Forza, è tempo di GDPR! - 10 passi per adeguarsi alla nuova normativa europea sulla privacy - HubSpot
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Sommario 1. Prefazione.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2. Fino a che punto sei rispettoso del GDPR?. . . . . . . . . . . . . . . . 4 3. Commercio tradizionale vs. e-commerce.. . . . . . . . . . . . . . . . . 7 4. A quali tipologie di dati dovresti fare attenzione? Dati personali e consenso.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 5. 10 passi per diventare “GDPR-compliant”. . . . . . . . . . . . . . . . 12 6. Le opportunità generate dal GDPR.. . . . . . . . . . . . . . . . . . . . . . . 21 Contatti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2
1. Prefazione. Forza, è tempo di GPDR! Splio e Taxmen sono due player digitali europei pienamente consapevoli di come la nuova normativa privacy dell’Unione Europea rappresenti un’opportunità per lo sviluppo del commercio in Europa e dell’attenzione che la riforma sta suscitando a livello globale. Splio ha sviluppato una piattaforma SaaS di omnichannel marketing che permette ai marketers di fornire ai propri clienti una customer experience pienamente integrata, aumentando la loyalty al brand e i ricavi. I dati sono un elemento chiave nelle strategie di marketing per gli oltre 500 clienti di Splio nel mondo. Insieme al team legale di Taxmen, società di servizi legali e fiscali per il commercio elettronico con un focus sull’Europa, abbiamo deciso di realizzare la presente guida per aiutare i marketer e i Data Protection Officer a raggiungere il traguardo della totale conformità con il GDPR. La guida aiuterà, inoltre, i marketer a comprendere l’importanza dei dati personali al fine d’impostare i migliori processi aziendali, far crescere l’impresa e instaurare solide relazioni con i clienti. Il GDPR è molto positivo per il mercato europeo, sia del commercio online che offline, perché i modelli di commercio stanno cambiando, e così pure i comportamenti dei clienti in tutto il mondo. La protezione dei dati è diventata cruciale e un imprescindibile fattore di crescita. I brand devono passare dal marketing B2C al marketing C2B, verso una dinamica molto incentrata sul cliente, nella quale i dati e la loyalty al brand giocano un ruolo chiave - con la generazione dei Millennials, che impone significativi cambiamenti all’ecosistema del commercio. I Millenials rappresentano i clienti del futuro e i marketers devono considerare le nuove esigenze dei clienti mentre sviluppano innovative strategie multicanale. I prossimi cinque capitoli evidenziano dieci passi concreti che devono essere compiuti nel percorso aziendale verso la conformità al GDPR, sottolineando anche la necessità di allineare tutti i team - marketing, digitale, commerciale, legale – affinché lavorino a stretto contatto per implementare la strategia aggiornata dei dati. 3
2. Fino a che punto sei rispettoso del GDPR? 25 maggio 2018: per la prima volta, un unico set di regole sulla privacy verrà applicato direttamente in tutti gli stati europei. Proprio in tal giorno, infatti, il Regolamento generale sulla protezione dei dati (GDPR) diventerà efficace per sostituire le attuali normative sulla privacy di 28 stati dell’UE, ancora parzialmente divergenti nonostante il processo di armonizzazione promosso dalla direttiva 95/46/CE (Direttiva sulla protezione dei dati - DPD). Il GDPR rafforza e meglio definisce i diritti fondamentali delle persone rispetto al trattamento dei dati personali e le regole relative alla libera circolazione dei dati personali. 2.1 Che cosa cambia: il nuovo ambito territoriale In primo luogo, il GDPR amplia il raggio d’applicazione territoriale della normativa sulla privacy europea, che ora diventerà espressamente applicabile al trattamento dei dati personali da parte di: ●● Imprese/organizzazioni stabilite nell’UE, a prescindere dalla circostanza che il trattamento avvenga all’interno dell’UE o meno; 4
