La normativa sulla privacy impone parecchie regole da rispettare anche per chi si occupa di marketing.
Fare marketing professionalmente significa conoscere la norma e considerarla nella pianificazione delle azioni di marketing.
In queste slide si vedranno tutti i principali aspetti caratterizzanti la normativa in chiave marketing B2B con esempi pratici di facile comprensione.
2. Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 2
La quarta rivoluzione industriale
… il nuovo bene da tutelare è l’informazione
3. 1. Chi sono
2. PARTE GENERALE – IL GDPR
I. I miti da sfatare in tema di GDPR
II. Il GDPR: efficacia, ambito di applicazione e concetti generali
III. Costi / Rischi - Opportunità
IV. I diritti degli Interessati
V. New Entry
VI. Sanzioni e Responsabilità
VII. Tips sugli step operativi per l’adeguamento
3. PARTE SPECIALE - Marketing e GDPR
I. I miti da sfatare sul GDPR applicato al marketing (B2B)
II. Esempi di alcune situazioni concrete
4. Q&A
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 3
7. Il GDPR interessa soltanto le imprese europee
E’ soltanto una questione di Hacker
IL GDPR riguarda soltanto le grandi imprese
E’ tutta una questione di evitare le multe / Le sanzioni sono l’aspetto più
significativo del GDPR EU:
è soltanto un problema tecnologico
la compliance al GDPR è un lavoro del responsabile IT
la compliance si raggiunge molto rapidamente / La mia azienda ad oggi non
ha ancora fatto nulla per il GDPR. Ormai è troppo tardi per intervenire
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 7
8. Che cosa: Regolamento
Da quanto è in vigore: 25.05.2016
Da quando potrà essere applicato: a partire dal
25.05.2018 (no proroghe all’ «italiana»)
Dove e come: in via diretta in tutti i Paesi UE
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 8
9. Ambito di applicazione:
◦ Materiale
◦ Territoriale
La cassetta degli attrezzi:
◦ Principali definizioni:
Trattamento,
Dato personale
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 9
10. Avv. Marco Vincenti - Tutti i diritti riservati - 2017 10
OBBLIGHI – ADEMPIMENTI –
RESPONSABILITA’
Titolari
Responsabili
Interessati
DIRITTI Enti di certificazione
Autorità di controllo
Autorità Giudiziaria
TRATTAMENTI
11. Il trattamento deve essere lecito e legittimo.
E’ quindi necessario individuare la base di liceità del
trattamento, ed essere in grado di dimostrarla:
◦ Consenso
◦ Contratto
◦ Adempimento obbligo legale
◦ Interesse vitale
◦ Pubblico interesse
◦ Legittimo interesse
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 11
12. I principi di base in tema di protezione dei dati personali rappresentano lo strumento
principale per verificare la conformità dei trattamenti a quanto previsto dal Regolamento.
principio liceità, correttezza e trasparenza,
principio di limitazione della finalità,
principio di minimizzazione dei dati,
principio di esattezza,
principio di limitazione della conservazione,
principio di integrità e riservatezza.
Il Titolare del trattamento è competente per il rispetto dei suddetti principi e in grado di
comprovarlo (ACCOUNTABILITY)
DOMINIO CONSAPEVOLE E DOCUMENTABILE DI OGNI PROCESSO DI TRATTAMENTO
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 12
13. Informativi
Il Titolare deve fornire all’Interessato una serie di
informazioni prima di incominciare il trattamento.
(Informative – contenuto minimo obbligatorio)
Comunicativi
Il Titolare deve essere in grado di dare riscontro a
specifiche richieste dell’Interessato in modo adeguato
(soddisfacente) e tempestivo
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 13
14. Privacy by design e Privacy by default
PIA – Privacy Impact Assessment
DPO – Data Protection Officer
Data Breach
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 14
15. Tipologia A
sanzioni amministrative pecuniarie fino a Euro
10.000.000,00=, o per le imprese, fino al 2 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
Tipologia B
sanzioni amministrative pecuniarie fino a Euro
20.000.000,00=, o per le imprese, fino al 4 % del
fatturato mondiale totale annuo dell'esercizio
precedente, se superiore
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 15
16. Danno materiale o immateriale; danno da immagine
Titolare del trattamento: risponde del danno cagionato dal trattamento in
violazione del GDPR
Responsabile del trattamento: risponde del danno cagionato dal
trattamento solo se non ha adempiuto agli obblighi del GDPR
specificatamente dedicati ai responsabili o a agito in modo difforme o
contrario rispetto alle legittime istruzioni del titolare del trattamento
Esonero dalla responsabilità: dimostrazione che l'evento dannoso non è in
alcun modo imputabile (inversione onere prova).
