Non perderti una notizia!

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Sì, voglio ricevere aggiornamenti sulla formazione e sugli eventi di MailUp.
10 min
  • 109
  • 2

Si avvicina a grandi passi l’approvazione della riforma europea che riscriverà profondamente le norme per l’utilizzo dei dati personali.

Se con il primo blog post abbiamo tracciato una panoramica del nuovo regolamento, ora è il momento di entrare nel dettaglio delle novità della riforma. Ne abbiamo individuate 10, e oggi ti illustriamo le prime cinque: dall’estensione geografica degli obblighi all’introduzione del Privacy Impact Assessment. Un tema chiave per chiunque operi nel digital marketing.

Guarda la Video Academy sulla riforma europea

1) La normativa allarga i confini

La prima domanda a cui occorre rispondere è questa: “Se un’azienda extraeuropea tratta i dati personali di cittadini del vecchio continente, quale legge si applica?” Fino a oggi era quella del titolare del trattamento, vale a dire di chi raccoglie i dati.

Con la riforma cambia tutto: gli obblighi previsti dal regolamento vengono estesi anche ai trattamenti di dati personali non svolti nell’Unione europea ma impiegati per l’offerta di beni e servizi a cittadini dei 28 paesi membri dellUnione; e lo stesso vale anche per i trattamenti che implicano il monitoraggio dei dati. Una rivoluzione se pensiamo che le vecchie regole prevedevano che la normativa da applicare fosse esclusivamente quella della nazione in cui avesse sede il titolare del trattamento.

Quanto a Facebook e Google? Come devono comportarsi alla luce del nuovo regolamento? Anche i due giganti della Silicon Valley saranno soggetti alla normativa europea.

2) La nuova logica dell’accountability

Con il nuovo regolamento diventa obbligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, relativi al trattamento dei dati personali.

È la logica dell’accountability, cioè della corretta organizzazione, documentazione e tracciabilità delle attività di trattamento. Il sistema documentale deve obbligatoriamente includere una “nutrita” serie di informazioni: come è stato raccolto il dato, dove, quando. Una sorta di scatola nera del trattamento. Chi non organizza al meglio la gestione dei dati è sanzionabile, a prescindere dagli abusi che ne possano derivare o meno.

3) Un’informativa semplice e chiara

L’informativa non sarà più uno strumento burocratico e formale. Con il nuovo regolamento deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono da fornire per iscritto, in forma cartacea o su supporto elettronico. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità del titolare. Inoltre, occorre informare gli interessati sull’origine dei dati trattati e indicarne il tempo di conservazione.

4) Modificare, integrare e cancellare i dati 

Con il vecchio regolamento l’interessato che vuole modificare, integrare e cancellare le proprie informazioni incontra grandi difficoltà nel richiedere l’accesso ai dati. I nuovi criteri mirano ad agevolare le modalità per richiedere e ottenere gratuitamente l’accesso ai dati, la loro rettifica e cancellazione.

5)  L’introduzione del Privacy Impact Assessment

Siamo stati per anni abituati a gestire il cosiddetto Documento Programmatico sulla Sicurezza (DPS), una sorta di fotografia che documenti l’adeguatezza delle misure di sicurezza adottate per trattare i dati personali. Nel 2012 ha cessato di essere obbligatorio ma con il nuovo regolamento dovremo presto imparare a destreggiarci con un nuovo strumento: il Privacy Impact Assessment (PIA), ovvero il documento di valutazione di impatto nel trattamento dei dati.

Si tratta di una vera e propria analisi dei rischi potenziali legati al trattamento dei dati: il titolare ha ora il dovere di effettuare una valutazione degli impatti determinati dal trattamento dei dati, fin dal momento della progettazione del processo aziendale e degli applicativi informatici a supporto dell’operazione, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi, che devono essere svolte periodicamente con cadenza almeno annuale:

  1. analisi dei rischi (list analysis);
  2. definizione della lista delle criticità (gap list);
  3. definizione del programma di intervento (action plan).

La probabilità e il livello di rischio legato al trattamento dei dati devono essere determinate in base alla natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati. Una vera e propria rivoluzione per quanti sono abituati alle confortevoli cadenze del DPS. Con il PIA viene introdotta una profonda analisi dei processi aziendali che mira a gestire i rischi, prevenendoli.

I prossimi focus: il consenso e la profilazione

Con la nostra rubrica di Legal & Privacy vogliamo fornirti una mappa per orientarti tra le intricate disposizioni del nuovo Regolamento europeo. Seguici sul nostro blog, con i prossimi post ti guidiamo tra gli ultimi cinque punti chiave della riforma, offrendoti un focus sulle novità nelle attività di profilazione.

Per qualsiasi dubbio puoi lasciare un commento qui sotto o iscriverti al webinar gratuito di giovedì 28 febbraio: dopo averti spiegato le novità della nuova riforma, risponderemo a tutte le tue domande!

Ti è piaciuto questo articolo? Ne abbiamo molti altri in serbo per te.

