Non tutti si rendono conto che le aziende che operano nel mondo della ristorazione si trovano, spesso, a trattare dati particolari (nell’accezione fatta propria dall’art. 9 del GDPR) dei loro clienti.
Come ormai sappiamo, nel trattare tale tipologia di dati, le aziende devono prestare particolare attenzione, adottando stringenti misure, tecniche ed organizzative, a tutela degli interessati.
Naturalmente – è ovvio – le aziende che operano nella ristorazione si trovano a trattare, come tutte le altre imprese, i dati particolari dei propri dipendenti ma – meno ovvio – anche numerosi dati relativi alla salute dei propri clienti, come, ad esempio, i dati relativi alle allergie ed intolleranze alimentari, sempre più frequenti, che sono raccolti allo scopo di avvisare il personale su come servire correttamente e senza rischi i propri avventori.
Il nostro Garante ha già avuto modo, in passato, di precisare che i dati relativi ad intolleranze o allergie sono dati aventi natura sanitaria che, come tali, devono essere trattati con particolare cautela dagli esercenti della ristorazione.
Se, inoltre, consideriamo che non è così inconsueto che tali dati coinvolgano i minori, occorrerà innalzare ulteriormente la soglia di attenzione, dato che, per questa fascia di interessati, il GDPR detta regole molto precise: il considerando 38 precisa, infatti, che “i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei loro dati personali”.
Ne discende, quindi, che un catering, una mensa (magari scolastica!) o anche solo un ristorante che apre un conto in favore di un cliente con delle intolleranze o allergie, registrando, allo scopo di fornire un servizio migliore, la connessione fra il nome del cliente e l’allergia specifica di cui soffre, tratta certamente dati particolari che impongono al Titolare del trattamento adeguate cautele, da segnalarsi anche nel Registro delle attività di trattamento.
Pensiamo, inoltre, a quelle aziende che producono o vendono prodotti alimentari specificamente destinati ad un certo pubblico di consumatori che scelgono solo alimenti certificati in base alle regole alimentari della propria religione (ad esempio, casherut o ḥalāl); o, ancora, ad un catering o ad una mensa che prevede questi alimenti nei propri menù: è chiaro che, in questo caso,il ristoratore è in grado di individuare la religione del cliente.
L’argomento è tanto più delicato se si pensa a quante sono, in Italia, le imprese nel settore della ristorazione e dell’accoglienza che sono gestite in un contesto familiare, dove spesso si usa ancora raccogliere le informazioni relative alle prenotazioni utilizzando la vecchia agenda di carta.
In queste agende spesso saranno presenti anche informazioni personali dei clienti (il numero di telefono, l’email, particolari relativi allo stato di salute come, ad esempio, eventuali allergie o scelte alimentari dei clienti vegani o vegetariani): in questi casi l’agenda cartacea raccoglie dati e informazioni che – pur se non raccolti e strutturati in forma digitale – sono comunque in grado di dare molte informazioni su specifici individui.
Stessa sorte, naturalmente, subiscono anche i dati degli ospiti degli hotel che soggiornano nella struttura, i quali finiscono per fornire al Titolare del trattamento numerosi tipi di dati: da quelli anagrafici, alle informazioni sulle abitudini e preferenze di consumo che, magari, vengono poi raccolte in un CRM e successivamente riutilizzate in campagne di marketing o successive offerte promozionali.
Sembra, quindi, inverosimile ritenere l’agenda cartacea lo strumento migliore per gestire correttamente i dati dei propri clienti, anche in funzione dei diritti che gli stessi possono esercitare in qualità di interessati, in primis, quello della cancellazione.
L’agenda cartacea, infatti, difficilmente consentirà al Titolare di raccogliere in modo organizzato e protetto i consensi degli interessati al trattamento dei loro dati particolari e le eventuali successive richieste di accesso, di rettifica, di opposizione, etc..
Salvo realtà molto contenute, l’entrata in vigore del GDPR impone, dunque, a chi opera nella ristorazione di dotarsi di uno strumento digitale adeguato a raccogliere le prenotazioni e contemporaneamente a gestire in modo sicuro, protetto ed organizzato la registrazione di tutte quelle ulteriori informazioni aggiuntive dei propri clienti in conformità ai principi stabiliti dal GDPR per la tutela degli interessati.