Perché il GDPR riguarda i ristoranti
Ogni volta che raccogli un nome, un numero di telefono, un'email o un'immagine di videosorveglianza, stai trattando dati personali. Il GDPR (Reg. UE 2016/679) si applica a qualsiasi trattamento di dati personali, indipendentemente dalla dimensione dell'attività.
I dati che raccogli
Prenotazioni: nome, telefono, email, allergie (dato sanitario sensibile). Newsletter: email, nome. Videosorveglianza: immagini delle persone. Wi-Fi del locale: se richiedi dati per l'accesso. Programma fedeltà: dati di contatto, preferenze, frequenza. Dipendenti: tutti i dati del rapporto di lavoro.
Adempimenti obbligatori
Informativa privacy: deve essere disponibile per chiunque fornisca dati. Per i clienti: esposta nel locale e nel sito web. Per i dipendenti: consegnata al momento dell'assunzione. Deve indicare: quali dati raccogli, perché, per quanto tempo li conservi, i diritti dell'interessato.
Registro dei trattamenti: obbligatorio se hai più di 250 dipendenti O se tratti dati sensibili (allergeni = dati sanitari). In pratica, quasi tutti i ristoranti dovrebbero averlo.
Consenso: necessario per marketing (newsletter, SMS). Non necessario per l'esecuzione del servizio (prenotazione) o per obblighi di legge (fatturazione).
Videosorveglianza
Se hai telecamere: cartello informativo visibile prima dell'area ripresa. Conservazione massima 72 ore (salvo esigenze investigative). Non riprendere i dipendenti in modo continuativo (vietato dallo Statuto dei Lavoratori). Accordo sindacale o autorizzazione dell'Ispettorato del Lavoro necessaria.
Sanzioni
Le sanzioni GDPR possono arrivare fino al 4% del fatturato annuo o 20 milioni di €. In pratica, per i piccoli ristoranti le sanzioni sono proporzionate: da qualche migliaio a decine di migliaia di euro. Ma la non conformità è comunque un rischio evitabile.
Come mettersi in regola
Consulta un DPO (Data Protection Officer) o un consulente privacy per una valutazione iniziale (costo: 500-1.500 €). Redigi l'informativa privacy (il consulente può fornire un modello). Implementa le misure minime di sicurezza (password sui PC, accesso limitato ai dati). Forma il personale sulla gestione dei dati.
Commenti
Nessun commento ancora. Sii il primo!
Lascia un commento