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Leggi anche

Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali

Premessa: l’impatto del nuovo regolamento europeo sulle norme in materia di cookies Come molti sanno la normativa in materia di dati personali è interessata da un’importante ...

Continua a leggere

Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni

Siamo giunti all'atto conclusivo del nostro viaggio tra le novità del Regolamento generale sulla protezione dei dati personali, in fase di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea. Ricapitoliamo ...

Continua a leggere

Email marketing e privacy #3: le svolte nel consenso e nella profilazione

Il nostro viaggio alla scoperta del nuovo Regolamento generale sulla protezione dei dati personali continua con un focus su due pilastri dell'email marketing: il consenso e la ...

Continua a leggere

Email marketing e privacy: l’Europa riscrive le regole

L'email marketing è in costante evoluzione, nelle strategie e nella tecnologia a supporto. Ma a mutare sono anche le leggi che ne regolamentano attività e ...

Continua a leggere

Vetting automatico: la nuova arma contro lo spam

I dolori della crescita L'email è uno dei pochi settori in cui i fornitori "liquidano" i propri clienti. È la triste realtà di uno strumento (l'email) tanto ...

Continua a leggere

Un anno per adeguare i banner sui cookie (3 di 3)

Alla luce dell'entrata in vigore del Regolamento Europeo in materia di dati personali, puoi trovare tutti gli aggiornamenti sul tema dei cookies in questo nuovo blog ...

Continua a leggere
  • Adriano

    Buongiorno avvocato, ho letto i suoi articoli e partecipato al webinar che lei ha tenuto sull’argomento ma c’è un punto che non mi è chiaro: la definizione di trattamento potenzialmente rischioso o dati appartenenti a categorie a rischio. E’ un punto importante perché da quello che ho capito determina la complessità della gestione dei dati secondo la nuova normativa.

    Nelle sue slide infatti è scritto, per la parte che parla del documento Privacy Impact Assessment (PIA), che quest’ultimo “andrà realizzato per trattamenti potenzialmente rischiosi”. Oppure quando si riferisce al Data Privacy Officer (DPO), indica che va nominato da organismi pubblici, grosse aziende (con più di 250 dipendenti) oppure imprese che trattino “tipologie di dati che per natura, oggetto o finalità siano definite categorie a rischio dalla normativa”. Dove posso trovare la definizione di rischio nella gestione o nella natura dei dati in modo di capire se la nostra società dovrà o meno assolvere a questi obblighi? E se non siamo tenuti a fare il PIA o tenuti a nominare il DPO, cosa deve essere fatto in alternativa? Grazie, Adriano Zancan, Wifiexpress.it.

  • Buongiorno, nella normativa esaminata in occasione del webinar non esiste una definizione di “rischio” nel trattamento dei dati personali. Dal punto di vista legale il rischio consiste nella probabilità che si verifichi un evento dannoso. Se mi chiede di entrare nel dettaglio, posso dirle che il rischio è un concetto probabilistico: è la probabilità che accada un certo evento, capace di causare un danno alle persone. La nozione di rischio implica l’esistenza di una sorgente di pericolo e di possibilità che essa si trasformi in un danno. Si tratta quindi di un concetto astratto che va determinato mediante un’analisi nel caso concreto e misurato. Per stabilire se un attività di trattamento è potenzialmente rischiosa occorre condurre la preliminare analisi del rischio, argomento che può ripercorrere nel nostro webinar: https://www.youtube.com/watch?v=P71xNT2Hpds&list=PL5nRlJMTo2HbIbwS__ICv91UEytIH84YT&index=25 Il rischio è determinato in concreto sulla base all’assessment che è onere del titolare effettuare. Nel caso specifico, avendo esaminato il vostro sito ed avendo visto che tipo di servizi offrite, posso dirle che la vostra società è sicuramente titolare di trattamenti ad alto rischio sia per la natura dei dati trattati sia per la quantità dei dati; siete quindi tenuti al rispetto delle norme al livello più elevato. Dovrete dotarvi di DPO. Dovrete effettuare periodicamente un Privacy Impact Assessment con un costante action plan di adeguamento rispetto ai gap di volta in volta rilevati. Dovrete definire delle regole molto accurate di conservazione dei dati mediante una data policy retention. Dovrete definire con la massima accuratezza le condizioni di uso del servizio per attribuire agli utenti le responsabilità individuali nel trattamento dei dati, applicando correttamente i criteri dell’accountability, della privacy by design e della privacy by default. Aggiungo poi che i fornitori di servizi di connettività sono sottoposti a rigorose norme specifiche di settore, che regolano le misure di sicurezza e i tempi di conservazione dei dati, oltre che l’obbligo di segnalare tempestivamente al Garante eventuali violazioni dei sistemi di connessione offerti come operatore dei servizi di comunicazione elettronica. Direi che il rischio è decisamente insito nel tipo di attività che svolgete. Dovreste quindi operare per analizzare il rischio, mitigarlo e monitorarlo costantemente. E in base alle nuove norme sarà vostro onere documentare adeguatamente lo svolgimento di tali attività. Buon lavoro.