Non perderti una notizia!

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Sì, voglio ricevere aggiornamenti sulla formazione e sugli eventi di MailUp.
10 min
  • 116
  • 1

L’email marketing è in costante evoluzione, nelle strategie e nella tecnologia a supporto. Ma a mutare sono anche le leggi che ne regolamentano attività e processi.

Per questo, in occasione dell’imminente entrata in vigore del Regolamento generale sulla protezione dei dati personali, abbiamo pensato di dedicare all’argomento una nuova rubrica del nostro blog: nella sezione Legal & Privacy troverai contributi e approfondimenti dei nostri esperti per tenerti informato sul grande tema della tutela della privacy e degli aspetti legali nell’email marketing.

In questo primo blog post ti guidiamo a una panoramica sul nuovo Regolamento generale sulla protezione dei dati personali.

Le tappe che hanno portato alla riforma

Dopo quattro anni di discussione, la riforma della normativa sul trattamento dei dati personali taglia il traguardo.

Era il 25 gennaio 2012 quando la Commissione europea presentò un pacchetto legislativo – composto da una proposta di Regolamento e una proposta di Direttiva concernente il trattamento dei dati personali – per aggiornare la normativa attuale, che risale al 1995 (Direttiva 95/46/CE).

Il perché di una riforma? Il grande impatto che internet e gli sviluppi tecnologici hanno avuto sull’economia e le relazioni sociali ha spinto la Commissione europea a mettere la protezione dei dati personali tra le priorità della propria Agenda digitale. Da qui la decisione di introdurre un regolamento generale sulla protezione dei dati che sostituisca, senza necessità di leggi di recepimento, le singole normative nazionali.

Il regolamento permette di raggiungere questi tre obiettivi fondamentali:

  1. aggiornare i principi contenuti nella direttiva sulla protezione dei dati del 1995 e introdurre un unico testo normativo direttamente applicabile in tutti i 28 paesi membri dell’Unione europea;
  2. definire i diritti delle persone fisiche e stabilire gli obblighi di coloro che trattano i dati o sono responsabili del loro trattamento;
  3. stabilire anche i metodi per garantire il rispetto delle norme e la portata delle sanzioni a carico di coloro che le violano.

Dopo lunghe discussioni, durate oltre tre anni, nella riunione straordinaria tenutasi il 17 dicembre 2015 la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha espresso la sua posizione sui testi concordati nei negoziati tra il Consiglio, il Parlamento europeo e la Commissione. Il 18 dicembre 2015 il Comitato dei rappresentanti permanenti (Coreper) ha approvato il testo di compromesso definitivo del regolamento, che ora attende solo alcuni passaggi formali prima della pubblicazione in Gazzetta ufficiale dell’Unione europea.

Il progetto di regolamento affronta numerose questioni fondamentali e modifica la normativa vigente in molti elementi sostanziali. Vediamo quali:

1) I diritti degli interessati

Il regolamento elenca i diritti degli interessati, vale a dire le persone fisiche i cui dati personali vengono trattati. Questi diritti rafforzati conferiscono ai singoli un maggiore controllo sui propri dati personali attraverso:

  • la necessità del chiaro consenso dell’interessato al trattamento dei dati personali;
  • un accesso facilitato dell’interessato ai suoi dati personali;
  • il diritto alla rettifica, alla cancellazione e “all’oblio“;
  • il diritto di obiezione, anche riguardo all’uso dei dati personali a fini di “profilazione”;
  • il diritto di portabilità dei dati da un prestatore di servizi a un altro.

Il regolamento stabilisce anche l’obbligo per i responsabili del trattamento di fornire agli interessati informazioni trasparenti e facilmente accessibili sul trattamento dei loro dati.

2) Titolari, incaricati e Data Privacy Officer

Il nuovo regolamento specifica gli obblighi generali dei titolari del trattamento dei dati personali e di coloro che li trattano per loro conto (incaricati del trattamento). Tra questi, l’obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati (approccio basato sul rischio). I titolari del trattamento sono inoltre tenuti, in alcuni casi, a comunicare le violazioni di dati personali (data breach notification). Tutte le autorità pubbliche e le imprese che svolgono operazioni di trattamento dei dati rischiose dovranno inoltre nominare un’ulteriore figura responsabile della protezione dei dati: si tratta del cosiddetto Data Privacy Officer.

