Forza, è tempo di GDPR! - 10 passi per adeguarsi alla nuova normativa europea sulla privacy - HubSpot
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Forza, è tempo di GDPR!
10 passi per adeguarsi alla nuova
normativa europea sulla privacy
1
Sommario
1. Prefazione.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Fino a che punto sei rispettoso del GDPR?. . . . . . . . . . . . . . . . 4
3. Commercio tradizionale vs. e-commerce.. . . . . . . . . . . . . . . . . 7
4. A quali tipologie di dati dovresti fare attenzione?
Dati personali e consenso.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
5. 10 passi per diventare “GDPR-compliant”. . . . . . . . . . . . . . . . 12
6. Le opportunità generate dal GDPR.. . . . . . . . . . . . . . . . . . . . . . . 21
Contatti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2
1. Prefazione.
Forza, è tempo di GPDR! Splio e Taxmen sono due player digitali europei
pienamente consapevoli di come la nuova normativa privacy dell’Unione Europea
rappresenti un’opportunità per lo sviluppo del commercio in Europa e dell’attenzione
che la riforma sta suscitando a livello globale.
Splio ha sviluppato una piattaforma SaaS di omnichannel marketing che permette ai
marketers di fornire ai propri clienti una customer experience pienamente integrata,
aumentando la loyalty al brand e i ricavi. I dati sono un elemento chiave nelle strategie
di marketing per gli oltre 500 clienti di Splio nel mondo.
Insieme al team legale di Taxmen, società di servizi legali e fiscali per il commercio
elettronico con un focus sull’Europa, abbiamo deciso di realizzare la presente guida
per aiutare i marketer e i Data Protection Officer a raggiungere il traguardo della
totale conformità con il GDPR. La guida aiuterà, inoltre, i marketer a comprendere
l’importanza dei dati personali al fine d’impostare i migliori processi aziendali, far
crescere l’impresa e instaurare solide relazioni con i clienti.
Il GDPR è molto positivo per il mercato europeo,
sia del commercio online che offline, perché i
modelli di commercio stanno cambiando, e così
pure i comportamenti dei clienti in tutto il mondo.
La protezione dei dati è diventata cruciale e un
imprescindibile fattore di crescita. I brand devono
passare dal marketing B2C al marketing C2B, verso
una dinamica molto incentrata sul cliente, nella
quale i dati e la loyalty al brand giocano un ruolo
chiave - con la generazione dei Millennials, che impone significativi cambiamenti
all’ecosistema del commercio. I Millenials rappresentano i clienti del futuro e i
marketers devono considerare le nuove esigenze dei clienti mentre sviluppano
innovative strategie multicanale.
I prossimi cinque capitoli evidenziano dieci passi concreti che devono essere
compiuti nel percorso aziendale verso la conformità al GDPR, sottolineando anche la
necessità di allineare tutti i team - marketing, digitale, commerciale, legale – affinché
lavorino a stretto contatto per implementare la strategia aggiornata dei dati.
3
2. Fino a che punto sei
rispettoso del GDPR?
25 maggio 2018: per la prima volta, un unico set di regole sulla privacy verrà
applicato direttamente in tutti gli stati europei.
Proprio in tal giorno, infatti, il Regolamento generale sulla protezione dei dati
(GDPR) diventerà efficace per sostituire le attuali normative sulla privacy di 28 stati
dell’UE, ancora parzialmente divergenti nonostante il processo di armonizzazione
promosso dalla direttiva 95/46/CE (Direttiva sulla protezione dei dati - DPD).
Il GDPR rafforza e meglio definisce i diritti fondamentali delle persone rispetto al
trattamento dei dati personali e le regole relative alla libera circolazione dei dati
personali.
2.1 Che cosa cambia: il nuovo ambito territoriale
In primo luogo, il GDPR amplia il raggio d’applicazione territoriale della normativa
sulla privacy europea, che ora diventerà espressamente applicabile al trattamento
dei dati personali da parte di:
●● Imprese/organizzazioni stabilite nell’UE, a prescindere dalla circostanza che il
trattamento avvenga all’interno dell’UE o meno;
4
●● Imprese/organizzazioni non stabilite nell’UE, quando il trattamento riguarda:
a. l’offerta di beni /servizi, anche a titolo gratuito, a persone localizzate nell’UE; e/o
b. il monitoraggio del loro comportamento, nella misura in cui tale
comportamento ha luogo all’interno dell’UE;
●● Imprese/organizzazioni non UE, ma operanti in un territorio in cui la legge di uno
stato dell’UE si applica in virtù del diritto pubblico internazionale.
