancellazione o la distruzione degli stessi.

Qualsiasi struttura ricettiva, ovunque situata e di qualsiasi dimensione, effettua inevitabilmente uno o più trattamenti di dati personali. Ovviamente, le tipologie di trattamenti e la quantità di dati trattati cambiano molto a seconda che ad effettuarli sia una guest-house in una zona periferica di una piccola cittadina o il grand hotel di una metropoli. Così come a cambiare sono anche le finalità per le quali i dati personali degli ospiti sono trattati. Mentre una grande struttura ricettiva sarà quasi certamente interessata a conservare i dati degli ospiti al fine di permettere una più semplice registrazione in caso di soggiorni successivi o di inserirli nella propria mailing list per finalità di marketing, la stessa cosa non potrà dirsi per un piccolo affittacamere.

Pertanto, nell’analisi finalizzata alla verifica del sistema di compliance che ogni struttura ricettiva deve adottare per conformarsi al GDPR, è di fondamentale importanza, innanzitutto, identificare i trattamenti effettuati nell’esercizio dell’attività. Una volta individuati tutti i trattamenti effettuati nel corso dell’attività operativa, è necessario comprendere che qualsiasi trattamento di dati personali deve essere giustificato da una finalità e legittimato da una base giuridica riconosciuta dal GDPR. Per base giuridica si intende una di quelle condizioni specificamente previste dall’art. 6 del GDPR, dalle quali deriva la legittimità di un dato trattamento (consenso, esecuzione del contratto o di misure precontrattuali, adempimenti di un obbligo legale, salvaguardia di un interesse vitale, esecuzione di un compito di interesse pubblico, perseguimento di un legittimo interesse).

Volendo sfatare un luogo comune, affinché un trattamento di dati sia lecito non è sempre necessario il consenso dell’interessato, in quanto vi sono altre condizioni che legittimano i diversi trattamenti possibili. Semplificando, se è vero che alcuni dei trattamenti più comuni effettuati da una struttura ricettiva sono basati sul consenso (si pensi alla possibilità di ricevere chiamate, messaggi o posta per conto dell’ospite), altri trattamenti sono legittimi, anche in assenza di un esplicito consenso, in quanto necessari all’esecuzione del contratto (anche il solo rispondere alla richiesta di prenotazione inoltrata per e-mail) oppure per adempiere ad un obbligo legale (si pensi alla comunicazione obbligatoria delle generalità degli ospiti alla Questura). È frequente, inoltre, che alcuni trattamenti siano giustificati dal perseguimento di un interesse legittimo del titolare (si pensi all’installazione di un impianto di videosorveglianza al fine di tutelare il patrimonio aziendale e la sicurezza degli ospiti).

Uno degli adempimenti più importanti dell’intero impianto del GDPR è certamente costituito dall’informativa privacy. Infatti, affinché un trattamento possa definirsi corretto e trasparente, in aderenza ai principi fondamentali del GDPR, è necessario che all’interessato sia resa un’informativa che lo metta al corrente dell’esistenza del trattamento e delle finalità dello stesso. Se è chiara la motivazione per la quale il titolare deve fornire l’informativa – permettere ai propri ospiti di comprendere come saranno trattati i loro dati e per quali ragioni – potrebbero non essere altrettanto chiare le tempistiche per comunicare la suddetta informativa. Senza addentrarci nei complessi meandri delle disquisizioni giuridiche, la risposta è diversa a seconda che si tratti di “dati raccolti presso l’interessato” (ossia di dati forniti direttamente dall’ospite) o di “dati non ottenuti presso l’interessato” (quali i dati comunicati alla struttura ricettiva da agenzie viaggi, tour operator, altri siti di viaggi, ecc.). Nel primo caso, l’informativa privacy (ex art. 13 GDPR) dovrà essere fornita all’interessato nel momento in cui i dati personali sono ottenuti (se, ad es., l’ospite sta compilando un form sul sito internet della struttura, è sufficiente che vi sia un banner e/o un link contenente l’informativa privacy). Nel secondo caso, l’informativa privacy (ex art. 14 GDPR) dovrà essere fornita all’interessato entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese o, nel caso in cui i dati siano destinati alla comunicazione con l’interessato/altro destinatario, al più tardi al momento della prima comunicazione.

È di fondamentale importanza che si faccia particolare attenzione alle modalità attuate per adempiere a questo adempimento, perché ricade sempre sul titolare l’onere probatorio di dimostrare di aver fornito l’informativa. Il contenuto minimo dell’informativa privacy è stabilito dagli artt. 13 e 14 del GDPR. Volendo essere estremamente pratici (e dando per scontato che la struttura ricettiva offra i propri servizi anche tramite portali diversi dal sito internet aziendale, quali Booking, Hotels, Expedia, ecc.) l’informativa dovrà contenere le seguenti informazioni:

  1. Identità e dati di contatto del titolare del trattamento – Denominazione e/o ragione sociale, indirizzo e-mail, numero di telefono, ecc.
  2. I dati di contatto del responsabile della protezione dei dati – Questo è un contenuto eventuale che dovrà essere inserito soltanto se si sia effettivamente proceduto a nominare un responsabile della protezione dei dati. Questa figura (meglio conosciuta con il corrispettivo acronimo inglese “DPO” – Data Protection Officer), sarà approfondita in un prossimo post.
  3. Le finalità del trattamento e le rispettive basi giuridiche – In questa sezione si dovranno inserire le motivazioni per le quali i dati dei clienti sono trattati, come ad es. “Adempiere all’obbligo che impone di comunicare le generalità degli ospiti alla Questura”, “Accelerare la procedura di registrazione dell’ospite in caso di successivi soggiorni presso la struttura”, “Dare riscontro alle richieste di prenotazione”. Si dovrà, inoltre, specificare la base giuridica (tra quelle elencate all’art. 6 del GDPR) che legittima il trattamento.
  4. Il legittimo interesse perseguito dal titolare del trattamento – Chiaramente, questo è un contenuto eventuale che dovrà essere inserito solo nel caso in cui uno dei trattamenti effettuati abbia come basa giuridica il “legittimo interesse”. L’esempio classico di trattamento basato sul legittimo interesse è quello che consiste nel “Proteggere le persone, la proprietà ed il patrimonio aziendale attraverso un sistema di videosorveglianza di alcune aree della Struttura, individuabili per la presenza di appositi cartelli”.
  5. I destinatari o le categorie di destinatari a cui i dati vengono comunicati – In questa sezione dovranno essere inserire gli eventuali contitolari del trattamento, i responsabili del trattamento (n.b., i responsabili del trattamento sono soggetti diversi dai titolari del trattamento e dai responsabili della protezione dei dati), gli incaricati del trattamento (es., il personale addetto alla reception). Sebbene sia preferibile inserire i dati identificativi dei soggetti appena menzionati, non è necessario indicare nome e cognome di tutti i dipendenti e dei soggetti che entrano in contatto con i dati dei clienti, ma è sufficiente indicarli per categorie (receptionist, commercialista, avvocato, web provider, ecc.), a condizione che sia chiara l’attività da questi svolta.
  6. Le categorie di dati personali trattati – Questa informazione deve essere inserita solo nel caso di “dati non ottenuti presso l’interessato”, perché l’interessato non può conoscere quali siano i dati ottenuti dal titolare non essendo stati forniti direttamente dallo stesso.
  7. La fonte da cui hanno origine i dati personali – Questa informazione deve essere inserita solo nel caso di “dati non ottenuti presso l’interessato” e dovrebbe includere la natura della fonte (pubblica o privata) e l’origine specifica dei dati (se possibile).
  8. L’intenzione di trasferire i dati personali dei clienti ad un paese terzo o ad un’organizzazione internazionale – Questa sezione dovrà essere inserite solo dove applicabile, ovviamente. Se, ad esempio, la struttura ricettiva fa parte di un gruppo di società controllato da una holding americana a cui sono comunicati i dati dei clienti alloggiati in Italia (per le ragioni più svariate), tale circostanza dovrà essere specificata chiaramente.
  9. Il periodo di conservazione dei dati – I dati degli ospiti non possono essere conservati indefinitamente, nella speranza di creare un archivio di tutte le persone ospitate negli ultimi 100 anni. Il tempo di conservazione dei dati varia a seconda del trattamento per il quale sono utilizzati. Talvolta è facile identificare un periodo di tempo che appaia ragionevole (es., i dati degli ospiti conservati al fine di accelerare le procedure di registrazione in caso di successivi soggiorni saranno conservati sino all’intervenuta revoca del consenso), altre volte sarà necessario fare riferimento a dei criteri generali (esempio tipico è il riferimento al termine di prescrizione: i dati acquisiti per l’adempimento di obblighi di legge saranno conservati sino alla prescrizione dei relativi diritti e, in ogni caso, non oltre i termini massimi stabiliti dalla legge).
  10. I diritti dell’interessato – l’informativa dovrà fornire una descrizione dei diritti riconosciuti dal GDPR agli ospiti in quanto interessati del trattamento (accesso, rettificazione, cancellazione, limitazione del trattamento, obiezione al trattamento, portabilità, reclamo), nonché una spiegazione circa il loro esercizio.
  11. L’indicazione se la comunicazione di dati personali è facoltativa o obbligatoria – Dovrà essere specificato se, per un determinato trattamento, l’ospite ha la facoltà o l’obbligo di fornire i propri dati e le conseguenze in cui incorrerebbe se si rifiutasse di fornirli. Si pensi al caso di un ospite che rifiuti di fornire le proprie generalità al momento della prenotazione, impedendo il necessario (e obbligatorio) processo di identificazione. È evidente che in una situazione come questa il titolare della struttura è tenuto a rifiutare la prenotazione e ad impedire, così, la conclusione del contratto.
  12. L’esistenza di un processo decisionale automatizzato, compresa la profilazione – Dovrà essere specificato chiaramente se è previsto o meno il ricorso alla profilazione o ad altri processi decisionali automatizzati, chiarendo la logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.

La redazione di un’informativa privacy completa e trasparente è un adempimento imprescindibile che non deve essere mai sottovalutato. Infatti, come ormai noto, in caso di mancato rispetto delle norme poste a tutela del legittimo trattamento dei dati personali, le sanzioni previste dal GDPR arrivano a 20 milioni di euro o al 4% del fatturato (se superiore).

stop-to-drink-symbol-picture-id1067296628

Ubriachezza del lavoratore: la sorveglianza sanitaria e gli altri obblighi del datore di lavoro

L’assunzione di alcol – e di sostanze stupefacenti – da parte di un lavoratore costituisce un pericoloso fattore di rischio aggiuntivo, per la sua persona e per l’intero ambiente lavorativo. Il datore di lavoro deve valutare il rischio legato all’assunzione di alcolici nella propria azienda, predisporre delle procedure aziendali volte a prevenire e gestire le problematiche alcol-correlate sul posto di lavoro ed individuare mansioni non a rischio dove adibire, se possibile, i lavoratori con problemi legati all’alcoldipendenza.