●● Imprese/organizzazioni non stabilite nell’UE, quando il trattamento riguarda: a. l’offerta di beni /servizi, anche a titolo gratuito, a persone localizzate nell’UE; e/o b. il monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all’interno dell’UE; ●● Imprese/organizzazioni non UE, ma operanti in un territorio in cui la legge di uno stato dell’UE si applica in virtù del diritto pubblico internazionale. 2.2 Le principali modifiche alla normativa sulla privacy dell’UE Accanto all’estensione dell’ambito d’applicazione territoriale, le principali modifiche alla normativa europea sulla privacy introdotte dal GDPR includono: : ●● Maggiori oneri informativi a carico dei data controller: cresce il novero delle informazioni da fornire ai soggetti interessati, che ora include espressamente: il periodo di conservazione dei dati previsto (o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo), il diritto individuale all’oblio, il diritto a domandare la sospensione del trattamento, a presentare un reclamo all’autorità di controllo competente e a ricevere ulteriori informazioni; ●● Consenso: il GDPR rafforza i requisiti necessari affinché il consenso dell’utente possa assurgere a fondamento giuridico legittimante il trattamento di dati personali; ●● Diritto all’oblio e diritto alla limitazione del trattamento: in ossequio alla giurisprudenza della Corte di Giustizia Europea, il GDPR ha codificato il diritto dei soggetti interessati a veder cancellati i propri dati personali o a veder limitato il loro trattamento (a determinate condizioni); ●● Notifica di violazione: la notifica di una violazione dei dati personali all’autorità di controllo competente diventa obbligatoria quando la violazione dei dati può “comportare un rischio per i diritti e le libertà delle persone fisiche”; 5
●● DPO e DPIA: a specifiche condizioni, sono stati introdotti l’obbligo di nominare un responsabile della protezione dei dati (Data Protection Officer - DPO) e/o di completare una valutazione d’impatto sulla protezione dei dati (data protection impact assessment – DPIA); ●● Rappresentante di imprese non-UE: le imprese non-UE che trattano dati personali ai sensi della normativa sulla privacy dell’UE sono ora tenuti a designare per iscritto un rappresentante nell’UE (salvo deroghe). È probabile che ulteriori modifiche normative introdotte dal GDPR abbiano maggiore rilevanza per gli operatori digitali rispetto agli attori dell’economia tradizionale. Di conseguenza, descriviamo tali novità separatamente, nel successivo capitolo §3. È importante ricordare il significato dei termini più frequenti adottati sia nel DPD che, ora, nel GDPR: ●● Titolare del trattamento dati – d’ora innanzi, “data controller”: il soggetto che, da solo o congiuntamente con un altro soggetto, determina le finalità e i mezzi del trattamento dei dati personali; ●● Responsabile del trattamento dati - d’ora innanzi, “data processor”: ove esistente, il soggetto che elabora i dati personali per conto del responsabile del trattamento; ●● Soggetto interessato: la persona identificata o identificabile a cui i dati personali afferiscono. ●● Per il significato di “dati personali”, si veda il successivo §4.1. 2.3 Perché dovrai essere pronto: responsabilità e sanzioni È estremamente importante che ogni impresa rispetti il GDPR. Infatti, l’impresa che violi la disciplina privacy potrà essere chiamata a risarcire patrimonialmente i soggetti che abbiano subito danni materiali o immateriali a seguito di tale violazione. Inoltre, le autorità nazionali di controllo saranno legittimate ad applicare sanzioni amministrative nei confronti di imprese e organizzazioni che violino le norme del GDPR, con un limite massimo di 20 milioni di euro o, nel caso di imprese, fino al 4% del totale fatturato annuo mondiale dell’esercizio precedente (a seconda di quale sia il più alto). 6
3. Commercio tradizionale vs. e-commerce. Mentre la maggior parte del GDPR si rivolge, parimenti, alle imprese “tradizionali” e alle imprese “digitali”, parte delle nuove disposizioni normative riflette, con tutta evidenza, i cambiamenti che la tecnologia ha comportato per l’economia globale negli ultimi decenni. Tali novità avranno, pertanto, un impatto specifico sullo scenario dell’e-commerce. 3.1 Il GDPR e l’economia digitale Varie parti del GDPR sembrano rivolgere l’attenzione proprio al settore digitale: ●● Portabilità dei dati Quando i dati personali sono trattati con mezzi automatizzati, a determinate condizioni gli interessati hanno il diritto di ricevere i loro dati personali dai titolari del trattamento in un “formato strutturato, comunemente usato e leggibile da una macchina”. In sostanza, la portabilità dei dati è il diritto degli utenti che hanno fornito i propri dati personali a un responsabile del trattamento di ricevere un sottoinsieme dei loro dati personali e/o di veder trasmessi tali dati personali a un altro data controller senza impedimenti. 7