2.2 Le principali modifiche alla normativa sulla privacy dell’UE
Accanto all’estensione dell’ambito d’applicazione territoriale, le principali modifiche
alla normativa europea sulla privacy introdotte dal GDPR includono: :
●● Maggiori oneri informativi a carico dei data controller: cresce il novero delle
informazioni da fornire ai soggetti interessati, che ora include espressamente:
il periodo di conservazione dei dati previsto (o, se ciò non è possibile, i criteri
utilizzati per determinare tale periodo), il diritto individuale all’oblio, il diritto a
domandare la sospensione del trattamento, a presentare un reclamo all’autorità
di controllo competente e a ricevere ulteriori informazioni;
●● Consenso: il GDPR rafforza i requisiti necessari affinché il consenso dell’utente
possa assurgere a fondamento giuridico legittimante il trattamento di dati
personali;
●● Diritto all’oblio e diritto alla limitazione del trattamento: in ossequio alla
giurisprudenza della Corte di Giustizia Europea, il GDPR ha codificato il diritto dei
soggetti interessati a veder cancellati i propri dati personali o a veder limitato il
loro trattamento (a determinate condizioni);
●● Notifica di violazione: la notifica di una violazione dei dati personali all’autorità
di controllo competente diventa obbligatoria quando la violazione dei dati può
“comportare un rischio per i diritti e le libertà delle persone fisiche”;
5
●● DPO e DPIA: a specifiche condizioni, sono stati introdotti l’obbligo di nominare
un responsabile della protezione dei dati (Data Protection Officer - DPO) e/o di
completare una valutazione d’impatto sulla protezione dei dati (data protection
impact assessment – DPIA);
●● Rappresentante di imprese non-UE: le imprese non-UE che trattano dati
personali ai sensi della normativa sulla privacy dell’UE sono ora tenuti a designare
per iscritto un rappresentante nell’UE (salvo deroghe).
È probabile che ulteriori modifiche normative introdotte dal GDPR abbiano maggiore
rilevanza per gli operatori digitali rispetto agli attori dell’economia tradizionale. Di
conseguenza, descriviamo tali novità separatamente, nel successivo capitolo §3.
È importante ricordare il significato dei termini più frequenti adottati sia nel DPD che,
ora, nel GDPR:
●● Titolare del trattamento dati – d’ora innanzi, “data controller”: il soggetto che, da
solo o congiuntamente con un altro soggetto, determina le finalità e i mezzi del
trattamento dei dati personali;
●● Responsabile del trattamento dati - d’ora innanzi, “data processor”: ove esistente,
il soggetto che elabora i dati personali per conto del responsabile del trattamento;
●● Soggetto interessato: la persona identificata o identificabile a cui i dati personali
afferiscono.
●● Per il significato di “dati personali”, si veda il successivo §4.1.
2.3 Perché dovrai essere pronto: responsabilità e sanzioni
È estremamente importante che ogni impresa rispetti il GDPR. Infatti, l’impresa che
violi la disciplina privacy potrà essere chiamata a risarcire patrimonialmente i soggetti
che abbiano subito danni materiali o immateriali a
seguito di tale violazione.
Inoltre, le autorità nazionali di controllo saranno
legittimate ad applicare sanzioni amministrative nei
confronti di imprese e organizzazioni che violino le
norme del GDPR, con un limite massimo di 20 milioni
di euro o, nel caso di imprese, fino al 4% del totale
fatturato annuo mondiale dell’esercizio precedente
(a seconda di quale sia il più alto).
63. Commercio tradizionale
vs. e-commerce.
Mentre la maggior parte del GDPR si rivolge, parimenti, alle imprese “tradizionali”
e alle imprese “digitali”, parte delle nuove disposizioni normative riflette, con tutta
evidenza, i cambiamenti che la tecnologia ha comportato per l’economia globale
negli ultimi decenni. Tali novità avranno, pertanto, un impatto specifico sullo scenario
dell’e-commerce.
3.1 Il GDPR e l’economia digitale
Varie parti del GDPR sembrano rivolgere l’attenzione proprio al settore digitale:
●● Portabilità dei dati
Quando i dati personali sono trattati con mezzi automatizzati, a determinate
condizioni gli interessati hanno il diritto di ricevere i loro dati personali dai titolari
del trattamento in un “formato strutturato, comunemente usato e leggibile da
una macchina”.
