Questo sito web utilizza i cookie

Sul sito ci sono cookies tecnici e di terze parti profilanti per i quali abbiamo bisogno di un tuo consenso all'installazione. Leggi al nostra Cookie policy

News

Privacy – Obbligo di conservazione dell’elenco dei clienti

Come è noto, il DPCM del 17 maggio 2020, pubblicato sulla Gazzetta Ufficiale n. 126 del 17 maggio, nel definire le disposizioni di attuazione del decreto-legge n. 33 del 16 maggio 2020, ha stabilito che, per fronteggiare l’emergenza epidemiologica in corso, le diverse attività economiche e produttive devono svolgersi nel rispetto dei protocolli o delle linee guida adottate dalle regioni o dalla Conferenza delle regioni e delle Province autonome (di seguito Conferenza).

 

Le linee guida per la riapertura delle attività economiche e produttive adottate dalla Conferenza sono contenute nell’Allegato 17 e sono articolate in 11 schede tecniche relative ai principali settori di attività.

 

Alcune di queste schede - RISTORAZIONE, ATTIVITA’ TURISTICHE (STABILIMENTI BALNEARI E SPIAGGE), SERVIZI ALLA PERSONA (ACCONCIATORI ED ESTETISTI), PISCINE E PALESTRE - prevedono un obbligo di conservazione dell’elenco delle presenze dei clienti per un periodo di 14 giorni.

 

Non si può inoltre escludere che le ordinanze adottate dalle singole Regioni possano prevedere tempi di conservazione maggiori e/o l’inclusione di ulteriori attività tra quelle obbligate a mantenere l’elenco delle presenze.

 

Criteri da seguire

In alcuni casi, le linee guida della Conferenza stabiliscono che il servizio sia espletato solo tramite prenotazione. Ciò impone ai titolari del trattamento particolare cura nella raccolta e nella conservazione dei dati della clientela.

 

La prenotazione della prestazione (ristorante, acconciatore, ecc.) può avvenire sia direttamente (es.: telefono) che tramite il sito dell’attività. Anzitutto va evidenziato che devono essere raccolti solo i dati indispensabili alla prenotazione.

 

La raccolta di informazioni non strettamente necessarie al perseguimento delle finalità per cui si raccolgono i dati è, infatti, contraria al principio di minimizzazione, di cui all'art. 5 del GDPR, che è uno dei principi generali in materia di privacy.

 

Non possiamo escludere che il Garante per la Protezione dei Dati intervenga su questo aspetto con un proprio provvedimento o con una Faq.

 

In mancanza di un pronunciamento ufficiale del Garante su questo punto riteniamo che, anche per evitare che l'imprenditore debba adottare ulteriori misure di sicurezza rispetto a quelle ordinarie relative alla gestione privacy, se la raccolta dei dati è finalizzata alla mera prenotazione della prestazione, sia sufficiente, ad esempio, raccogliere un numero di cellulare e/o un semplice nominativo, non necessariamente associato al cognome.

 

In nessun caso, a meno che ciò non sia espressamente imposto dalle ordinanze regionali, il titolare dovrà spingersi a chiedere alla clientela elementi su eventuali rapporti di convivenza che attengono alla responsabilità individuale della clientela.

 

L’informativa sul trattamento può essere conservata, come di consueto, nel ristorante, salone, centro estetico etc. o riportata sul sito. L’informativa sul trattamento resta, infatti, il presupposto di legittimità per la raccolta dei dati.

 

Nel caso in cui la prenotazione avvenga attraverso un contatto telefonico, il titolare o il personale addetto alla prenotazione dovrà informare il cliente del fatto che l’informativa è pubblicata sul sito o conservata nell'esercizio e ricordare al cliente l’obbligo di conservazione dei dati della prenotazione per il tempo indicato dalla regione in cui si trova l’esercizio.

 

Se per effettuare la prenotazione si richiede all'utente una registrazione dei dati attraverso un form dal sito dell’azienda, questo dovrà essere costruito in modo che il testo dell’informativa dovrà essere visualizzabile attraverso la spunta della casella “ho letto l‘informativa” o simili e la possibilità di inviare i dati richiesti nella scheda di prenotazione dovrà essere subordinata alla lettura dell’informativa.

 

Pertanto, nel caso in cui un soggetto interessato a prenotare una prestazione, non provveda a fleggare la casella “ho letto l’informativa”, non dovrebbe essere per lui possibile procedere con l'invio dei dati richiesti.

 

Relativamente alle modalità di conservazione dei dati raccolti, si rimanda a quanto previsto dal GDPR, mentre per la durata si precisa che la stessa dovrà essere quella indicata nell’ordinanza regionale vigente.

 

Il titolare non è autorizzato a conservare i dati delle prenotazioni raccolte per altre finalità (es. marketing) se non seguendo le regole ordinarie sul trattamento dei dati (informativa specifica e consenso espresso).

 

Infine, una volta trascorso il periodo di conservazione dei dati imposto dalla normativa regionale di contenimento dell'emergenza epidemiologica, il titolare dovrà programmare una periodica pulizia degli archivi cancellando i dati raccolti.

 

Si evidenzia che alcune schede prevedono che possa essere rilevata (quindi come facoltà e non come obbligo) la temperatura corporea, impedendo l’accesso in caso di temperatura superiore a 37, 5°.

 

Sul punto ricordiamo che il Garante della Protezione dei Dati, nella Faq predisposta lo scorso 6 maggio, ha chiarito che nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell'ambito della grande distribuzione) o a visitatori occasionali “anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso”.

  • Logo Pordenone Turismo
  • Logo Centro anch'io
  • Logo Camera commercio
  • Logo Pordenone With Love
  • Logo 50 e Più Enasco
  • Logo ConfidiFriuli
  • Logo EBT
  • Logo ARAG
  • Logo CATT FVG
Associazione delle Imprese, delle attività professionali e del lavoro autonomo ASCOM - CONFCOMMERCIO
Imprese per l'Italia della provincia di Pordenone