●● Dati personali di minori 16 anni è diventata l’età minima per fornire un legittimo consenso al trattamento dei dati personali in relazione all’offerta di servizi della società dell’informazione. Ove un minore abbia meno di 16 anni, il trattamento dei dati personali sarà lecito solo se viene fornito il consenso dei genitori o dei tutori. Il GDPR consente agli stati dell’UE di abbassare tale soglia, ma non sotto i 13 anni. ●● Privacy by design Il GDPR “cristallizza” il principio in base al quale prodotti e servizi devono essere progettati tenendo esplicitamente conto della normativa sulla privacy; per esempio, riducendo al minimo l’elaborazione dei dati e attuando la pseudonimizzazione dei dati nel più breve tempo possibile. ●● Profilazione e processi decisionali automatizzati Il GDPR prevede norme per proteggere la privacy delle persone quando un’impresa stia conducendo processi decisionali esclusivamente automatizzati che sortiscano effetti legali nei confronti degli interessati o che incidano in modo analogo significativamente sulla loro persona. Le imprese possono eseguire processo decisionale automatizzato quando la relativa decisione è: necessaria per la conclusione o l’esecuzione di un contratto; o autorizzata dalla legge applicabile; oppure basata sul consenso esplicito dell’interessato. 3.2 La proposta di regolamento sulla “e-privacy” Nel gennaio 2017, la Commissione Europea ha depositato la proposta per un nuovo regolamento concernente il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, destinato ad abrogare l’attuale direttiva sulla privacy elettronica (Direttiva 2002/58/CE). La proposta riguarda la protezione dei dati personali nel settore delle comunicazioni elettroniche, integrando il GDPR per quanto riguarda le comunicazioni elettroniche che si qualificano come dati personali. Ogni questione relativa al trattamento dei dati personali che non sarà affrontata dal nuovo regolamento e-privacy dovrà invece ritenersi soggetta al GDPR. La proposta di regolamento sulla privacy elettronica dovrebbe essere approvata dal Consiglio nel corso del 2018. 8
4. A quali tipologie di dati dovresti fare attenzione? Dati personali e consenso. ll GDPR riguarda la protezione dei “dati personali”, ovvero ogni informazione relativa a una persona fisica identificata o identificabile. Il GDPR definisce la nozione di persona identificabile: “la persona fisica che può̀ essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Le premesse al GDPR specificano che gli identificativi online includono anche gli indirizzi IP (Internet Protocol), i marcatori temporanei (cookies) o identificativi di altro tipo, come i tag di identificazione a radiofrequenza, in particolare se combinati con identificatori univoci e/o altre informazioni ricevute dai server allo scopo di creare profili di persone fisiche e identificarle. Al contrario, la normativa comunitaria sulla privacy non si applica alle informazioni anonime, ovvero quelle che non riguardano una persona identificata/identificabile o ai dati personali resi anonimi in modo tale che l’interessato non sia identificabile. Diverso è il caso dei dati personali soggetti a pseudonimizzazione, che potrebbero quindi essere attribuiti a una persona fisica mediante l’uso di informazioni aggiuntive. 9
Questo tipo di elaborazione è consentito, o addirittura incoraggiato in alcuni casi, purché tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che i dati personali in questione non possano essere attribuiti a una persona specifica. 4.1 Categorie particolari di dati (dati sensibili) Esistono categorie particolari di dati personali il cui trattamento è vietato dalla legge (salvo limitate deroghe): dati personali che rivelino “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonchè trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. In alcuni casi, il GDPR autorizza la deroga al divieto di trattamento di categorie speciali di dati personali. Ad esempio, se esiste il consenso dell’interessato interessato per uno o più scopi specifici e non sia legalmente precluso all’interessato derogare a tale divieto. 