In sostanza, la portabilità dei dati è il diritto degli utenti che hanno fornito i propri
dati personali a un responsabile del trattamento di ricevere un sottoinsieme
dei loro dati personali e/o di veder trasmessi tali dati personali a un altro data
controller senza impedimenti.
7●● Dati personali di minori
16 anni è diventata l’età minima per fornire un legittimo consenso al trattamento
dei dati personali in relazione all’offerta di servizi della società dell’informazione.
Ove un minore abbia meno di 16 anni, il trattamento dei dati personali sarà lecito
solo se viene fornito il consenso dei genitori o dei tutori.
Il GDPR consente agli stati dell’UE di abbassare tale soglia, ma non sotto i 13 anni.
●● Privacy by design
Il GDPR “cristallizza” il principio in base al quale prodotti e servizi devono essere
progettati tenendo esplicitamente conto della normativa sulla privacy; per esempio,
riducendo al minimo l’elaborazione dei dati e attuando la pseudonimizzazione
dei dati nel più breve tempo possibile.
●● Profilazione e processi decisionali automatizzati
Il GDPR prevede norme per proteggere la privacy delle persone quando
un’impresa stia conducendo processi decisionali esclusivamente automatizzati
che sortiscano effetti legali nei confronti degli interessati o che incidano in modo
analogo significativamente sulla loro persona. Le imprese possono eseguire
processo decisionale automatizzato quando la relativa decisione è: necessaria per
la conclusione o l’esecuzione di un contratto; o autorizzata dalla legge applicabile;
oppure basata sul consenso esplicito dell’interessato.
3.2 La proposta di regolamento sulla “e-privacy”
Nel gennaio 2017, la Commissione Europea ha depositato
la proposta per un nuovo regolamento concernente il
trattamento dei dati personali e la tutela della vita privata
nel settore delle comunicazioni elettroniche, destinato
ad abrogare l’attuale direttiva sulla privacy elettronica
(Direttiva 2002/58/CE).
La proposta riguarda la protezione dei dati personali nel
settore delle comunicazioni elettroniche, integrando il
GDPR per quanto riguarda le comunicazioni elettroniche
che si qualificano come dati personali. Ogni questione
relativa al trattamento dei dati personali che non sarà
affrontata dal nuovo regolamento e-privacy dovrà invece
ritenersi soggetta al GDPR.
La proposta di regolamento sulla privacy elettronica dovrebbe essere approvata dal
Consiglio nel corso del 2018.
84. A quali tipologie di dati
dovresti fare attenzione?
Dati personali e consenso.
ll GDPR riguarda la protezione dei “dati personali”, ovvero ogni informazione relativa
a una persona fisica identificata o identificabile.
Il GDPR definisce la nozione di persona identificabile: “la persona fisica che può̀
essere identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione,
un identificativo online o a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica, culturale o sociale”.
Le premesse al GDPR specificano che gli identificativi online includono anche gli
indirizzi IP (Internet Protocol), i marcatori temporanei (cookies) o identificativi di altro
tipo, come i tag di identificazione a radiofrequenza, in particolare se combinati con
identificatori univoci e/o altre informazioni ricevute dai server allo scopo di creare
profili di persone fisiche e identificarle.
Al contrario, la normativa comunitaria sulla privacy non si applica alle informazioni
anonime, ovvero quelle che non riguardano una persona identificata/identificabile
o ai dati personali resi anonimi in modo tale che l’interessato non sia identificabile.
Diverso è il caso dei dati personali soggetti a pseudonimizzazione, che potrebbero
quindi essere attribuiti a una persona fisica mediante l’uso di informazioni aggiuntive.
9Questo tipo di elaborazione è consentito, o addirittura incoraggiato in alcuni casi,
purché tali informazioni aggiuntive siano conservate separatamente e siano soggette
a misure tecniche e organizzative per garantire che i dati personali in questione non
possano essere attribuiti a una persona specifica.
4.1 Categorie particolari di dati (dati sensibili)
Esistono categorie particolari di dati personali il cui trattamento è vietato dalla legge
(salvo limitate deroghe): dati personali che rivelino “l’origine razziale o etnica, le
opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale,
nonchè trattare dati genetici, dati biometrici intesi a identificare in modo univoco una
persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale
della persona”.
In alcuni casi, il GDPR autorizza la deroga al divieto di trattamento di categorie speciali
di dati personali. Ad esempio, se esiste il consenso dell’interessato interessato per
uno o più scopi specifici e non sia legalmente precluso all’interessato derogare a tale
divieto.
