Email marketing e privacy #2: il nuovo regolamento in 10 punti

11 Febbraio 2016

Si avvicina a grandi passi l’approvazione della riforma europea che riscriverà profondamente le norme per l’utilizzo dei dati personali.

Se con il primo blog post abbiamo tracciato una panoramica del nuovo regolamento, ora è il momento di entrare nel dettaglio delle novità della riforma. Ne abbiamo individuate 10, e oggi ti illustriamo le prime cinque: dall’estensione geografica degli obblighi all’introduzione del Privacy Impact Assessment. Un tema chiave per chiunque operi nel digital marketing.

Guarda la Video Academy sulla riforma europea

1) La normativa allarga i confini

La prima domanda a cui occorre rispondere è questa: “Se un’azienda extraeuropea tratta i dati personali di cittadini del vecchio continente, quale legge si applica?” Fino a oggi era quella del titolare del trattamento, vale a dire di chi raccoglie i dati.

Con la riforma cambia tutto: gli obblighi previsti dal regolamento vengono estesi anche ai trattamenti di dati personali non svolti nell’Unione europea ma impiegati per l’offerta di beni e servizi a cittadini dei 28 paesi membri dellUnione; e lo stesso vale anche per i trattamenti che implicano il monitoraggio dei dati. Una rivoluzione se pensiamo che le vecchie regole prevedevano che la normativa da applicare fosse esclusivamente quella della nazione in cui avesse sede il titolare del trattamento.

Quanto a Facebook e Google? Come devono comportarsi alla luce del nuovo regolamento? Anche i due giganti della Silicon Valley saranno soggetti alla normativa europea.

2) La nuova logica dell’accountability

Con il nuovo regolamento diventa obbligatorio elaborare un sistema documentale di gestione della privacy contenente tutti gli atti, regolarmente aggiornati, relativi al trattamento dei dati personali.

È la logica dell’accountability, cioè della corretta organizzazione, documentazione e tracciabilità delle attività di trattamento. Il sistema documentale deve obbligatoriamente includere una “nutrita” serie di informazioni: come è stato raccolto il dato, dove, quando. Una sorta di scatola nera del trattamento. Chi non organizza al meglio la gestione dei dati è sanzionabile, a prescindere dagli abusi che ne possano derivare o meno.

3) Un’informativa semplice e chiara

L’informativa non sarà più uno strumento burocratico e formale. Con il nuovo regolamento deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

Le informazioni sono da fornire per iscritto, in forma cartacea o su supporto elettronico. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità del titolare. Inoltre, occorre informare gli interessati sull’origine dei dati trattati e indicarne il tempo di conservazione.

4) Modificare, integrare e cancellare i dati 

Con il vecchio regolamento l’interessato che vuole modificare, integrare e cancellare le proprie informazioni incontra grandi difficoltà nel richiedere l’accesso ai dati. I nuovi criteri mirano ad agevolare le modalità per richiedere e ottenere gratuitamente l’accesso ai dati, la loro rettifica e cancellazione.

5)  L’introduzione del Privacy Impact Assessment

Siamo stati per anni abituati a gestire il cosiddetto Documento Programmatico sulla Sicurezza (DPS), una sorta di fotografia che documenti l’adeguatezza delle misure di sicurezza adottate per trattare i dati personali. Nel 2012 ha cessato di essere obbligatorio ma con il nuovo regolamento dovremo presto imparare a destreggiarci con un nuovo strumento: il Privacy Impact Assessment (PIA), ovvero il documento di valutazione di impatto nel trattamento dei dati.

Si tratta di una vera e propria analisi dei rischi potenziali legati al trattamento dei dati: il titolare ha ora il dovere di effettuare una valutazione degli impatti determinati dal trattamento dei dati, fin dal momento della progettazione del processo aziendale e degli applicativi informatici a supporto dell’operazione, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi, che devono essere svolte periodicamente con cadenza almeno annuale:

  1. analisi dei rischi (list analysis);
  2. definizione della lista delle criticità (gap list);
  3. definizione del programma di intervento (action plan).

La probabilità e il livello di rischio legato al trattamento dei dati devono essere determinate in base alla natura, del campo di applicazione, del contesto e delle finalità del trattamento dei dati. Una vera e propria rivoluzione per quanti sono abituati alle confortevoli cadenze del DPS. Con il PIA viene introdotta una profonda analisi dei processi aziendali che mira a gestire i rischi, prevenendoli.

I prossimi focus: il consenso e la profilazione

Con la nostra rubrica di Legal & Privacy vogliamo fornirti una mappa per orientarti tra le intricate disposizioni del nuovo Regolamento europeo. Seguici sul nostro blog, con i prossimi post ti guidiamo tra gli ultimi cinque punti chiave della riforma, offrendoti un focus sulle novità nelle attività di profilazione.

Per qualsiasi dubbio puoi lasciare un commento qui sotto o iscriverti al webinar gratuito di giovedì 28 febbraio: dopo averti spiegato le novità della nuova riforma, risponderemo a tutte le tue domande!

Questo articolo è stato scritto da

Avv. Marco Maglio

Avv. Marco Maglio

Avvocato e Presidente dell'Osservatorio Europeo sulla Data Protection

Avvocato, fondatore di Lucerna Iuris, Network Giuridico Internazionale formato da studi legali specializzati in diritto del marketing e della comunicazione. Presiedo il Giurì per l'Autodisciplina del direct marketing e del commercio elettronico e l’Osservatorio Italiano Privacy. Partecipo alle attività dei principali Gruppi di lavoro formati da Esperti Internazionali in materia di Data Protection e Marketing Law e sono Componente del Legal Affairs & Ethics Committee di FEDMA (Federazione Europea del Direct Marketing) in rappresentanza dell'Italia. Sono Membro dell'International Privacy Professionals Association e sono Senior Certified Privacy Auditor.

Articoli correlati