4.2 Consenso Le norme sul consenso diventano più severe sotto il GDPR, che stabilisce requisiti maggiormente rigorosi per il consenso quale legittimo fondamento per il trattamento di dati. In ossequio a varie decisioni della Corte di giustizia europea, il GDPR ha ora codificato in legge i principi che disciplinano il consenso dell’interessato al trattamento dei dati personali: ●● La richiesta di consenso all’interessato deve essere chiaramente distinguibile da qualsiasi altra richiesta, comunicazione o informazione comunicata dal data controller; inoltre, deve essere comprensibile, facilmente accessibile ed espressa in un linguaggio chiaro e intellegibile; ●● Il consenso deve essere fornito in base ad un atto chiaro e affermativo che rifletta l’indicazione di un accordo liberamente espresso, specifico, informato e non ambiguo; ●● Silenzio assenso, caselle pre-spuntate o inattività dell’interessato non costituiscono valido consenso al trattamento dei dati; ●● Si presume che il consenso non sia concesso liberamente nel caso in cui l’interessato non esprima un consenso separato al trattamento di dati personali diversi o quando la prestazione di un servizio è subordinata al consenso del cliente al trattamento dei dati (sempre che tale elaborazione non sia necessaria per fornire tale servizio); 10
●● Quando un’attività di trattamento dati ha molteplici finalità, il consenso deve essere fornito per tutti gli scopi; ●● La revoca del consenso da parte dell’interessato deve essere agevole come l’espressione di tale consenso. 11
5. 10 passi per diventare “GDPR-compliant”. Il GDPR aumenta significativamente i requisiti documentali, organizzativi e contrattuali per le imprese che trattano dati personali rientranti nell’ambito applicativo della normativa sulla privacy europea. Pertanto, tutte le imprese dovrebbero verificare attentamente che l’attuale struttura aziendale, i processi operativi e le relazioni contrattuali si adattino specificamente al nuovo quadro normativo. Il prossimo 25 maggio è letteralmente dietro l’angolo: non c’è molto tempo per implementare eventuali modifiche richieste dalla nuova normativa. Traendo ispirazione dagli orientamenti emanati dalle istituzioni dell’UE, con particolare riguardo al Gruppo di lavoro “Articolo 29” (“A29 WP”) e varie autorità di controllo nazionali, abbiamo delineato un elenco di domande che la vostra impresa dovrebbe porsi al fine di comprendere se le politiche interne sulla privacy e le prassi aziendali richiedono dei miglioramenti. Considerando che ogni impresa vanta una propria, peculiare struttura e elabora tipologie di dati personali diverse, il seguente elenco rappresenta soltanto come un punto di partenza per fini di compliance interna, senza che possa costituire un’esaustiva consulenza legale. 12
1 Raccogli e processi dati personali rientranti nell’ambito del GDPR? Innanzitutto, dovreste valutare se la vostra impresa stia elaborando informazioni personali interessate dalla normativa sulla privacy dell’UE. Se la vostra impresa è stabilita nell’UE, la maggior parte delle attività di trattamento relative ai dati personali rientreranno nell’ambito di applicazione del GDPR. Anche se la vostra impresa è stabilita al di fuori dell’UE, a determinate condizioni il GDPR può comunque applicarsi; per esempio quando l’elaborazione dei dati riguarda informazioni appartenenti a persone situate nel territorio dell’UE. Se la risposta alla domanda del titolo di questo paragrafo è “Sì”, vuol dire che il GDPR troverà applicazione: dovreste, pertanto, porvi le seguenti domande. 2 State trattando i dati personali in modo legittimo? I molteplici fondamenti giuridici per il legittimo trattamento dei dati personali previsti dal GDPR non differiscono molto dai principi già stabiliti nell’ambito della DPD. Nondimeno, ci sono alcune novità. In primis, il GDPR stabilisce requisiti più stringenti per il consenso dell’utente nei casi in cui quest’ultimo è obbligatorio per il legittimo trattamento dei dati personali. Inoltre, vi sono nuove limitazioni riguardanti il consenso dei minori. In generale, i data controller sono ora espressamente obbligati a dimostrare di svolgere le proprie attività nel rispetto dei principi della privacy e a dichiarare esplicitamente la loro responsabilità in tal senso (“accountability”). 3 Avete aggiornato le vostre informative sulla privacy? Anche quando un’impresa è legittimata a trattare dati personali, ci sono molti obblighi e requisiti (alcuni dei quali nuovi) imposti dal GDPR per fini di protezione della privacy. Di conseguenza, tutte le imprese sono tenute a rivedere le proprie politiche di protezione dei dati, le prassi interne e le procedure di formazione del personale al fine di garantire la conformità delle proprie attività d’impresa con il GDPR. Poiché il GDPR aumenta in modo significativo i diritti privacy dei soggetti interessati dal trattamento, la maggior parte delle imprese dovrebbe rivedere e aggiornare le proprie note informative e le privacy policy sui siti web per evitare ogni violazione di legge. 13