4.2 Consenso
Le norme sul consenso diventano più severe sotto il GDPR, che stabilisce requisiti
maggiormente rigorosi per il consenso quale legittimo fondamento per il trattamento
di dati.
In ossequio a varie decisioni della Corte di giustizia europea, il GDPR ha ora codificato
in legge i principi che disciplinano il consenso dell’interessato al trattamento dei dati
personali:
●● La richiesta di consenso all’interessato deve essere chiaramente distinguibile
da qualsiasi altra richiesta, comunicazione o informazione comunicata dal data
controller; inoltre, deve essere comprensibile, facilmente accessibile ed espressa
in un linguaggio chiaro e intellegibile;
●● Il consenso deve essere fornito in base ad un atto chiaro e affermativo che
rifletta l’indicazione di un accordo liberamente espresso, specifico, informato e
non ambiguo;
●● Silenzio assenso, caselle pre-spuntate o inattività dell’interessato non
costituiscono valido consenso al trattamento dei dati;
●● Si presume che il consenso non sia concesso liberamente nel caso in cui
l’interessato non esprima un consenso separato al trattamento di dati personali
diversi o quando la prestazione di un servizio è subordinata al consenso del
cliente al trattamento dei dati (sempre che tale elaborazione non sia necessaria
per fornire tale servizio);
10●● Quando un’attività di trattamento dati ha molteplici finalità, il consenso deve
essere fornito per tutti gli scopi;
●● La revoca del consenso da parte dell’interessato deve essere agevole come
l’espressione di tale consenso.
115. 10 passi per diventare
“GDPR-compliant”.
Il GDPR aumenta significativamente i requisiti documentali, organizzativi e
contrattuali per le imprese che trattano dati personali rientranti nell’ambito
applicativo della normativa sulla privacy europea.
Pertanto, tutte le imprese dovrebbero verificare attentamente che l’attuale struttura
aziendale, i processi operativi e le relazioni contrattuali si adattino specificamente al
nuovo quadro normativo.
Il prossimo 25 maggio è letteralmente dietro l’angolo: non c’è molto tempo per
implementare eventuali modifiche richieste dalla nuova normativa.
Traendo ispirazione dagli orientamenti emanati dalle istituzioni dell’UE, con
particolare riguardo al Gruppo di lavoro “Articolo 29” (“A29 WP”) e varie autorità di
controllo nazionali, abbiamo delineato un elenco di domande che la vostra impresa
dovrebbe porsi al fine di comprendere se le politiche interne sulla privacy e le prassi
aziendali richiedono dei miglioramenti.
Considerando che ogni impresa vanta una propria, peculiare struttura e elabora
tipologie di dati personali diverse, il seguente elenco rappresenta soltanto come
un punto di partenza per fini di compliance interna, senza che possa costituire
un’esaustiva consulenza legale.
121 Raccogli e processi dati personali rientranti nell’ambito del
GDPR?
Innanzitutto, dovreste valutare se la vostra impresa stia elaborando informazioni
personali interessate dalla normativa sulla privacy dell’UE.
Se la vostra impresa è stabilita nell’UE, la maggior parte delle attività di trattamento
relative ai dati personali rientreranno nell’ambito di applicazione del GDPR.
Anche se la vostra impresa è stabilita al di fuori dell’UE, a determinate condizioni il
GDPR può comunque applicarsi; per esempio quando l’elaborazione dei dati riguarda
informazioni appartenenti a persone situate nel territorio dell’UE.
Se la risposta alla domanda del titolo di questo paragrafo è “Sì”, vuol dire che il GDPR
troverà applicazione: dovreste, pertanto, porvi le seguenti domande.
2 State trattando i dati personali in modo legittimo?
I molteplici fondamenti giuridici per il legittimo trattamento dei dati personali previsti
dal GDPR non differiscono molto dai principi già stabiliti nell’ambito della DPD.
Nondimeno, ci sono alcune novità. In primis, il GDPR stabilisce requisiti più stringenti
per il consenso dell’utente nei casi in cui quest’ultimo è obbligatorio per il legittimo
trattamento dei dati personali. Inoltre, vi sono nuove limitazioni riguardanti il
consenso dei minori.
In generale, i data controller sono ora espressamente obbligati a dimostrare di svolgere
le proprie attività nel rispetto dei principi della privacy e a dichiarare esplicitamente
la loro responsabilità in tal senso (“accountability”).
