| 11 febbraio 2016

Email marketing e privacy #2: il nuovo regolamento in 10 punti

Si avvicina a grandi passi l’approvazione della riforma europea che riscriverà profondamente le norme per l’utilizzo dei dati personali.

Se con il primo blog post abbiamo tracciato una panoramica del nuovo regolamento, ora è il momento di entrare nel dettaglio delle novità della riforma. Ne abbiamo individuate 10, e oggi ti illustriamo le prime cinque: dall’estensione geografica degli obblighi all’introduzione del Privacy Impact Assessment.

Un tema chiave per chiunque operi nel digital marketing, da approfondire nel nostro webinar gratuito in programma giovedì 25 febbraio: iscriviti subito, ti guidiamo alla scoperta delle novità del nuovo Regolamento europeo sul trattamento dei dati personali, dalla teoria alla sua applicazione pratica.

In rapida successione, ecco cosa cambia con la riforma:

1) La normativa allarga i confini

La prima domanda a cui occorre rispondere è questa: “Se un’azienda extraeuropea tratta i dati personali di cittadini del vecchio continente, quale legge si applica?” Fino a oggi era quella del titolare del trattamento, vale a dire di chi raccoglie i dati.

Con la riforma cambia tutto: gli obblighi previsti dal regolamento vengono estesi anche ai trattamenti di dati personali non svolti nell’Unione europea ma impiegati per l’offerta di beni e servizi a cittadini dei 28 paesi membri dellUnione; e lo stesso vale anche per i trattamenti che implicano il monitoraggio dei dati.

Una rivoluzione se pensiamo che le vecchie regole prevedevano che la normativa da applicare fosse esclusivamente quella della nazione in cui avesse sede il titolare del trattamento.

Quanto a Facebook e Google? Come devono comportarsi alla luce del nuovo regolamento? Anche i due giganti della Silicon Valley saranno soggetti alla normativa europea.

2) La nuova logica dell’accountability

Con il nuovo regolamento diventa obbligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, relativi al trattamento dei dati personali.

È la logica dell’accountability, cioè della corretta organizzazione, documentazione e tracciabilità delle attività di trattamento. Il sistema documentale deve obbligatoriamente includere una “nutrita” serie di informazioni: come è stato raccolto il dato, dove, quando. Una sorta di scatola nera del trattamento.

Chi non organizza al meglio la gestione dei dati è sanzionabile, a prescindere dagli abusi che ne possano derivare o meno.

3) Un’informativa semplice e chiara

L’informativa non sarà più uno strumento burocratico e formale. Con il nuovo regolamento deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono da fornire per iscritto, in forma cartacea o su supporto elettronico. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità del titolare.

Inoltre, occorre informare gli interessati sull’origine dei dati trattati e indicarne il tempo di conservazione.

4) I nuovi criteri per modificare, integrare e cancellare i dati 

Con il vecchio regolamento l’interessato che vuole modificare, integrare e cancellare le proprie informazioni incontra grandi difficoltà nel richiedere l’accesso ai dati.

I nuovi criteri mirano ad agevolare le modalità per richiedere e ottenere gratuitamente l’accesso ai dati, la loro rettifica e cancellazione.

5)  L’introduzione del Privacy Impact Assessment

Siamo stati per anni abituati a gestire il cosiddetto Documento Programmatico sulla Sicurezza (DPS), una sorta di fotografia che documenti l’adeguatezza delle misure di sicurezza adottate per trattare i dati personali.

Nel 2012 ha cessato di essere obbligatorio ma con il nuovo regolamento dovremo presto imparare a destreggiarci con un nuovo strumento: il Privacy Impact Assessment (PIA), ovvero il documento di valutazione di impatto nel trattamento dei dati.

Si tratta di una vera e propria analisi dei rischi potenziali legati al trattamento dei dati: il titolare ha ora il dovere di effettuare una valutazione degli impatti determinati dal trattamento dei dati, fin dal momento della progettazione del processo aziendale e degli applicativi informatici a supporto dell’operazione, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi, che devono essere svolte periodicamente con cadenza almeno annuale:

  1. analisi dei rischi (list analysis);
  2. definizione della lista delle criticità (gap list);
  3. definizione del programma di intervento (action plan).

La probabilità e il livello di rischio legato al trattamento dei dati devono essere determinate in base alla natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati.

Una vera e propria rivoluzione per quanti sono abituati alle confortevoli cadenze del DPS. Con il PIA viene introdotta una profonda analisi dei processi aziendali che mira a gestire i rischi, prevenendoli.