Il GDPR richiede alle imprese digitali di spiegare in modo chiaro e trasparente i diritti privacy di utenti e clienti. “Trasparenza” è sempre più una parola chiave nell’ambito della nuova cornice normativa. 4 “Chi” sta facendo “cosa”, in termini di privacy, nella tua organizzazione? Ancor più che in passato, il GDPR impone che le imprese mettano in atto misure di governance appropriate per la protezione dei dati personali. In particolare, i data controller devono dimostrare l’implementazione di misure tecniche e organizzative idonee a garantire che l’elaborazione dei dati personali venga eseguita in conformità al GDPR. Ogni impresa dovrebbe allocare un budget finanziario adeguato per l’implementazione di ogni misura necessaria per la tutela della privacy. Inoltre, i data controller devono mantenere un accurato registro delle attività di trattamento svolte sotto la propria responsabilità. 5 È necessario nominare un responsabile della protezione dei dati? Il Data Protection Officer (DPO) è un soggetto pienamente coinvolto nella supervisione di tutte le questioni d’impresa afferenti la protezione dei dati personali. In base al GDPR, la designazione di un DPO diventa obbligatoria per un’organizzazione in tre casi specifici: a. se il trattamento dei dati è effettuato da un’autorità/organismo pubblico (indipendentemente dal tipo di dati che vengono elaborati); e/ou b. se una delle attività principali di un data controller/data processor implica il monitoraggio regolare e sistematico degli interessati su larga scala; e/o c. se una delle attività principali di un data controller/data processor consiste nell’elaborare su vasta scala categorie speciali di dati (dati sensibili) o dati personali relativi a condanne penali e reati. Mentre il caso a) è abbastanza lineare, al contrario, determinare se un’organizzazione rientri o meno in uno dei casi di cui alle lettere b) e c) non è sempre facile – visto che il significato di concetti come “attività principali”, “su larga scala” e “ monitoraggio regolare e sistematico” adottati dal GDPR non sono espressamente definiti dalla legge. 14
Secondo il WPA 29, le “attività principali” dovrebbero essere considerate quelle operazioni chiave necessarie per raggiungere gli obiettivi di un’organizzazione, comprese tutte le attività in cui l’elaborazione dei dati costituisce una “parte inestricabile” dell’attività del data controller/data processor. Ad esempio: elaborare i dati sanitari è una delle attività principali dell’ospedale e gli ospedali devono quindi designare un DPO. Al contrario, la mera elaborazione, da parte di un’impresa, dei dati personali del suo personale (ad esempio, per fini previdenziali) rappresenta un’attività ausiliaria e non un’attività principale di tale organizzazione; essa, pertanto, non comporta necessariamente l’obbligo di nominare un responsabile della protezione dei dati. Secondo il WPA 29, inoltre, la nozione di “monitoraggio regolare e sistematico delle persone interessate” comprende tutte le forme di tracciamento e profilazione di Internet, anche ai fini della pubblicità comportamentale. Altri esempi di “monitoraggio regolare e sistematico” includono anche: retargeting di e-mail e attività di marketing basate sui dati; profilazione e punteggio per scopi di valutazione del credito, localizzazione tramite app mobili; CCTV e altri dispositivi. Per determinare se il trattamento dei dati personali è effettuato su “larga scala”, i seguenti fattori dovrebbero essere in particolare considerati: il numero di interessati; il volume di dati personali e / o la gamma di diversi dati personali trattati; la durata, o la permanenza, dell’attività di elaborazione dei dati; l’estensione geografica dell’attività di elaborazione e altri fattori. Tra alcuni esempi di elaborazione su larga scala menzionati dal WP A29: una compagnia di assicurazioni o una banca che elabora i dati dei clienti nel normale corso degli affari; provider di servizi telefonici o internet che elaborano dati (contenuto, traffico, posizione); l’elaborazione dei dati di geo-localizzazione in tempo reale relativi a clienti di una catena di fast