3 Avete aggiornato le vostre informative sulla privacy?
Anche quando un’impresa è legittimata a trattare dati personali, ci sono molti obblighi
e requisiti (alcuni dei quali nuovi) imposti dal GDPR per fini di protezione della
privacy. Di conseguenza, tutte le imprese sono tenute a rivedere le proprie politiche
di protezione dei dati, le prassi interne e le procedure di formazione del personale al
fine di garantire la conformità delle proprie attività d’impresa con il GDPR.
Poiché il GDPR aumenta in modo significativo i diritti privacy dei soggetti interessati
dal trattamento, la maggior parte delle imprese dovrebbe rivedere e aggiornare le
proprie note informative e le privacy policy sui siti web per evitare ogni violazione
di legge.
13Il GDPR richiede alle imprese digitali di spiegare in modo chiaro e trasparente i diritti
privacy di utenti e clienti. “Trasparenza” è sempre più una parola chiave nell’ambito
della nuova cornice normativa.
4 “Chi” sta facendo “cosa”, in termini di privacy, nella tua
organizzazione?
Ancor più che in passato, il GDPR impone che le imprese mettano in atto misure di
governance appropriate per la protezione dei dati personali. In particolare, i data
controller devono dimostrare l’implementazione di misure tecniche e organizzative
idonee a garantire che l’elaborazione dei dati personali venga eseguita in conformità
al GDPR.
Ogni impresa dovrebbe allocare un budget finanziario adeguato per
l’implementazione di ogni misura necessaria per la tutela della privacy. Inoltre, i data
controller devono mantenere un accurato registro delle attività di trattamento svolte
sotto la propria responsabilità.
5 È necessario nominare un responsabile della protezione
dei dati?
Il Data Protection Officer (DPO) è un soggetto pienamente coinvolto nella
supervisione di tutte le questioni d’impresa afferenti la protezione dei dati personali.
In base al GDPR, la designazione di un DPO diventa obbligatoria per un’organizzazione
in tre casi specifici:
a. se il trattamento dei dati è effettuato da un’autorità/organismo pubblico
(indipendentemente dal tipo di dati che vengono elaborati); e/ou
b. se una delle attività principali di un data controller/data processor implica il
monitoraggio regolare e sistematico degli interessati su larga scala; e/o
c. se una delle attività principali di un data controller/data processor consiste
nell’elaborare su vasta scala categorie speciali di dati (dati sensibili) o dati
personali relativi a condanne penali e reati.
Mentre il caso a) è abbastanza lineare, al contrario, determinare se un’organizzazione
rientri o meno in uno dei casi di cui alle lettere b) e c) non è sempre facile – visto che
il significato di concetti come “attività principali”, “su larga scala” e “ monitoraggio
regolare e sistematico” adottati dal GDPR non sono espressamente definiti dalla
legge.
14Secondo il WPA 29, le “attività principali” dovrebbero essere considerate quelle
operazioni chiave necessarie per raggiungere gli obiettivi di un’organizzazione,
comprese tutte le attività in cui l’elaborazione dei dati costituisce una “parte
inestricabile” dell’attività del data controller/data processor. Ad esempio: elaborare i
dati sanitari è una delle attività principali dell’ospedale e gli ospedali devono quindi
designare un DPO.
Al contrario, la mera elaborazione, da parte di un’impresa, dei dati personali del
suo personale (ad esempio, per fini previdenziali) rappresenta un’attività ausiliaria
e non un’attività principale di tale organizzazione; essa, pertanto, non comporta
necessariamente l’obbligo di nominare un responsabile della protezione dei dati.
Secondo il WPA 29, inoltre, la nozione di “monitoraggio regolare e sistematico delle
persone interessate” comprende tutte le forme di tracciamento e profilazione di
Internet, anche ai fini della pubblicità comportamentale. Altri esempi di “monitoraggio
regolare e sistematico” includono anche: retargeting di e-mail e attività di marketing
basate sui dati; profilazione e punteggio per scopi di valutazione del credito,
localizzazione tramite app mobili; CCTV e altri dispositivi.
Per determinare se il trattamento dei dati personali è effettuato su “larga scala”, i
seguenti fattori dovrebbero essere in particolare considerati: il numero di interessati;
il volume di dati personali e / o la gamma di diversi dati personali trattati; la durata, o la
permanenza, dell’attività di elaborazione dei dati; l’estensione geografica dell’attività
di elaborazione e altri fattori.
Tra alcuni esempi di elaborazione su larga scala menzionati dal WP A29: una
compagnia di assicurazioni o una banca che elabora i dati dei clienti nel normale corso
degli affari; provider di servizi telefonici o internet che elaborano dati (contenuto,
traffico, posizione); l’elaborazione dei dati di geo-localizzazione in tempo reale
relativi a clienti di una catena di fast food internazionale a fini statistici da parte di un
processor specializzato.