I prossimi focus: il consenso e la profilazione

Con la nostra rubrica di Legal & Privacy vogliamo fornirti una mappa per orientarti tra le intricate disposizioni del nuovo Regolamento europeo. Seguici sul nostro blog, con i prossimi post ti guidiamo tra gli ultimi cinque punti chiave della riforma, offrendoti un focus sulle novità nelle attività di profilazione.

Per qualsiasi dubbio puoi lasciare un commento qui sotto o iscriverti al webinar gratuito di giovedì 28 febbraio: dopo averti spiegato le novità della nuova riforma, risponderemo a tutte le tue domande!

Ti è piaciuto questo articolo? Iscriviti al blog per essere sempre aggiornato

Riceverai un’email ad ogni nuovo post.
Per te, in regalo i 10 migliori consigli di (email) marketing da seguire.

  • Adriano

    Buongiorno avvocato, ho letto i suoi articoli e partecipato al webinar che lei ha tenuto sull’argomento ma c’è un punto che non mi è chiaro: la definizione di trattamento potenzialmente rischioso o dati appartenenti a categorie a rischio. E’ un punto importante perché da quello che ho capito determina la complessità della gestione dei dati secondo la nuova normativa.

    Nelle sue slide infatti è scritto, per la parte che parla del documento Privacy Impact Assessment (PIA), che quest’ultimo “andrà realizzato per trattamenti potenzialmente rischiosi”. Oppure quando si riferisce al Data Privacy Officer (DPO), indica che va nominato da organismi pubblici, grosse aziende (con più di 250 dipendenti) oppure imprese che trattino “tipologie di dati che per natura, oggetto o finalità siano definite categorie a rischio dalla normativa”. Dove posso trovare la definizione di rischio nella gestione o nella natura dei dati in modo di capire se la nostra società dovrà o meno assolvere a questi obblighi? E se non siamo tenuti a fare il PIA o tenuti a nominare il DPO, cosa deve essere fatto in alternativa? Grazie, Adriano Zancan, Wifiexpress.it.

  • http://www.mailup.it/ Andrea | MailUp

    Buongiorno, nella normativa esaminata in occasione del webinar non esiste una definizione di “rischio” nel trattamento dei dati personali. Dal punto di vista legale il rischio consiste nella probabilità che si verifichi un evento dannoso. Se mi chiede di entrare nel dettaglio, posso dirle che il rischio è un concetto probabilistico: è la probabilità che accada un certo evento, capace di causare un danno alle persone. La nozione di rischio implica l’esistenza di una sorgente di pericolo e di possibilità che essa si trasformi in un danno. Si tratta quindi di un concetto astratto che va determinato mediante un’analisi nel caso concreto e misurato. Per stabilire se un attività di trattamento è potenzialmente rischiosa occorre condurre la preliminare analisi del rischio, argomento che può ripercorrere nel nostro webinar: https://www.youtube.com/watch?v=P71xNT2Hpds&list=PL5nRlJMTo2HbIbwS__ICv91UEytIH84YT&index=25 Il rischio è determinato in concreto sulla base all’assessment che è onere del titolare effettuare. Nel caso specifico, avendo esaminato il vostro sito ed avendo visto che tipo di servizi offrite, posso dirle che la vostra società è sicuramente titolare di trattamenti ad alto rischio sia per la natura dei dati trattati sia per la quantità dei dati; siete quindi tenuti al rispetto delle norme al livello più elevato. Dovrete dotarvi di DPO. Dovrete effettuare periodicamente un Privacy Impact Assessment con un costante action plan di adeguamento rispetto ai gap di volta in volta rilevati. Dovrete definire delle regole molto accurate di conservazione dei dati mediante una data policy retention. Dovrete definire con la massima accuratezza le condizioni di uso del servizio per attribuire agli utenti le responsabilità individuali nel trattamento dei dati, applicando correttamente i criteri dell’accountability, della privacy by design e della privacy by default. Aggiungo poi che i fornitori di servizi di connettività sono sottoposti a rigorose norme specifiche di settore, che regolano le misure di sicurezza e i tempi di conservazione dei dati, oltre che l’obbligo di segnalare tempestivamente al Garante eventuali violazioni dei sistemi di connessione offerti come operatore dei servizi di comunicazione elettronica. Direi che il rischio è decisamente insito nel tipo di attività che svolgete. Dovreste quindi operare per analizzare il rischio, mitigarlo e monitorarlo costantemente. E in base alle nuove norme sarà vostro onere documentare adeguatamente lo svolgimento di tali attività. Buon lavoro.