| 15 marzo 2016

Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni

Siamo giunti all’atto conclusivo del nostro viaggio tra le novità del Regolamento generale sulla protezione dei dati personali, in fase di pubblicazione nella Gazzetta Ufficiale dell’Unione Europea. Ricapitoliamo il percorso intrapreso assieme:

  • abbiamo tracciato una panoramica della nuova riforma;
  • ci siamo addentrati tra le novità del testo di legge, esplorando i primi cinque punti essenziali;
  • abbiamo aperto una parentesi per soffermarci su due punti cardine della privacy aziendale: il consenso e la profilazione, anch’essi investiti dalla riforma;
  • ti abbiamo guidato tra le novità del regolamento con il nostro webinar, che puoi rivedere sul canale YouTube di MailUp.

Non manca che chiudere il cerchio, entrando nel dettaglio delle ultime cinque sostanziali novità della riforma europea. Partiamo.

6) Meno burocrazia, più sostanza: addio alla notificazione

Fino a oggi chi effettuava alcune tipologie di trattamento (geolocalizzazione, ricerca genetica, profilazione, analisi sulla puntualità dei pagamenti e altre tipologie di trattamenti particolarmente invasivi) era tenuto a notificare preventivamente l’attività al Garante per la protezione dei dati personali.

Con la riforma europea, che entrerà in vigore nel 2018, viene abolito l’obbligo di notificazione al Garante. Considerato troppo oneroso dal punto di vista amministrativo e finanziario – e mai veramente efficace –, la notificazione viene sostituita da meccanismi e procedure che si concentrano su quelle operazioni di trattamento che presentano potenziali rischi per i diritti e le libertà degli interessati, per la loro natura, la portata o la finalità.

Con il nuovo regolamento è necessario valutare il grado d’impatto che simili trattamenti possono avere sulla privacy dei contatti.

7) Un nuovo protagonista: il Data Privacy Officer

Se fino a oggi le attività di trattamento prevedevano tre ruoli classici (titolare, responsabile e incaricato), prepariamoci a un grosso cambiamento. Prima, però, sono d’obbligo alcune precisazioni: leggendo il testo di legge scopriamo con sorpresa che quello che chiamiamo “titolare”, in Europa si chiama “responsabile”, che è colui che definisce le finalità del trattamento; quello che noi chiamiamo “responsabile”, nella terminologia europea viene definito “incaricato”, e quelli che in Italia indichiamo come “incaricati” non sono previsti dal nuovo ordinamento europeo.

Novità e precisazioni terminologiche a parte, prepariamoci a una nuova figura chiave per la privacy aziendale: nasce il Data Privacy Officer, o anche responsabile della protezione dei dati personali. Una figura obbligatoria nei casi in cui:

  • chi tratta i dati è un soggetto pubblico;
  • l’azienda tratta una rivelante mole di dati personali;
  • l’azienda tratta sistematicamente dati sensibili o giudiziari.

Il Data Privacy Officer, che può essere un consulente esterno all’azienda, deve possedere i requisiti di professionalità, indipendenza e autonomia di spesa, diventando una sorta di auditor interno ai processi di trattamento dei dati personali, nonché il referente per il Garante della privacy, contattabile nel caso l’autorità voglia acquisire informazioni o contestare determinate attività di trattamento.

I compiti essenziali del Data Privacy Officer sono:

  • informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo;
  • vigilare sull’attuazione e sull’applicazione delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
  • verificare l’attuazione e l’applicazione del regolamento europeo; la sicurezza dei dati; il riscontro alle richieste degli interessati di esercitare i diritti riconosciuti dal regolamento;
  • garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
  • controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
  • porsi come punto di contatto tra l’azienda e il Garante;
  • controllare che le richieste del Garante vengano eseguite e, nell’ambito delle sue competenze, cooperare di propria iniziativa o su richiesta dell’autorità.

8) Privacy by design, privacy by default

La riforma introduce due nuovi principi fondativi: la privacy by design e la privacy by default.

Privacy by design significa che la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta delle informazioni: diventa così obbligatorio prevedere meccanismi di protezione fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati; è necessario analizzare i flussi di dati connessi all’attività che si vuole effettuare e adottare criteri che minimizzino i rischi del trattamento e riducano le quantità dei dati trattati (la cosiddetta attività di minimization of data).

Con privacy by default si intende l’obbligo di prevenire raccolte di dati non necessari per le finalità perseguite: è necessario evitare di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa.

La privacy cessa di essere un mero requisito legale e diventa un elemento intrinseco del processo di gestione delle informazioni: questa è la vera essenza della riforma, e chi non raccoglie il nuovo concetto è destinato a vagare alla ricerca di un centro di gravità permanente.

Privacy by design e by default si fondono in un unico precetto organizzativo che diventa, quindi, la vera stella polare nel cammino verso il corretto trattamento dei dati.

9) L’obbligo di autodenuncia per le violazioni

All’estero esiste da tempo, e prende il nome di data breach notification, cioè l’obbligo di segnalare all’Autorità le violazioni di dati (o personal data breaches) come la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati.

In Italia tale obbligo esiste solo per gli operatori di comunicazioni elettroniche ma con la riforma europea tutti hanno il dovere di adeguarsi a questo nuovo standard di sicurezza. Chi tratta dati, in  caso di violazione, deve:

  • notificare l’accaduto all’autorità di controllo entro 72 ore dal fatto;
  • segnalarlo al diretto interessato, senza ingiustificati ritardi.

Questo nuovo parametro di sicurezza spinge le aziende ad adottare software di monitoraggio che segnalino immediatamente le violazioni, e a ottenere le adeguate coperture assicurative che proteggano dai crescenti rischi legati al cosiddetto cyber risk.

10) Le sanzioni di nuova generazione

Con la riforma europea si passa dalle sanzioni a cifra fissa alle sanzioni “personalizzate”. Fino a oggi, in Italia, le ammende potevano toccare i 360 mila euro, con possibili incrementi legati alle dimensioni dell’impresa e alla gravità delle violazioni. Con la riforma le sanzioni vengono inasprite:

  • fino a 20 milioni di euro per i privati e le imprese che non fanno parte di gruppi societari;
  • fino al 4% del fatturato complessivo (consolidato) per i gruppi societari.

Si tratta di un cambio di passo significativo, dettato dalla volontà di incidere e vigilare sulla condotta di quelle grandi multinazionali che trattano dati in diverse aree geografiche e cercano di individuare i paradisi legali del trattamento per eludere la legge.

Si chiude qui il nostro viaggio nel nuovo regolamento. Tra normative, aggiornamenti e novità, speriamo di averti offerto un quadro esaustivo della riforma, entro cui aggiornare le tue attività di trattamento dei dati personali. Hai dubbi e punti di incertezza sul nuovo ordinamento? Non esitare a scriverci nello spazio per i commenti. Saremo felici di aiutarti.

Ti è piaciuto questo articolo? Iscriviti al blog per essere sempre aggiornato

Riceverai un’email ad ogni nuovo post.
Per te, in regalo i 10 migliori consigli di (email) marketing da seguire.