Bisogna essere consapevoli che le normative nazionali possono imporre ad un’impresa
di nominare un responsabile della protezione dei dati anche in altre situazioni.
All’atto di designare un DPO, un’impresa deve fare attenzione che gli altri compiti e
doveri del responsabile della protezione dei dati non si traducano in un conflitto di
interessi tra i ruoli. In particolare, il responsabile della protezione dei dati non dovrebbe
ricoprire una posizione all’interno dell’impresa che gli consenta di determinare le
finalità e/o i mezzi per il trattamento di dati personali (ad esempio, responsabile delle
risorse umane o capo IT, ecc.), perché ciò, molto probabilmente, implicherebbe un
conflitto di interessi.
Anche quando il GDPR non richiede specificamente la nomina di un DPO, le imprese
possono scegliere di designare un DPO su base volontaria. In tal caso, tuttavia, gli
15stessi severi requisiti stabiliti dal GDPR i casi di obbligatorietà del data protection
officer si applicano per legge anche alla nomina volontaria.
6 È necessario completare una valutazione dell’impatto sulla
protezione dei dati?
Ai sensi del GDPR, quando le attività di elaborazione sono suscettibili di comportare
un un “rischio elevato per i diritti e le libertà delle persone fisiche”, il responsabile
del trattamento è tenuto per legge a completare una valutazione d’impatto sulla
protezione dei dati personali.
Tale valutazione è definita, in inglese, come Data Protection Impact Assessment
(DPIA).
La DPIA è uno strumento fondamentale per soddisfare i requisiti del GDPR e per
dimostrare che sono state adottate misure appropriate al fine di garantire il rispetto di
tali requisiti. A causa della sua utilità, in passato molte imprese hanno già completato
un DPIA in via volontaria.
Il WP A29 ha cercato di definire quando le attività di trattamento dati sono suscettibili
di comportare un elevato rischio per i diritti e le libertà delle persone e, quindi, devono
essere soggette a una DPIA.
I seguenti fattori dovrebbero essere principalmente considerati:
●● Valutazione o punteggio, inclusa la profilazione e la previsione, in particolare per
quanto riguarda le prestazioni di una persona sul lavoro, la situazione economica,
la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la
posizione o il movimento;
●● Decisioni automatizzate he hanno effetti giuridici o incidono in modo analogo
significativamente sui soggetti interessati;
●● Monitoraggio sistematico;
●● Dati sensibili o dati di natura altamente personale;
●● Dati trattati su larga scala;
●● Abbinamento o combinazione di set di dati;
●● dati riguardanti persone vulnerabili;
●● Uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative;
●● Quando il trattamento dei dati impedisce di per sé agli individui di esercitare un
diritto o di utilizzare un servizio o un contratto.
Sulla base dei criteri sopra riportati, il WP A29 ha elencato alcuni esempi di attività di
16trattamento dati che richiedono un DPIA, tra cui: la raccolta di dati pubblici sui social
media per la generazione di profili; un’organizzazione che controlla sistematicamente
le attività dei propri dipendenti (ad esempio, la postazione di lavoro dei dipendenti,
l’attività su Internet, ecc.); un istituto finanziario che crea un rating di ampio livello o
un database relativo a frodi.
Da un punto di vista contenutistico, la DPIA dovrebbe, almeno:
●● descrivere le operazioni di trattamento previste e i loro scopi;
●● valutare la necessità/proporzionalità del trattamento e i rischi per i diritti privacy;
●● elencare le misure previste per contenere tali rischi e dimostrare la loro conformità
con il GDPR.
Se la vostra impresa ha raggiunto la conclusione che una DPIA non è richiesta dalla
legge, dovreste tuttavia mantenere evidenza dei fatti e delle considerazioni che vi
hanno condotto a tale conclusione.
7 La tua organizzazione è pronta a intraprendere le azioni
richieste dal GDPR?
È probabile che il GDPR aumenti l’interazione tra i responsabili del trattamento, da
un lato, e gli interessati, le autorità di controllo e altri soggetti interessati, dall’altro;
allo stesso tempo, in determinate circostanze, anche critiche, le imprese saranno
chiamate ad adottare misure e rimedi per soddisfare i requisiti GDPR.