food internazionale a fini statistici da parte di un processor specializzato. Bisogna essere consapevoli che le normative nazionali possono imporre ad un’impresa di nominare un responsabile della protezione dei dati anche in altre situazioni. All’atto di designare un DPO, un’impresa deve fare attenzione che gli altri compiti e doveri del responsabile della protezione dei dati non si traducano in un conflitto di interessi tra i ruoli. In particolare, il responsabile della protezione dei dati non dovrebbe ricoprire una posizione all’interno dell’impresa che gli consenta di determinare le finalità e/o i mezzi per il trattamento di dati personali (ad esempio, responsabile delle risorse umane o capo IT, ecc.), perché ciò, molto probabilmente, implicherebbe un conflitto di interessi. Anche quando il GDPR non richiede specificamente la nomina di un DPO, le imprese possono scegliere di designare un DPO su base volontaria. In tal caso, tuttavia, gli 15
stessi severi requisiti stabiliti dal GDPR i casi di obbligatorietà del data protection officer si applicano per legge anche alla nomina volontaria. 6 È necessario completare una valutazione dell’impatto sulla protezione dei dati? Ai sensi del GDPR, quando le attività di elaborazione sono suscettibili di comportare un un “rischio elevato per i diritti e le libertà delle persone fisiche”, il responsabile del trattamento è tenuto per legge a completare una valutazione d’impatto sulla protezione dei dati personali. Tale valutazione è definita, in inglese, come Data Protection Impact Assessment (DPIA). La DPIA è uno strumento fondamentale per soddisfare i requisiti del GDPR e per dimostrare che sono state adottate misure appropriate al fine di garantire il rispetto di tali requisiti. A causa della sua utilità, in passato molte imprese hanno già completato un DPIA in via volontaria. Il WP A29 ha cercato di definire quando le attività di trattamento dati sono suscettibili di comportare un elevato rischio per i diritti e le libertà delle persone e, quindi, devono essere soggette a una DPIA. I seguenti fattori dovrebbero essere principalmente considerati: ●● Valutazione o punteggio, inclusa la profilazione e la previsione, in particolare per quanto riguarda le prestazioni di una persona sul lavoro, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento; ●● Decisioni automatizzate he hanno effetti giuridici o incidono in modo analogo significativamente sui soggetti interessati; ●● Monitoraggio sistematico; ●● Dati sensibili o dati di natura altamente personale; ●● Dati trattati su larga scala; ●● Abbinamento o combinazione di set di dati; ●● dati riguardanti persone vulnerabili; ●● Uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative; ●● Quando il trattamento dei dati impedisce di per sé agli individui di esercitare un diritto o di utilizzare un servizio o un contratto. Sulla base dei criteri sopra riportati, il WP A29 ha elencato alcuni esempi di attività di 16
trattamento dati che richiedono un DPIA, tra cui: la raccolta di dati pubblici sui social media per la generazione di profili; un’organizzazione che controlla sistematicamente le attività dei propri dipendenti (ad esempio, la postazione di lavoro dei dipendenti, l’attività su Internet, ecc.); un istituto finanziario che crea un rating di ampio livello o un database relativo a frodi. Da un punto di vista contenutistico, la DPIA dovrebbe, almeno: ●● descrivere le operazioni di trattamento previste e i loro scopi; ●● valutare la necessità/proporzionalità del trattamento e i rischi per i diritti privacy; ●● elencare le misure previste per contenere tali rischi e dimostrare la loro conformità con il GDPR. Se la vostra impresa ha raggiunto la conclusione che una DPIA non è richiesta dalla legge, dovreste tuttavia mantenere evidenza dei fatti e delle considerazioni che vi hanno condotto a tale conclusione. 