computer-3233754_960_720.jpg

Team beMail30 novembre 20185min191

GDPR 7 mesi dopo: un lasso di tempo breve eppure sufficiente per verificare la salute di un provvedimento che, nel maggio del 2018, ha permesso di rendere più trasparente e affidabile la protezione dei dati personali e la privacy dei cittadini residenti nella Comunità Europea. Questo regolamento, che ha coinvolto ben il 90% delle imprese mondiali, ha modificato radicalmente il modo in cui viene raccolto e gestito il consenso da parte degli utenti di internet. I primi dati, secondo il report settimanale di Teads, parlano chiaro: soltanto il 5% dei cittadini rifiuta l’utilizzo dei cookie per ricevere pubblicità personalizzate.

Un risultato significativo e reale soprattutto se si considera che la famosa piattaforma fondata da Pierre Chappaz raggruppa ben due terzi dei 300 editori mondiali. Con un reach superiore all’85% e il raggiungimento di 1,2 miliardi di utenti unici in tutta Europa, Teads con le sue statistiche offre uno spaccato assolutamente veritiero di una realtà che ha modificato profondamente la comunicazione tra aziende e privati cittadini. Basti pensare ad esempio ai circa 1000 siti statunitensi, tra i quali i celebri Chicago Tribune e New York Daily News, che hanno rinunciato alla visibilità in Europa o sono stati oscurati.

Sull’advertising personalizzato i cittadini dell’Unione Europea hanno le idee chiare. Il 50% ha espresso il suo parere circa l’utilizzo dei cookie per la profilazione. Il 95% degli utenti è favorevole mentre, come abbiamo già anticipato, soltanto il 5% rifiuta la pubblicità targettizzata. La percentuale dei no cambia in base al paese di appartenenza. Mentre in Inghilterra siamo sul 7%, in paesi come l’Italia e la Spagna la percentuale si abbassa fino al 2%.Questo comportamento conferma quanto emerso da una recente ricerca della società inglese DMA. Il 62% dei cittadini britannici ha dichiarato che la fiducia nella condivisione dei propri dati personali con le aziende è nettamente migliorata grazie all’entrata in vigore del GDPR. Non solo, il 60% degli intervistati ha dichiarato di comprendere e approvare la necessità dei brand di accedere ai dati personali per impedire un email marketing non attinente alle loro abitudini di vita e alle preferenze d’acquisto.

Sempre secondo Teads, i primi dati dopo 7 mesi dall’entrata in vigore del GDPR mostrano come il 63% del traffico degli editori europei passa attraverso una CMP ovvero una piattaforma per la gestione del consenso. Questa soluzione svolge un duplice ruolo. Da una parte è il mezzo che permette all’utente di esprimere il proprio assenso o il rifiuto dei cookie di profilazione, dall’altra la CMP consente alle aziende di adeguarsi facilmente alla normativa. La Spagna, con un tasso di implementazione dell’82,2%, guida la classifica dei Paesi che hanno adottato tale piattaforma. E in casa nostra? Secondo i dati comunicati dal Garante Italiano della Privacy tra maggio e settembre sono state ben 40.738 le organizzazioni pubbliche e private che hanno comunicato all’Autorità i dati di contatto del proprio Data Protection Officer (DPO) e 2547 i reclami (nel 2017 erano stati 1795). Le notifiche di Data Breach ex articoli 33 e 34 del regolamento GDPR hanno superato quota 300 mentre i contatti con l’URP (Ufficio Relazioni del Pubblico del Garante) sono stati più di 7200. In conclusione, i dati relativi a 7 mesi di GDPR ci rivelano una realtà interessante. Il cittadino, mai come in questo momento, ha acquisito una profonda consapevolezza circa la conoscenza e la gestione dei propri diritti in tema di trattamento dei propri dati personali.

Hai bisogno di una consulenza professionale per il tuo email marketing?
Contattaci e scopri come dare voce alla tua azienda attraverso una piattaforma potente ed efficace!


