Protezione dati, gli impatti sull’industria del turismo 06/09/2017

In base al Regolamento Ue 2016/679 fa capolino, nell’organizzazione aziendale, la nuova figura del Data Protection Officer
Per le aziende del settore travel & hospitality i dati di clienti e passeggeri rappresentano senza dubbio un valore: infatti, anche grazie alle nuove tecnologie, consentono di personalizzare i servizi resi alla clientela, arricchendo l’esperienza di viaggio.

Alla luce del nuovo framework normativo in materia di protezione dei dati – il Regolamento Ue 2016/679 – il trattamento dei dati personali per finalità di profilazione e marketing comporterà la necessità di adottare nuove misure organizzative, tra le quali risulta di peculiare rilievo l’istituzione di una nuova figura aziendale, il responsabile della protezione dei dati o Data Protection Officer (in acronimo, Dpo).

In base all’articolo 37, primo paragrafo, del citato Regolamento generale sulla protezione del dati, la nomina del Dpo è obbligatoria quando le attività principali del titolare consistono in un monitoraggio regolare, sistematico e su larga scala delle persone fisiche oppure in un trattamento su larga scala di categorie particolari di dati (dati sensibili e/o giudiziari).

L’espressione “attività principali” deve essere interpretata in senso estensivo, sì da includervi tutti i trattamenti di dati che integrino una componente inscindibile delle attività svolte dal titolare: detto altrimenti, quando le attività di monitoraggio e profilazione siano essenziali per il core business, si dovrà procedere alla nomina del Dpo. A questa stregua, dovranno sicuramente designare un Dpo le aziende che mettono al centro del proprio business il cliente, utilizzando sistemi di Customer Relationship Management per elaborare abitudini, gusti e precedenti scelte della clientela al fine di proporre offerte sempre più mirate.

La nomina del Dpo può risultare opportuna anche in casi in cui non sia imposta dal Regolamento: infatti, il ruolo chiave di tale figura nel sistema di governance dei dati e nell’attuazione del principio di accountability può agevolare l’osservanza della normativa ed aumentare la capacità competitiva dell’impresa.

Le aziende possono scegliere se affidare il ruolo ad un dipendente oppure ad un professionista esterno: ai fini di tale scelta, occorre tener presente che il Dpo deve possedere sicuramente alcune competenze ad hoc (in particolare, la conoscenza specialistica della normativa e delle prassi nazionali ed europee in materia di protezione dei dati); naturalmente, il livello della competenza e delle conoscenze specialistiche devono essere valutate in relazione alla realtà aziendale in cui il Dpo è destinato ad operare.

I gruppi societari avranno facoltà di designare un Dpo unico, a condizione di adottare specifiche misure che garantiscano a tutte le entità e ai dipendenti del gruppo la possibilità di contattare tale figura.

Per quanto riguarda più specificamente le funzioni ed il ruolo, occorre considerare che il Dpo è investito di responsabilità di sensibilizzazione e consulenza (informare e consigliare), di controllo (vigilare sull’osservanza del Regolamento, attribuzione di responsabilità e formazione), di supporto strategico (contribuire a valutazione d’impatto e risk assessment) e rappresentanza (nei confronti del Garante).

Così configurato il Dpo assume un ruolo centrale ai fini della promozione di un’adeguata cultura della protezione dei dati all’interno dell’azienda, nonché ai fini del processo di adeguamento alle novità normative; cionondimeno, va rilevato che la responsabilità per l’inosservanza della normativa sui dati personali non potrà ricadere tout court sul Dpo: spetta infatti al titolare garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al nuovo Regolamento europeo.

Avv. Francesca Gili – Deloitte Legal

2017-09-07T16:34:43+00:00 7 Settembre, 2017|Press|