3) Garanti, multinazionali e nuove sanzioni

Il regolamento conferma l’attuale obbligo per gli Stati membri dell’Unione europea di istituire un’autorità di controllo indipendente a livello nazionale; punta anche a istituire meccanismi per garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’UE. In particolare, nei casi transfrontalieri importanti in cui sono coinvolte diverse autorità di controllo nazionali, si adotterà una decisione di controllo unica. In base a questo principio, noto come “sportello unico“, una società con controllate in diversi Stati membri dovrà interagire solo con l’autorità preposta alla protezione dei dati nello Stato membro in cui ha lo stabilimento principale.

Il progetto di accordo prevede anche l’istituzione di un Comitato europeo per la protezione dei dati, che comprenderà rappresentanti di tutte le 28 autorità di controllo indipendenti.

È riconosciuto il diritto degli interessati di proporre reclamo all’autorità di controllo, nonché il diritto a un ricorso giurisdizionale e il diritto al risarcimento e responsabilità. Gli interessati, inoltre, avranno il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni adottate dalle rispettive autorità preposte alla protezione dei dati. E ciò a prescindere dallo Stato membro in cui il responsabile del trattamento dei dati è stabilito.

Per i responsabili o gli incaricati del trattamento che violano le norme sulla protezione dei dati sono previste sanzioni molto severe, fino a 20 milioni di euro o al 4% del loro fatturato globale annuo, imposte dalle autorità nazionali preposte alla protezione dei dati.

4) I trasferimenti di dati verso un paese terzo

La proposta contempla anche il trasferimento di dati personali a paesi terzi e organizzazioni internazionali. In questo caso sarà la Commissione a valutare il livello di protezione offerto da un territorio o da un settore di trattamento in un paese terzo. In mancanza di una decisione di adeguatezza della Commissione, il trasferimento di dati personali può comunque avere luogo in casi particolari o quando esistono garanzie adeguate, come clausole di protezione dei dati, norme vincolanti d’impresa o clausole contrattuali.

Le prossime tappe del Regolamento

Il testo sarà presentato ai fini dell’adozione di un accordo politico in una prossima sessione del Consiglio e, dopo l’adozione della posizione del Consiglio in prima lettura, sarà trasmesso al Parlamento per approvazione. Si prevede che il regolamento entri in vigore nella primavera del 2016 e sia applicabile a partire dalla primavera del 2018.

Tre blog post e una Video Academy

Non perderti tutti i contenuti dedicati al nuovo regolamento. Ecco un indice dei contenuti che puoi trovare sul nostro blog:

Email marketing e privacy #2: il nuovo regolamento in 10 punti

Email marketing e privacy #3: le svolte nel consenso e nella profilazione

Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni

MailUp Video Academy: Nuovo regolamento europeo sulla Privacy

Ti è piaciuto questo articolo? Ne abbiamo molti altri in serbo per te.

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Leggi anche

Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali

Premessa: l’impatto del nuovo regolamento europeo sulle norme in materia di cookies Come molti sanno la normativa in materia di dati personali è interessata da un’importante ...

Continua a leggere

Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni

Siamo giunti all'atto conclusivo del nostro viaggio tra le novità del Regolamento generale sulla protezione dei dati personali, in fase di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea. Ricapitoliamo ...

Continua a leggere

Email marketing e privacy #3: le svolte nel consenso e nella profilazione

Il nostro viaggio alla scoperta del nuovo Regolamento generale sulla protezione dei dati personali continua con un focus su due pilastri dell'email marketing: il consenso e la ...

Continua a leggere

Email marketing e privacy #2: il nuovo regolamento in 10 punti

Si avvicina a grandi passi l'approvazione della riforma europea che riscriverà profondamente le norme per l'utilizzo dei dati personali. Se con il primo blog post abbiamo tracciato una ...

Continua a leggere

Vetting automatico: la nuova arma contro lo spam

I dolori della crescita L'email è uno dei pochi settori in cui i fornitori "liquidano" i propri clienti. È la triste realtà di uno strumento (l'email) tanto ...

Continua a leggere

Un anno per adeguare i banner sui cookie (3 di 3)

Alla luce dell'entrata in vigore del Regolamento Europeo in materia di dati personali, puoi trovare tutti gli aggiornamenti sul tema dei cookies in questo nuovo blog ...

Continua a leggere