Responsabilità solidale
Diritto di regresso
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 16
17. 1. Porre la protezione dei dati personali tra le priorità del Risk Management
2. Coinvolgere la governance dell’azienda
3. Effettuare una attenta mappatura dei flussi per comprendere l’ «as is» e poter progettare il
«to do»
4. Aggiornare le informative
5. Aggiornare gli atti autorizzativi (ai soggetti esterni) e predisporre adeguati contratti
6. Valutare i trattamenti dal punto di vista del rischio ai fini dell’adozione delle misure di
sicurezza
7. Redigere policy (almeno: i. gestione dei diritti degli interessati; ii. gestione Data Breach; iii.
monitoraggio del Sistema Privacy)
8. Adottare il Registro delle attività di trattamento (anche se non obbligatorio, è opportuno)
9. Procedere alla nomina del DPO (anche se non obbligatorio, è opportuno)
10. Accedere a sistemi di certificazione
11. Progettare un piano di formazione
12. Valutare soluzioni assicurative
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 17
19. La mia attività è quella di fare marketing, non mi
devo preoccupare del GDPR
Mi occupo solo di Marketing B2B, il GDPR non si
applica alla mia impresa
Il mio Sito è compliance al GDPR e quindi non
devo fare nulla di più
Nel Marketing (B2B) non si trattano dati personali
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 19
21. Problemi:
◦ Titolo (creazione ex novo / acquisto / «libera disponibilità» in
quanto «pubblico»)
◦ Contenuto (dato personale)
◦ Gestione (aggiornamento, correttezza)
◦ Conservazione (sicurezza, durata)
Adeguate informative
Manleve contrattuali in caso di acquisto da terzi (ove
possibile)
Garantire i diritti degli interessati
Trattamento del dato raccolto a norma
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 21
22. Dato personale
Principi generali
Informativa
Consenso
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 22
23. Registro delle opposizioni
CHE COS'È?
Servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi
telefonici pubblici, che decide di non voler più ricevere telefonate per scopi
commerciali o di ricerche di mercato.
Strumento per rendere più competitivo, dinamico e trasparente il mercato tra gli
Operatori di marketing telefonico.
A COSA SERVE?
Raggiungere un corretto equilibrio tra le esigenze dei cittadini che hanno scelto di non
ricevere più telefonate commerciali e le esigenze delle imprese che in uno scenario di
maggior ordine e trasparenza potranno utilizzare gli strumenti del telemarketing.
COME FUNZIONA?
L'Operatore potrà iscriversi al sistema e effettuare tutte le operazioni previste per
l’aggiornamento delle liste numeriche da contattare attraverso una serie di servizi
disponibili sul sito.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 23
24. L’ABBONATO
È il cittadino, persona giuridica, ente o associazione, il cui numero
telefonico è presente negli elenchi telefonici pubblici.
L’abbonato potrà iscriversi gratuitamente al Registro se non
desidera più essere contattato dagli Operatori di telemarketing, in
caso contrario varrà il principio del “silenzio assenso”.
L'OPERATORE
È qualunque soggetto, persona fisica o giuridica, che, in qualità di
titolare del trattamento dei dati, intende avviare mediante il telefono
attività a scopo commerciale, promozionale o ricerche di mercato.
L’entrata in vigore del Registro Pubblico delle Opposizioni obbliga
l’Operatore a registrarsi al sistema e a comunicare la lista dei
numeri che intende contattare, pena incorrere nelle sanzioni
previste dal Codice della Privacy.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 24
25. Il Servizio reso dal Gestore
Gli Operatori che intendono contattare gli Abbonati presenti negli elenchi telefonici
pubblici per attività commerciali, promozionali o per il compimento di ricerche di
mercato tramite l’uso del telefono, sono tenuti a registrarsi al sistema e a
comunicare la lista dei numeri che intendono contattare.
Il Gestore mettendo a confronto le informazioni contenute nel Registro delle
Opposizioni e la lista dei numeri fornita dall’Operatore, cancellerà da quest’ultima
tutti i numeri degli Abbonati che hanno richiesto di non essere contattati.
La lista aggiornata dal Gestore - ovvero “filtrata” dai numeri telefonici degli
Abbonati che si sono iscritti al Registro Pubblico delle Opposizioni - sarà messa a
disposizione dell’Operatore entro 24 ore dalla richiesta e avrà validità quindicinale,
per consentire così il continuo aggiornamento dell'elenco delle opposizioni.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 25
26. Comunicazioni «indesiderate» (vedi art. 130
Codice) per finalità di «marketing»:
◦ Attraverso uso di sistemi automatizzati di chiamata o di
comunicazione di chiamata senza intervento di operatore
o altri sistemi di comunicazione elettronica
Obblighi informativi e raccolta del consenso
Linee guida del Garante (Linee guida in materia di
attività promozionale e contrasto allo spam - 4
luglio 2013)
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 26
27. Privacy policy generale
Cookies policy
Informative specifiche: form registrazione
Contenuto dell’informativa
Richiesta consenso
Trattamento del dato raccolto a norma
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 27
28. Raccolta feedback positivo
Identificabilità autore
Dati personali
Informativa e consenso
Diritti dell’Interessato
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 28
29. Nuova normativa in vigore dal 01.01.2017
Presupposto
Obblighi di comunicazione
Obbligo di iscrizione al Registro degli operatori di comunicazione
Obbligo di dichiarare sempre il Paese da cui le chiamate sono effettuate o ricevute, nonché di
informare il soggetto contattato della possibilità di richiedere che il servizio sia reso tramite un
operatore collocato nel territorio nazionale o di un Paese membro dell'Unione europea, di cui
deve essere garantita l'immediata disponibilità nell'ambito della medesima chiamata.
responsabilità solidale tra committente e call center per i seguenti due casi (si veda il comma 8
dell’articolo 24-bis): da un lato, per la violazione generica della nuova normativa sui call center,
incluse le disposizioni sulle comunicazioni amministrative obbligatorie; dall’altro, per il mancato
rispetto delle regole sul telemarketing previste dal Codice Privacy, innanzitutto quelle sul cd.
opt-out, cioè il diritto riconosciuto ai titolari di numerazioni contenute in elenchi telefonici di
iscriversi nella cd. Robinson List e non essere più contattati.
il soggetto che ha affidato lo svolgimento di propri servizi a un call center esterno è
considerato titolare del trattamento”.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 29
30. Oltre al Codice ed al GDPR
Provvedimenti del Garante per la protezione dei dati
personali
Codici deontologici (FEDMA)
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 30
31. Attenzione alla liceità della disponibilità del dato in
fase di raccolta (Informativa - finalità, durata -
consenso)
Oggetto dell’attività di marketing: prodotti / servizi
propri – prodotti / servizi di terzi
Titolarità e cedibilità del dato
Garanzia dei diritti degli interessati
Rispetto dei principi generali, tenendo conto degli
eventuali rischi a cui potrebbero essere esposti i
trattamenti
Adozione di misure di sicurezza adeguate
Accesso ai dati: solo da soggetti autorizzati (interni o
esterni)
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 31
32. Banche dati e tutela della privacy: così la Cassazione
il Garante privacy vince in Cassazione in un procedimento che lo vedeva contrapposto a due società di
marketing.
La Suprema Corte, in una sentenza di fine luglio, ha cassato con rinvio il provvedimento del Tribunale di
Milano, che aveva ridotto la sanzione a due società accusate di aver acquisito dati personali, senza
l’informativa ed il consenso degli interessati, e di aver inviato poi comunicazioni elettorali a duecentomila
persone.
La riduzione della sanzione ( da 64 mila a 20 mila euro) era stata giustificata dal Tribunale di Milano sul
presupposto che non fosse stato stabilito a quanti soggetti tra i duecentomila della banca dati fossero in
realtà giunti gli sms elettorali.
La Corte territoriale non aveva in tal modo riconosciuta l’aggravante del numero considerevole degli
interessati in grado di giustificare l’innalzamento della sanzione pecuniaria a carico delle due società.
Il Garante aveva obiettato nel ricorso che, a prescindere dall’utilizzo a fini elettorali ed alla cessione a terzi,
l’acquisizione di una banca dati senza l’informativa ed il consenso, fosse comunque da considerarsi illecita
ai termini del codice della privacy.