Ad esempio, la maggior parte dei data controller dovrà rispondere alle richieste di
portabilità dei dati da parte degli interessati. In caso di richiesta, quindi, la vostra
organizzazione dovrà essere in grado di rispondere a tale richiesta e di trasmettere i
dati personali agli stessi interessati o ad altri controller in un formato appropriato ed
entro un breve lasso di tempo, come previsto dalla legge.
Inoltre, vi è il problema delle violazioni dei dati personali. Purtroppo, le violazioni
della sicurezza che portano alla perdita o alla
divulgazione non autorizzata di dati personali
possono verificarsi in quasi tutte le imprese.
Il GDPR introduce un obbligo generale di notifica
di violazioni in capo ai data controller e ai data
processor. In caso di violazione dei dati personali, i
data processor (ove presenti) sono tenuti a informare
i data controller. A loro volta, nella maggior parte
dei casi, i data controller devono notificare tale
violazione dei dati personali all’autorità di controllo
17competente e, in casi specifici, anche ai soggetti interessati in relazione ai dati
oggetto di violazione.
8 Dovete attenervi a un Codice di condotta? E’ richiesta una
certificazione/sigillo relativo alla protezione dei dati?
Il GDPR promuove l’approvazione, da parte delle autorità nazionali di controllo, di
codici di condotta per il trattamento dei dati personali redatti da associazioni/
altri organismi che rappresentino data controller. Specifici organismi certificati
controlleranno che un’impresa rispetti il codice di condotta.
Ove una “proposta” di codice di condotta si riferisca ad attività di trattamento
transfrontaliero, sarà richiesta un’approvazione preliminare da parte del comitato
europeo per la protezione dei dati. Se tale codice di condotta sarà approvato, la
Commissione Europea potrà successivamente dichiarare la sua validità generale in
Europa.
Inoltre, il GDPR incoraggia ogni stato dell’UE a stabilire meccanismi di certificazione
per la protezione della privacy e sigilli o marchi che certifichino la conformità delle
prassi aziendali rispetto al GDPR. Tali certificazioni/sigilli/marchi saranno rilasciati da
organismi accreditati in ogni stato dell’UE e avranno durata non superiore ai 3 anni.
Tuttavia, in caso di audit dell’autorità di controllo competente, anche un’impresa che
abbia ottenuto una certificazione/sigillo/marchio dovrà nondimeno dimostrare di
essere pienamente conforme al GDPR.
9 I vostri partner rispettano la GDPR?
A determinate condizioni, un’impresa può essere ritenuta responsabile, in ottica
civilistica, per violazioni della normativa GDPR compiute da terze parti. Può
accadere, in particolare, quando un data controller deleghi il trattamento dei dati
personali a un processor le cui attività non siano conformi al GDPR o quando due
o più controller stabiliscono congiuntamente le finalità e i mezzi del trattamento di
dati personali.
Quando un controller delega ad un data processor attività di trattamento dati, il GDPR
sottolinea che:
18●● il data controller deve verificare che il data processor
fornisca garanzie sufficienti sull’attuazione di misure
tecnico-organizzative soddisfacenti i requisiti del
GDPR; in caso contrario, entrambe le parti possono
essere considerate responsabili in solido per
violazioni della legge sulla privacy; e
●● le attività del data processor e il suo rapporto con
il data controller devono essere regolate da un
contratto.
Inoltre, quando ci sono contitolari del trattamento di dati personali, essi dovrebbero
definire puntualmente rispettivi ruoli e responsabilità, in relazione alla normativa
GDPR, per mezzo di un accordo scritto. L’essenza dell’accordo deve essere messa a
disposizione del soggetto interessato.
Alla luce del nuovo quadro giuridico, la maggior parte delle imprese sono chiamate
a rivedere e ad aggiornare le clausole sulla privacy incluse nei loro attuali contratti
con clienti e fornitori per prevenire eventuali violazioni di dati personali e, inoltre,
proteggersi da potenziali responsabilità civili in materia di privacy derivanti da
condotte di terzi.
10 Trasferite dati personali al di fuori dello Spazio economico
europeo (SEE)?
Sulla “scia” della DPD, il GDPR pone restrizioni significative al trasferimento di
dati personali dallo SEE verso paesi terzi (o verso organizzazioni internazionali).
La ragione di fondo di tali limitazioni è che non tutti i paesi o territori garantiscono un
livello adeguato di protezione dei dati personali.