Depositphotos_174176714_s-2015.jpg

Redazione beMail27 marzo 201811min4844

GDPR: data protection uniforme per tutta l’Unione Europea

Il 25 maggio 2018, cioè tra un paio di mesi circa, l’Unione Europea si uniformerà in materia di privacy, grazie all’entrata in vigore del nuovo Regolamento Europeo in Materia di Protezione dei Dati Personali o, utilizzando l’acronimo inglese, GDPR.[1] Il Regolamento è da considerarsi il frutto del lavoro (condotto ormai da qualche anno) dalle istituzioni europee con lo scopo di garantire sempre più tutela sui propri dati personali ai cittadini degli Stati Membri.

Il nuovo Regolamento sarà uguale in tutti gli Stati Membri, andrà a sostituire tutte le previgenti disposizioni in materia e -diversamente dallo strumento giuridico della direttiva- sarà direttamente applicabile, senza il bisogno di essere recepito tramite disposizioni nazionali. Ulteriore importante novità è che, le disposizioni dettate dal GDPR non si applicheranno solamente alle aziende con sede in territorio europeo, ma anzi, a tutte quelle che, anche con sedi in giro per il mondo, operano sul territorio dell’Unione, offrendo beni e servizi ai cittadini europei.

Il Regolamento è stato adottato il 27 aprile 2016, e sarà quindi applicato dopo un periodo di transizione di due anni (ancora in corso), durante il quale tutti i soggetti coinvolti – come le aziende, gli interessati del trattamento, le associazioni, e persino le istituzioni stesse – si stanno adoperando per arrivare preparati al fatidico momento dell’entrata in vigore.

Ma, in concreto, quali saranno i cambiamenti significativi per le aziende italiane? Ed in particolare per il mondo dell’advertising?

GDPR e le novità salienti per il settore

1. Il principio di accountability

In prima battuta, occorre partire dal principio di accountability (o responsabilizzazione), principio alla base e che attraversa tutto il Regolamento. Il concetto di accountability si sostanzia:

  • nella piena adesione ai principi di cui all’art. 5.1 del Regolamento[2] relativi al trattamento dei dati e;
  • nella necessaria capacità del titolare del trattamento di dimostrare di averli osservati ed efficacemente applicati.

In altre parole, si chiede alle aziende di mettere in atto misure tecniche e organizzative per essere in grado di garantire ed allo stesso tempo dimostrare, che il trattamento svolto sui dati è effettuato in maniera conforme alle disposizioni del Regolamento.

2. Privacy by design e privacy by default

In virtù del nuovo principio di accountability, il titolare è tenuto fin dall’origine ad agire nel rispetto della normativa. Sintesi di questo suo nuovo dovere, sono atri due principi introdotti insieme all’accountability, ovvero i concetti di privacy by design e privacy by default.

“Privacy by design” significa protezione dei dati “fin dalla progettazione”. S’impone quindi alle aziende di progettare sistemi e applicativi tarati, di regola, sul principio dell’uso minimo e indispensabile dei dati personali. Il GDPR non fornisce indicazioni tecniche specifiche in relazione alla privacy by design, ma si limita a concedere al titolare una valutazione “caso per caso”.[3]

“Privacy by default”, invece, significa che la tutela della protezione del dato deve diventare “l’impostazione predefinita”. Anche qui, le uniche misure espressamente citate dal Regolamento sono due: la minimizzazione e la pseudonimizzazione, quest’ultima definita all’art. 4.5 del GDPR.[4]

3. Meno adempimenti formali, più auto (e non) certificazione

Un’altra novità importante del Regolamento consiste nella diminuzione degli adempimenti formali per le società.

Ad esempio, il noto istituto della notificazione dei trattamenti al Garante viene in parte sostituito dai cd. “registri del trattamento”.[5] I registri, sebbene costituiscano una pratica burocratica, sicuramente comporteranno meno oneri per i titolari rispetto alla notifica, a maggior ragione se si pensa che l’obbligo di tenere un registro delle attività del trattamento, è una premessa indispensabile per poter dimostrare – in caso di contestazioni – la conformità di tutti i trattamenti ai principi enunciati nel GDPR (principio di accountability).[6] Quindi, è importante sottolineare la natura di adempimento “pratico” prima ancora che giuridico di tale registro, in quanto funzionale anche a far sì che tutti gli operatori coinvolti abbiamo un quadro organizzato e ben chiaro dei trattamenti svolti.

