Ricevi aggiornamenti
su Messenger
13 min.

Il 25 maggio 2018 diviene pienamente operativo il GDPR, ovvero il nuovo regolamento europeo che norma il trattamento dei dati personali. In 22 domande e risposte all’Avv. Maglio, affrontiamo i dubbi più frequenti.

Per dirimere la matassa di questa materia complessa, eppure non eludibile per le aziende, ci affidiamo all’esperienza dell’Avv. Marco Maglio. Avvocato, Presidente dell’Osservatorio Europeo sulla Data Protection e fondatore di Lucerna Iuris, è uno dei più autorevoli esperti europei nel settore della data protection, del diritto d’autore e dell’analisi economica del diritto.

L’Avv. Maglio è stato con noi nel webinar che trovi nel video qui sotto, nel quale ha affrontato alcuni punti cruciali relativi al GDPR. Ti consigliamo di (ri)ascoltarlo, per poi procedere a leggere le domande successive.

1. Che cos’è il GDPR e quando entra in vigore?

Il GDPR (acronimo di General Data Protection Regulation) è una nuova normativa pan-europea che promette di rivoluzionare il modo in cui vengono intesi e gestiti i dati personali sul web, in un’ottica di trasparenza, semplificazione e unificazione tra Paesi.

È stato approvato dall’Unione Europea nel 2016 ed è formalmente già entrato in vigore. Essendo tuttavia un regolamento ad applicazione differita, diviene pienamente operativo due anni dopo la sua approvazione – il 25 maggio 2018. Una data che è un vero spartiacque tra un “prima” e un “dopo”.

2. Qual è la differenza rispetto alla normativa attuale?

Il GDPR è una normativa di nuova generazione: non impone soltanto nuove regolamentazioni, ma segna una vera e propria rivoluzione nell’approccio al trattamento dei dati personali. Le normative attuali sulla data protection (risalenti al 1995) sono state ideate in un periodo in cui internet era agli albori e la raccolta dei dati era radicalmente diversa rispetto all’attuale.

Oggi i dati sono una materia prima, un bene essenziale dell’economia.Per comprendere la portata del fenomeno, basti pensare che senza la raccolta e lo scambio efficiente di dati non potrebbero esistere la sharing economy, il marketing comportamentale, il behavioral advertising e l’Internet of Things.

La nuova normativa permette di sviluppare questo potenziale economico, consentendo al tempo stesso alle aziende europee di non avere uno svantaggio competitivo rispetto a realtà di altre aree geografiche, dove sono in vigore legislazioni meno restrittive.

GDPR: scarica il white paper

3. Quali sono le novità nella raccolta del consenso?

La raccolta del consenso è il nodo principale attorno a cui si articolano le principali criticità per le aziende che utilizzano i dati. Attualmente in Italia vige il meccanismo (molto rigido e formale) del consenso espresso (o metodo opt-in): il consenso è valido esclusivamente se raccolto tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. Non basta il silenzio-assenso.

Altri Paesi europei, da tempo, hanno sposato la logica del consenso presunto in base ai comportamenti dell’utente. Nel Regno Unito, ad esempio, vale il meccanismo dell’opt-out: viene automaticamente presunto il consenso a meno di una negazione esplicita.

La nuova regolamentazione, per armonizzare istanze e regole diverse, trova un punto di equilibrio: il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti positivi. Non deve quindi essere esplicitato con una casella barrata o con la firma di un modulo, ma vale se deriva da un’azione compiuta dall’utente.

Siamo già abituati a questo tipo di consenso grazie al funzionamento dei banner dei cookies. Restano comunque valide le forme di consenso tipicamente italiane (con caselle da barrare e moduli da firmare), ma si aprono nuovi scenari e nuove possibilità.

4. È possibile raccogliere già oggi i dati secondo il nuovo regolamento, ossia tramite i Comportamenti Concludenti Positivi?

No, la normativa europea del GDPR diventa applicabile dal 25 maggio 2018. Quello che si può fare in questo periodo è effettuare test per verificare l’efficacia di questi meccanismi alternativi per la raccolta dei consensi e l’adeguatezza delle soluzioni tecniche.

Allo stesso modo, non è ancora possibile raccogliere il consenso con i riferimenti alla nuova norma UE 2016, ma occorre attenersi alla dicitura 196/2003.

5. È necessario un consenso specifico se i dati vengono analizzati con strumenti informatici e la loro elaborazione viene sottoposta alla valutazione preventiva di una persona?

Esistono casi in cui i dati raccolti, interpretati in via preventiva da operatori umani, possono dare adito a discriminazioni nei confronti degli individui, ad esempio nella possibilità di accesso o meno a determinati servizi: un’eventualità che il nuovo regolamento intende prevenire.

Il GDPR prevede un’informativa chiara e un consenso specifico per questo tipo di trattamento – diversamente dal consenso generale, in questo caso il consenso deve essere espresso.

6. Come comportarsi con i dati che le aziende divulgano pubblicamente, ad esempio reperibili online?

Questi dati, anche se sono liberamente consultabili, non possono essere utilizzati liberamente per azioni di marketing diretto in assenza di un consenso informato, specifico e formulato in modo non equivoco dall’interessato.

7. È possibile che esistano dei “contitolari” dei dati?

Sì. La normativa prevede questa figura. In particolare, il Regolamento Europeo 2016/679 dedica a questa tipologia di titolari del trattamento l’articolo 26, che prevede quanto segue:

Articolo 26

Contitolari del trattamento

 

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

 

2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

 

3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

8. Come ci si comporta nei confronti della raccolta dati per strada, in caso di associazioni e simili che non rilasciano informativa?

È vietato raccogliere dati senza aver reso un’informativa e raccogliere i necessari consensi nei casi in cui siano necessari. Le associazioni senza fini di lucro sono tenute a rilasciare l’informativa anche se (anzi, a maggior ragione se) raccolgono i dati con modalità estemporanee, per permettere all’interessato di sapere come esercitare i suoi diritti rispetto ai dati trattati.

9. Il double-opt in è ancora raccomandato?

Il double opt-in prevede un doppio step di conferma, da parte dell’utente, circa la volontà di ricevere le comunicazioni. Non è un meccanismo legalmente obbligatorio, ma è certamente un meccanismo virtuoso: assolutamente raccomandato.

10. Come cambia l’informativa?

Siamo abituati a informative chilometriche, stracolme di riferimenti normativi, illeggibili: la vera sconfitta per un utilizzo consapevole ed efficace dei dati. Il GDPR rivoluziona l’informativa: semplice, trasparente, comprensibile, senza riferimenti normativi, scritta in linguaggio corrente. Deve consentire di comprendere, a colpo d’occhio, che fine fanno i dati forniti.

L’informativa deve essere strutturata per facilitare una lettura a più livelli o progressiva (in inglese, layered notice): un primo livello di lettura molto semplice a cui far seguire paragrafi di approfondimento, maggiori riferimenti e, perché no, anche un clip video che spieghi le finalità del trattamento.

11. I dati sensibili devono essere criptati?

Il GDPR non prevede un obbligo assoluto in tal senso. Le misure di sicurezza da adottare sono quelle previste dall’art. 32 del Regolamento 2016/679, che riporto qui di seguito:

Articolo 32

Sicurezza del trattamento

 

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

 

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

12. Che cosa fare dei dati raccolti in base alla vecchia normativa?

I dati già raccolti non vanno ritenuti persi: devono essere sottoposti a un’accurata analisi (definita assessment) per valutare se possono continuare a essere utilizzati anche alla luce della nuova normativa.

Non è consentito mantenere i dati nel database senza preoccuparsi di valutare come e quando sono stati raccolti. Non c’è una precisa data di scadenza: l’importante è che, alla data del 25 maggio 2018, ciascuna azienda abbia effettuato tale verifica e abbia definito un eventuale programma di raccolta aggiornato secondo le nuove regole.

Per rivitalizzare i dati sarà opportuno inviare una comunicazione chiara ed esplicita – non dal carattere giuridico, ma di condivisione -, che tranquillizzi l’utente circa l’utilizzo e le finalità dei dati.

13. Esiste un testo standard da utilizzare per rivitalizzare il contatto vecchio?

No. Occorre esaminare con cura il contesto, le modalità di raccolta dei dati, le finalità di utilizzo e ogni altro elemento utile. È sbagliato fare valutazioni di carattere generale rispetto a questo tema e occorrono invece analisi specifiche definite caso per caso in concreto. Ciò che vale per un caso determinato non vale in assoluto.

14. Chi definisce la data di scadenza dei dati? E come stabilire se sono diventati obsoleti?

È obbligo del titolare del trattamento e dei suoi responsabili stabilire i tempi di conservazione dei dati. Non ci sono al momento indicazioni vincolanti. La normativa si limita a dire che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento.

Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.

15. Ai fini dell’applicazione delle penali, è necessario dimostrare l’effettiva “analisi” e/o rivitalizzazione dei dati raccolti con la vecchia normativa? In caso di esito negativo, il dato va cancellato o comunque può essere trattenuto?

Occorre dimostrare che i tempi di conservazione sono stati definiti secondo criteri precisi, che vanno anche inseriti nell’informativa da rendere all’interessato dopo il 25 maggio 2018. Se non ci sono ragioni legittime che giustifichino la conservazione del dato, questo va cancellato o reso anonimo.

16. Cosa fare dei dati scaduti?

Vanno cancellati o in alternativa resi anonimi in modo irreversibile, per essere usati al fine di svolgere analisi aggregate.

17. Esempio dal mondo e-commerce: se un cliente lascia la propria email per ricevere informazioni sull’ordine, ma non spunta la casella per ricevere comunicazioni di carattere commerciale, come bisogna comportarsi?

In questo caso la persona, evitando di barrare la casella, ha espresso chiaramente che non intende ricevere messaggi commerciali. Quindi in questo caso resta valido il criterio attuale per cui il consenso non è stato validamente espresso. Occorre ripensare il modo con il quale viene chiesto il consenso all’interessato. Se prevedo le caselle da barrare per esprimerlo la mancata valorizzazione delle caselle equivale a diniego del consenso.