7 La tua organizzazione è pronta a intraprendere le azioni richieste dal GDPR? È probabile che il GDPR aumenti l’interazione tra i responsabili del trattamento, da un lato, e gli interessati, le autorità di controllo e altri soggetti interessati, dall’altro; allo stesso tempo, in determinate circostanze, anche critiche, le imprese saranno chiamate ad adottare misure e rimedi per soddisfare i requisiti GDPR. Ad esempio, la maggior parte dei data controller dovrà rispondere alle richieste di portabilità dei dati da parte degli interessati. In caso di richiesta, quindi, la vostra organizzazione dovrà essere in grado di rispondere a tale richiesta e di trasmettere i dati personali agli stessi interessati o ad altri controller in un formato appropriato ed entro un breve lasso di tempo, come previsto dalla legge. Inoltre, vi è il problema delle violazioni dei dati personali. Purtroppo, le violazioni della sicurezza che portano alla perdita o alla divulgazione non autorizzata di dati personali possono verificarsi in quasi tutte le imprese. Il GDPR introduce un obbligo generale di notifica di violazioni in capo ai data controller e ai data processor. In caso di violazione dei dati personali, i data processor (ove presenti) sono tenuti a informare i data controller. A loro volta, nella maggior parte dei casi, i data controller devono notificare tale violazione dei dati personali all’autorità di controllo 17
competente e, in casi specifici, anche ai soggetti interessati in relazione ai dati oggetto di violazione. 8 Dovete attenervi a un Codice di condotta? E’ richiesta una certificazione/sigillo relativo alla protezione dei dati? Il GDPR promuove l’approvazione, da parte delle autorità nazionali di controllo, di codici di condotta per il trattamento dei dati personali redatti da associazioni/ altri organismi che rappresentino data controller. Specifici organismi certificati controlleranno che un’impresa rispetti il codice di condotta. Ove una “proposta” di codice di condotta si riferisca ad attività di trattamento transfrontaliero, sarà richiesta un’approvazione preliminare da parte del comitato europeo per la protezione dei dati. Se tale codice di condotta sarà approvato, la Commissione Europea potrà successivamente dichiarare la sua validità generale in Europa. Inoltre, il GDPR incoraggia ogni stato dell’UE a stabilire meccanismi di certificazione per la protezione della privacy e sigilli o marchi che certifichino la conformità delle prassi aziendali rispetto al GDPR. Tali certificazioni/sigilli/marchi saranno rilasciati da organismi accreditati in ogni stato dell’UE e avranno durata non superiore ai 3 anni. Tuttavia, in caso di audit dell’autorità di controllo competente, anche un’impresa che abbia ottenuto una certificazione/sigillo/marchio dovrà nondimeno dimostrare di essere pienamente conforme al GDPR. 9 I vostri partner rispettano la GDPR? A determinate condizioni, un’impresa può essere ritenuta responsabile, in ottica civilistica, per violazioni della normativa GDPR compiute da terze parti. Può accadere, in particolare, quando un data controller deleghi il trattamento dei dati personali a un processor le cui attività non siano conformi al GDPR o quando due o più controller stabiliscono congiuntamente le finalità e i mezzi del trattamento di dati personali. Quando un controller delega ad un data processor attività di trattamento dati, il GDPR sottolinea che: 18
●● il data controller deve verificare che il data processor fornisca garanzie sufficienti sull’attuazione di misure tecnico-organizzative soddisfacenti i requisiti del GDPR; in caso contrario, entrambe le parti possono essere considerate responsabili in solido per violazioni della legge sulla privacy; e ●● le attività del data processor e il suo rapporto con il data controller devono essere regolate da un contratto. Inoltre, quando ci sono contitolari del trattamento di dati personali, essi dovrebbero definire puntualmente rispettivi ruoli e responsabilità, in relazione alla normativa GDPR, per mezzo di un accordo scritto. L’essenza dell’accordo deve essere messa a disposizione del soggetto interessato. Alla luce del nuovo quadro giuridico, la maggior parte delle imprese sono chiamate a rivedere e ad aggiornare le clausole sulla privacy incluse nei loro attuali contratti con clienti e fornitori per prevenire eventuali violazioni di dati personali e, inoltre, proteggersi da potenziali responsabilità civili in materia di privacy derivanti da condotte di terzi. 