La Cassazione ha quindi ritenuto fondato il ricorso rinviando ad un diverso Giudice del Tribunale di Milano la
composizione della controversia.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 32
33. Il Tribunale di Milano (sentenza n. 5022 del maggio 2017) ha rigettato
integralmente l’opposizione proposta da un provider telefonico di carattere
nazionale avverso un provvedimento del Garante della privacy, che aveva
considerato illegittima, e di conseguenza inibito, una campagna commerciale
consistente nel contattare telefonicamente circa cinque milioni di ex clienti,
chiedendo loro il consenso a ricevere successive informazioni commerciali.
L’operatore telefonico aveva impugnato il provvedimento del Garante lamentando
l’erronea qualificazione di tale comunicazione quale attività di marketing, posto
che, a suo avviso, questa sarebbe consistita in una mera richiesta di consenso per
successive campagne (campagna a due tempi). Aveva allegato, inoltre, di aver
contattato in ogni caso solo ex clienti di cui aveva in passato già raccolto il
consenso alla ricezione di comunicazioni commerciali.
Da parte sua, il Garante, costituitosi nel giudizio, aveva riaffermato l’illiceità del
trattamento, ritenendo la comunicazione in questione attività di vero e proprio
marketing e obiettando che questa fosse diretta, per lo più, verso ex clienti che
avevano espresso in passato il proprio diniego o non avevano dato il consenso a
ricevere informazioni commerciali.
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 33
35. Richiedi un
check up gratuito a
avv.marco.vincenti@gmail.com
Avv. Marco Vincenti - Tutti i diritti
riservati - 2017 35
36. Contatti:
Avv. Marco Vincenti
Avvocati Vincenti Associazione Professionale
Via Agostino Bertani, n. 2
Milano (MI) 20154
T: 02 33604285
M: 335 5226412
Mail: avv.marco.vincenti@gmail.com
Skype: marco.alessandro.vincenti
Avv. Marco Vincenti - Tutti i diritti riservati - 2017 36
Editor's Notes
Disegno cerchio interno rispetto a cerchi esterni
Privacy by design e Privacy by default
Sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli Interessati.
Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento
PIA – Privacy Impact Assessment
Trattamento che prevede in particolare l’uso di nuove tecnologie
Possibilità che presenti un rischio elevato per i diritti e le libertà delle persone fisiche
Deve essere effettuata una preventiva valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali
Consultazione con DPO, ove designato
DPO – Data Protection Officer
Nomina: obbligatoria / opportuna (sanzione)
Posizione del Responsabile per la protezione dei dati personali
Compiti
Conseguenze della nomina
Data Breach
Definizione
Obbligo di carattere generale
Notificazione all’Autorità di controllo
Comunicazione agli interessati
Sanzioni – Risarcimento danni
Impatto sull’organizzazione aziendale
Presupposto: sempre più di frequente, numerosi operatori attivi sia nel segmento delle chiamate verso gli utenti (cd. outbound) che da parte degli utenti (cd. inbound) hanno delocalizzato le attività in altri Paesi dell’Unione Europea o, più spesso, in Albania, sfruttando il doppio vantaggio di un costo del lavoro inferiore e della padronanza dell’italiano da parte dei lavoratori locali.
Obblighi di comunicazione: qualunque operatore economico che decida di delocalizzare call center fuori dall’Unione Europea deve darne comunicazione al Ministero del lavoro e delle politiche sociali nonché all’Ispettorato nazionale del lavoro; al Ministero dello Sviluppo Economico (MiSE) e al Garante per la protezione dei dati personali
Tutti gli operatori economici che svolgono attività di call center diventa obbligatorio iscriversi al Registro degli operatori di comunicazione tenuto dall’Autorità per le garanzie nelle comunicazioni, alla quale dovranno essere fornite tutte le numerazioni telefoniche messe a disposizioni del pubblico e utilizzate per i servizi di call center.
responsabilità solidale tra committente e call center per i seguenti due casi (si veda il comma 8 dell’articolo 24-bis): da un lato, per la violazione generica della nuova normativa sui call center, incluse le disposizioni sulle comunicazioni amministrative obbligatorie; dall’altro, per il mancato rispetto delle regole sul telemarketing previste dal Codice Privacy, innanzitutto quelle sul cd. opt-out, cioè il diritto riconosciuto ai titolari di numerazioni contenute in elenchi telefonici di iscriversi nella cd. Robinson List e non essere più contattati.