18. Esiste una differenza di trattamento tra ipotetici indirizzi info@azienda.it o amministrazione@azienda.it (non immediatamente associabili a persone fisiche) e rossi@azienda.it?

Sì, dal momento che dati relativi a persone fisiche e dati aziendali vengono trattati in maniera diversa. Gli indirizzi riferiti a persone (come rossi@azienda.it) sono qualificati come dati personali. Quelli riferiti a funzioni aziendali (info@azienda.it o amministrazione@azienda.it) non sono dati personali.

19. Quali aziende devono dotarsi di un DPO?

Il Data Protection Officer (in breve, DPO) è una nuova figura-chiave introdotta dal GDPR. Un ruolo interno alle aziende che ha il compito di verificare il corretto trattamento dei dati, predisporre il documento di Privacy Impact Assessment e in generale valutare che non vi siano rischi legati al trattamento dei dati.

L’obbligo di nominare il DPO è previsto solo nei casi indicati dall’art. 37 del Regolamento 2016/679. Questo articolo prevede quanto segue:

Articolo 37

Designazione del responsabile della protezione dei dati

 

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

 

– Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali

 

– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

 

– Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).

 

2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

 

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

20. Se in azienda non vi fosse nessuno qualificato per seguire il GDPR, esistono realtà in gradi di farsi carico del processo di messa a norma?

La normativa prevede che la gestione degli obblighi relativi al trattamento dei dati sia affidato all’esterno, in outsourcing, sulla base di un contratto di servizio. Esistono aziende che gestiscono in outsourcing il processo di adeguamento e la successiva verifica dei processi di trattamento dei dati.

21. Quali sono le sanzioni previste per le aziende?

Molte aziende vivono la possibilità di sanzioni in caso di mancata compliance come una delle implicazioni più minacciose del GDPR. Facciamo un po’ di chiarezza.

Le sanzioni imposte dal GDPR saranno più alte delle attuali. Il limite massimo sarà stabilito dall’autorità nazionale (in Italia, il Garante per la protezione dei dati e i giudici), in base ai seguenti criteri:

  • Se l’autore della sanzione è un’azienda singola (non parte di gruppi), la sanzione massima arriva a 20 milioni di euro
  • Se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale

Paiono sanzioni altissime, ma si tratta in realtà della soglia massima: la sanzione minima può essere ben diversa. L’ammontare della sanzione minima verrà decisa dai singoli legislatori nazionali, ed è attualmente in corso di valutazione.

22. Quali sono le autorità disposte a verificare che sia tutto in regola?

Le autorità competenti restano i singoli Garanti nazionali (in Italia il Garante per la protezione dei dati personali) ed i giudici competenti.

Hai altre domande?

Speriamo che il parere esperto dell’Avv. Maglio abbia risposto ai tuoi quesiti più pressanti. Se hai commenti o dubbi, faccelo sapere nei commenti qui sotto, citando anche il numero della domanda a cui fai riferimento.

Presto inaugureremo un nuovo ciclo di webinar dedicati a specifici temi legati al GDPR: per non perderli, tieni d’occhio questa pagina e iscriviti agli update con il form che trovi lì.

Per approfondire oggi la tematica del GDPR, sfrutta queste risorse gratuite create in collaborazione con l’Avv. Maglio:

Scarica il white paper sul GDPR

Ti è piaciuto questo articolo? Ne abbiamo molti altri in serbo per te.

Iscriviti ora per rimanere sempre aggiornato sulle novità di email e SMS marketing.

Leggi anche

Il GDPR al rush finale! 4 nuovi webinar e la MailUp Academy dedicata

Proseguono le tappe di avvicinamento al 25 maggio: con l’Avvocato Maglio, ogni due settimane, ci troveremo per approfondire gli obblighi più impellenti imposti dalla riforma. ...

Continua a leggere

Influencer Marketing: come farlo in modo legale ed eticamente corretto

Nella Video Academy con Matteo Pogliani abbiamo approfondito tutti gli step necessari per strutturare una strategia efficace di Influencer Marketing. Oggi aggiungiamo l'ultimo tassello, dalla ...

Continua a leggere

GDPR & dati personali: il white paper per convertire nuove leggi in opportunità

Novità, principi e attività da intraprendere in vista del 25 maggio 2018, in cui diverrà operativa la riforma sulla protezione dei dati. Una guida teorico-pratica ...

Continua a leggere

Marketing e dati personali: che cosa occorre sapere

Il marketing ha sempre più bisogno di dati. Il progresso tecnologico permette di elaborare con velocità crescente grandi masse di dati e questo determina una ...

Continua a leggere

Cookies: regole per l’uso dopo il Regolamento Europeo in materia di dati personali

Premessa: l’impatto del nuovo regolamento europeo sulle norme in materia di cookies Come molti sanno la normativa in materia di dati personali è interessata da un’importante ...

Continua a leggere

Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni

Siamo giunti all'atto conclusivo del nostro viaggio tra le novità del Regolamento generale sulla protezione dei dati personali, in fase di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea. Ricapitoliamo ...

Continua a leggere