Ai sensi del GDPR, il trasferimento di dati personali verso un paese terzo (o verso
un’organizzazione internazionale) è consentito soltanto ove sia soddisfatto almeno
uno dei seguenti requisiti:
●● La Commissione Europea ha statuito che il paese terzo garantisce un adeguato
livello di protezione (l’elenco dei paesi già indicati dalla Commissione Europea
rimarrà in vigore);
●● Il data controller/data processor del paese terzo ha fornito “garanzie adeguate”
in merito alla tutela dei dati personali, ma a condizione che nel territorio dove
i dati sono trasferiti esistano adeguati diritti per la protezione dei dati e rimedi
giuridici efficaci. Secondo il GDPR, le “garanzie adeguate” possono consistere in:
regole aziendali vincolanti; clausole standard di protezione dei dati adottate dalla
Commissione Europea; clausole standard sulla protezione dei dati approvate dalla
19Commissione Europea, adottate da un’autorità di controllo; codici di condotta;
meccanismi di certificazione (a condizioni specifiche).
Le altre principali deroghe alla restrizione del trasferimento di dati personali al di
fuori del SEE si basano sui seguenti motivi:
●● Consenso informato da parte dell’interessato;
●● Necessità contrattuale;
●● importanti motivi di interesse pubblico;
●● Esercizio di (o difesa da) azioni legali;
●● Interessi vitali del soggetto interessato o di altre persone;
●● Pregressa inclusione dei dati in pubblici registri.
206. Le opportunità generate
dal GDPR.
Il GDPR è principalmente teso a proteggere i diritti alla privacy delle persone,
non necessariamente a promuovere l’interesse delle imprese. La nuova disciplina
aumenta in modo evidente le tempistiche e i costi in capo alle imprese necessari per
adempiere alle prescrizioni sulla privacy e, contestualmente, le risorse per formare il
personale in materia di protezione dei dati personali. Pertanto, l’arrivo del GDPR non
è ancora percepito dalle imprese come una...buona notizia.
Tuttavia, la maggior parte delle imprese trarrà vantaggio dal rispetto delle nuove
regole sotto vari profili:
●● Reputazione: una maggiore sicurezza privacy migliorerà la reputazione e la
credibilità dell’impresa tra partner e clienti. Al contrario, attacchi informatici
o violazioni di dati personali possono facilmente offuscare la reputazione di
un’impresa; per non parlare del modo in cui eventuali reclami dei clienti relativi a
questioni di privacy pubblicati su Internet (social media, ecc.) possono avere un
effetto negativo sull’immagine del brand;
●● Dati di marketing più accurati ed efficaci: ai sensi del GDPR, i marketer sono
autorizzati a utilizzare solo i dati personali degli utenti che hanno aderito alle
comunicazioni di marketing. Ciò significa database degli utenti più ristretti ma
21di migliore qualità – ciò comportando tassi di conversione più elevati per le
campagne di marketing, almeno a medio-lungo termine. Inoltre, le imprese sono
sempre più vincolate a mantenere i dati personali corretti e aggiornati, con effetti
altrettanto positivi quando si tratta di trasformare tali dati in vendite;
●● Implicazioni legali: il pieno rispetto del GDPR permette di evitare potenziali
responsabilità civili e conseguenze amministrativo-penali. Al contrario, le risorse
che si risparmiano oggi evitando una debita consulenza legale o omettendo
attività di due diligence interna potrebbero, un giorno, trasformarsi in pesanti
responsabilità o sanzioni per la vostra impresa.
22Contatti.
Alan Rhode Sandra Fernandes
Co-founder of Taxmen Director, Marketing &
Alan.rhode@taxmen.eu Communications at Splio
sfernandes@splio.com
Taxmen
Taxmen è la società one-stop-shop di servizi legali e fiscali per il commercio
elettronico.
Nell’ambito della normativa sulla privacy, Taxmen è parte del tavolo regolamentare
di Ecommerce Europe, l’associazione europea che rappresenta oltre 75.000 negozi
online.
www.taxmen.eu
Splio
Splio ha sviluppato una Customer Platform che consente ai marketer di creare
campagne di loyalty marketing, online e offline, garantendo una customer experience
unica su tutti i canali. In questo modo i differenti team all’interno dell’azienda sono
allineati e riescono a perseguire insieme lo stesso obiettivo: generare più vendite a
livello locale e globale.
Con headquarter a Parigi, SPLIO supporta i suoi clienti in tre continenti, con uffici
in Cina, Spagna, Italia, Polonia e Brasile e conta ad oggi più di 500 clienti, tra i quali
Givenchy, Caudalie, Patrizia Pepe, Yves Rocher, QVC, Pittarosso, Martha’s Cottage,
Lindt, Intersport, Atahotels.
www.splio.comPuoi anche leggere
