Ricevi aggiornamenti
su Messenger
10 min

Si avvicina a grandi passi l’approvazione della riforma europea che riscriverà profondamente le norme per l’utilizzo dei dati personali.

Se con il primo blog post abbiamo tracciato una panoramica del nuovo regolamento, ora è il momento di entrare nel dettaglio delle novità della riforma. Ne abbiamo individuate 10, e oggi ti illustriamo le prime cinque: dall’estensione geografica degli obblighi all’introduzione del Privacy Impact Assessment. Un tema chiave per chiunque operi nel digital marketing.

Guarda la Video Academy sulla riforma europea

1) La normativa allarga i confini

La prima domanda a cui occorre rispondere è questa: “Se un’azienda extraeuropea tratta i dati personali di cittadini del vecchio continente, quale legge si applica?” Fino a oggi era quella del titolare del trattamento, vale a dire di chi raccoglie i dati.

Con la riforma cambia tutto: gli obblighi previsti dal regolamento vengono estesi anche ai trattamenti di dati personali non svolti nell’Unione europea ma impiegati per l’offerta di beni e servizi a cittadini dei 28 paesi membri dellUnione; e lo stesso vale anche per i trattamenti che implicano il monitoraggio dei dati. Una rivoluzione se pensiamo che le vecchie regole prevedevano che la normativa da applicare fosse esclusivamente quella della nazione in cui avesse sede il titolare del trattamento.

Quanto a Facebook e Google? Come devono comportarsi alla luce del nuovo regolamento? Anche i due giganti della Silicon Valley saranno soggetti alla normativa europea.

2) La nuova logica dell’accountability

Con il nuovo regolamento diventa obbligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, relativi al trattamento dei dati personali.

È la logica dell’accountability, cioè della corretta organizzazione, documentazione e tracciabilità delle attività di trattamento. Il sistema documentale deve obbligatoriamente includere una “nutrita” serie di informazioni: come è stato raccolto il dato, dove, quando. Una sorta di scatola nera del trattamento. Chi non organizza al meglio la gestione dei dati è sanzionabile, a prescindere dagli abusi che ne possano derivare o meno.

3) Un’informativa semplice e chiara

L’informativa non sarà più uno strumento burocratico e formale. Con il nuovo regolamento deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono da fornire per iscritto, in forma cartacea o su supporto elettronico. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità del titolare. Inoltre, occorre informare gli interessati sull’origine dei dati trattati e indicarne il tempo di conservazione.

4) Modificare, integrare e cancellare i dati 

Con il vecchio regolamento l’interessato che vuole modificare, integrare e cancellare le proprie informazioni incontra grandi difficoltà nel richiedere l’accesso ai dati. I nuovi criteri mirano ad agevolare le modalità per richiedere e ottenere gratuitamente l’accesso ai dati, la loro rettifica e cancellazione.

5)  L’introduzione del Privacy Impact Assessment

Siamo stati per anni abituati a gestire il cosiddetto Documento Programmatico sulla Sicurezza (DPS), una sorta di fotografia che documenti l’adeguatezza delle misure di sicurezza adottate per trattare i dati personali. Nel 2012 ha cessato di essere obbligatorio ma con il nuovo regolamento dovremo presto imparare a destreggiarci con un nuovo strumento: il Privacy Impact Assessment (PIA), ovvero il documento di valutazione di impatto nel trattamento dei dati.

Si tratta di una vera e propria analisi dei rischi potenziali legati al trattamento dei dati: il titolare ha ora il dovere di effettuare una valutazione degli impatti determinati dal trattamento dei dati, fin dal momento della progettazione del processo aziendale e degli applicativi informatici a supporto dell’operazione, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi, che devono essere svolte periodicamente con cadenza almeno annuale:

  1. analisi dei rischi (list analysis);
  2. definizione della lista delle criticità (gap list);
  3. definizione del programma di intervento (action plan).

La probabilità e il livello di rischio legato al trattamento dei dati devono essere determinate in base alla natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati. Una vera e propria rivoluzione per quanti sono abituati alle confortevoli cadenze del DPS. Con il PIA viene introdotta una profonda analisi dei processi aziendali che mira a gestire i rischi, prevenendoli.

I prossimi focus: il consenso e la profilazione

Con la nostra rubrica di Legal & Privacy vogliamo fornirti una mappa per orientarti tra le intricate disposizioni del nuovo Regolamento europeo. Seguici sul nostro blog, con i prossimi post ti guidiamo tra gli ultimi cinque punti chiave della riforma, offrendoti un focus sulle novità nelle attività di profilazione.

Per qualsiasi dubbio puoi lasciare un commento qui sotto o iscriverti al webinar gratuito di giovedì 28 febbraio: dopo averti spiegato le novità della nuova riforma, risponderemo a tutte le tue domande!

Ti è piaciuto questo articolo? Ne abbiamo molti altri in serbo per te.

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Leggi anche

Il GDPR al rush finale! 4 nuovi webinar e la MailUp Academy dedicata

Proseguono le tappe di avvicinamento al 25 maggio: con l’Avvocato Maglio, ogni due settimane, ci troveremo per approfondire gli obblighi più impellenti imposti dalla riforma. ...

Continua a leggere

GDPR: 22 domande & risposte con l’Avv. Maglio

Il 25 maggio 2018 diviene pienamente operativo il GDPR, ovvero il nuovo regolamento europeo che norma il trattamento dei dati personali. In 22 domande e ...

Continua a leggere

Influencer Marketing: come farlo in modo legale ed eticamente corretto

Nella Video Academy con Matteo Pogliani abbiamo approfondito tutti gli step necessari per strutturare una strategia efficace di Influencer Marketing. Oggi aggiungiamo l'ultimo tassello, dalla ...

Continua a leggere

GDPR & dati personali: il white paper per convertire nuove leggi in opportunità

Novità, principi e attività da intraprendere in vista del 25 maggio 2018, in cui diverrà operativa la riforma sulla protezione dei dati. Una guida teorico-pratica ...

Continua a leggere

Marketing e dati personali: che cosa occorre sapere

Il marketing ha sempre più bisogno di dati. Il progresso tecnologico permette di elaborare con velocità crescente grandi masse di dati e questo determina una ...

Continua a leggere

Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali

Premessa: l’impatto del nuovo regolamento europeo sulle norme in materia di cookies Come molti sanno la normativa in materia di dati personali è interessata da un’importante ...

Continua a leggere