10 Trasferite dati personali al di fuori dello Spazio economico europeo (SEE)? Sulla “scia” della DPD, il GDPR pone restrizioni significative al trasferimento di dati personali dallo SEE verso paesi terzi (o verso organizzazioni internazionali). La ragione di fondo di tali limitazioni è che non tutti i paesi o territori garantiscono un livello adeguato di protezione dei dati personali. Ai sensi del GDPR, il trasferimento di dati personali verso un paese terzo (o verso un’organizzazione internazionale) è consentito soltanto ove sia soddisfatto almeno uno dei seguenti requisiti: ●● La Commissione Europea ha statuito che il paese terzo garantisce un adeguato livello di protezione (l’elenco dei paesi già indicati dalla Commissione Europea rimarrà in vigore); ●● Il data controller/data processor del paese terzo ha fornito “garanzie adeguate” in merito alla tutela dei dati personali, ma a condizione che nel territorio dove i dati sono trasferiti esistano adeguati diritti per la protezione dei dati e rimedi giuridici efficaci. Secondo il GDPR, le “garanzie adeguate” possono consistere in: regole aziendali vincolanti; clausole standard di protezione dei dati adottate dalla Commissione Europea; clausole standard sulla protezione dei dati approvate dalla 19
Commissione Europea, adottate da un’autorità di controllo; codici di condotta; meccanismi di certificazione (a condizioni specifiche). Le altre principali deroghe alla restrizione del trasferimento di dati personali al di fuori del SEE si basano sui seguenti motivi: ●● Consenso informato da parte dell’interessato; ●● Necessità contrattuale; ●● importanti motivi di interesse pubblico; ●● Esercizio di (o difesa da) azioni legali; ●● Interessi vitali del soggetto interessato o di altre persone; ●● Pregressa inclusione dei dati in pubblici registri. 20
6. Le opportunità generate dal GDPR. Il GDPR è principalmente teso a proteggere i diritti alla privacy delle persone, non necessariamente a promuovere l’interesse delle imprese. La nuova disciplina aumenta in modo evidente le tempistiche e i costi in capo alle imprese necessari per adempiere alle prescrizioni sulla privacy e, contestualmente, le risorse per formare il personale in materia di protezione dei dati personali. Pertanto, l’arrivo del GDPR non è ancora percepito dalle imprese come una...buona notizia. Tuttavia, la maggior parte delle imprese trarrà vantaggio dal rispetto delle nuove regole sotto vari profili: ●● Reputazione: una maggiore sicurezza privacy migliorerà la reputazione e la credibilità dell’impresa tra partner e clienti. Al contrario, attacchi informatici o violazioni di dati personali possono facilmente offuscare la reputazione di un’impresa; per non parlare del modo in cui eventuali reclami dei clienti relativi a questioni di privacy pubblicati su Internet (social media, ecc.) possono avere un effetto negativo sull’immagine del brand; ●● Dati di marketing più accurati ed efficaci: ai sensi del GDPR, i marketer sono autorizzati a utilizzare solo i dati personali degli utenti che hanno aderito alle comunicazioni di marketing. Ciò significa database degli utenti più ristretti ma 21
di migliore qualità – ciò comportando tassi di conversione più elevati per le campagne di marketing, almeno a medio-lungo termine. Inoltre, le imprese sono sempre più vincolate a mantenere i dati personali corretti e aggiornati, con effetti altrettanto positivi quando si tratta di trasformare tali dati in vendite; ●● Implicazioni legali: il pieno rispetto del GDPR permette di evitare potenziali responsabilità civili e conseguenze amministrativo-penali. Al contrario, le risorse che si risparmiano oggi evitando una debita consulenza legale o omettendo attività di due diligence interna potrebbero, un giorno, trasformarsi in pesanti responsabilità o sanzioni per la vostra impresa. 22
Contatti. Alan Rhode Sandra Fernandes Co-founder of Taxmen Director, Marketing & Alan.rhode@taxmen.eu Communications at Splio sfernandes@splio.com Taxmen Taxmen è la società one-stop-shop di servizi legali e fiscali per il commercio elettronico. Nell’ambito della normativa sulla privacy, Taxmen è parte del tavolo regolamentare di Ecommerce Europe, l’associazione europea che rappresenta oltre 75.000 negozi online. www.taxmen.eu Splio Splio ha sviluppato una Customer Platform che consente ai marketer di creare campagne di loyalty marketing, online e offline, garantendo una customer experience unica su tutti i canali. In questo modo i differenti team all’interno dell’azienda sono allineati e riescono a perseguire insieme lo stesso obiettivo: generare più vendite a livello locale e globale. Con headquarter a Parigi, SPLIO supporta i suoi clienti in tre continenti, con uffici in Cina, Spagna, Italia, Polonia e Brasile e conta ad oggi più di 500 clienti, tra i quali Givenchy, Caudalie, Patrizia Pepe, Yves Rocher, QVC, Pittarosso, Martha’s Cottage, Lindt, Intersport, Atahotels. www.splio.com
Puoi anche leggere