Altro aspetto di novità è la possibilità, in capo al titolare, di aderire a codici di condotta e sistemi di (auto)certificazione, che dovrebbero essere adottati da associazioni e/o altre organizzazioni rappresentanti le categorie di titolari e/o responsabili, in modo da procedere ad una regolamentazione rispondente alle esigenze di settore. Tali strumenti dovranno tuttavia essere riconosciuti dall’ Autorità. Anche qui lo scopo è quello di rafforzare il principio di accountability, avvicinando la normativa ai titolari/responsabili e, allo stesso tempo, semplificando il rispetto in concreto del GDPR.

4. Data Protection Officer

Altra figura introdotta ex novo dal Regolamento è quella del Data Protection Officer (DPO) o Responsabile della Protezione Dati (RPD), che dovrà svolgere un ruolo misto di (i) vigilanza dei processi interni alla struttura del titolare e del responsabile, di (ii) consulenza per gli stessi, di (iii) contatto rispetto agli interessati del trattamento e di (iv) interlocutore con le Autorità garanti.

La nomina di un DPO è facoltativa, eccetto che nei seguenti casi:

  1. il trattamento è svolto da autorità pubblica, salvo quella giudiziaria;
  2. le attività principali del titolare soggetto privato consistono nel monitoraggio sistematico degli interessati su larga scala;
  3. le attività principali del titolare soggetto privato riguardano dati sensibili o giudiziari su larga scala.

Il DPO dovrà essere una persona fisica, tendenzialmente un dipendente del titolare/responsabile. Altresì potrà essere un soggetto esterno, vincolato in tal caso da un contratto di servizi. Egli dovrà inoltre essere scelto in base a (i) la sua professionalità giuridica, (ii) la sua competenza in materia di protezione dei dati personali e (iii) le conoscenze specialistiche, che manterrà aggiornate a cura del titolare/responsabile.

In conclusione

A circa due mesi dalla fatidica data del 25 maggio 2018 è importante ricordare come, sebbene da un lato il nuovo Regolamento apporterà importanti novità e cambiamenti nell’ambito della protezione dei dati, dall’altro è importante sottolineare come la disciplina italiana in materia è, di per sé, molto più “evoluta” rispetto alle altre normative nazionali europee. Quindi, l’arrivo del Regolamento avrà si un impatto importante per le società italiane ma – possiamo dire – non destabilizzante.

In ogni caso, per aiutare a prepararsi ai cambiamenti che porterà questa nuova normativa, il Garante della Privacy ha recentemente pubblicato la “Guida all’applicazione del Regolamento Europeo in Materia di Protezione dei Dati Personali”[7] e che il blog di beMail, ha inaugurato un’apposita sezione legal di approfondimento, con un focus particolare sulle aziende del mondo dell’advertising.

 

Articolo in collaborazione con il dipartimento ICT&IP dello studio legale DGRS.

 

 

 

[1] Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
[2] Art. 5, comma 1, lett. a) “Liceità, correttezza e trasparenza”; lett. b) “Limitazione delle finalità”; lett. c) “Minimizzazione dei dati”; lett. d) “Esattezza”; lett. e) “Limitazione alla conservazione”; lett. f) “Integrità e riservatezza”.
[3] Ovvero a seconda della tipologia del trattamento, delle finalità perseguite, della natura dei dati trattati e dei diritti/libertà in gioco, sempre nel rispetto di quella che è definita come “scalabilità” della protezione dei dati.
[4] E’ da considerarsi pseudonimizzazzione “il trattamento dei dati personali in modo tali che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.”
[5] dei veri e propri registri che possono essere tenuti sia in via telematica che in via cartacea, in cui il titolare andrà ad indicare tutti i trattamenti da lui effettuati
[6] Si precisa che tale registro dovrà essere tenuto altresì dal responsabile ex art. 30.2, per tutte le attività di trattamento che egli avrà svolto per conto del titolare.
[7] Disponibile qui: http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali