Il 25 maggio 2018 è entrato in vigore, in tutta Europa, il GDPR: un nuovo complesso di norme per la privacy che interessa anche il mondo digitale.
L’intervento ha esaminato le principali novità: dall’introduzione del diritto all’oblio per gli utenti ai nuovi oneri informativi posti a carico dei merchant; dall’obbligo di nominare un Data Protection Officer (a debite condizioni) fino alla necessità di svolgere un privacy audit interno.
Inoltre, sono stati affrontati temi come le nuove regole sulla raccolta del consenso al trattamento dei dati personali ed il concetto di privacy by design introdotto dal GDPR.
Philippe Bernou - Seamless omnichannel solutions with Magento order management
Alan Rhode - GDPR: la nuova normativa privacy per l’Europa
1.
2. GDPR
Domani• 25 maggio 2018, entra in vigore, in tutta Europa, il
Regolamento europeo in materia di protezione dei dati
personali («GDPR»).
Tra• le numerose novità, il GDPR introduce anche:
✓ Nuovi diritti privacy per i soggetti interessati;
✓ Maggiori oneri informativi a carico dei merchant;
Condizioni✓ più stringenti per il consenso quale fondamento di
legittimità del trattamento dati;
✓ Nuovi requisiti organizzativi per le imprese («Accountability»)
1
3. I dilemmi del GDPR
• Proviamo a rispondere ad alcuni dei quesiti più ricorrenti in
merito alle nuove regole:
1. E’ necessario, per legge, il double opt-in?
2. Possiamo inviare comunicazione commerciali ai clienti
senza loro previo consenso espresso (soft spam)?
3. Qual è il corretto periodo di conservazione dei dati
personali?
4. Nel caso di una richiesta di cancellazione dei dati
personali («diritto all’oblio»), dobbiamo cancellarli tutti?
5. Devo nominare un Data Protection Officer?
2
4. Double opt in: è obbligatorio?
• Il double opt in è il meccanismo d’iscrizione ad un servizio
(e.g., newsletter, etc.) in base a cui:
1. l’utente fornisce ad un sito il proprio indirizzo e-mail; e,
successivamente,
2. riceve una mail con un link da cliccare per confermare
l’iscrizione.
• Il GDPR non prevede l’obbligatorietà del double opt al fine di
attestare il consenso dell’utente alla ricezione di mail e/o
altre comunicazioni. E’ «muto» al riguardo.
3
5. Double opt in: è obbligatorio? (2)
Tuttavia,• il «double opt in» presenta alcuni vantaggi, sia in
un ottica regolamentare che di marketing:
1. Il fatto che l’utente attivi l’iscrizione, cliccando sul link della
mail di conferma. permette di meglio provare la sua
effettiva volontà di ricevere il servizio;
Appare2. più conforme al concetto di privacy by design;
3. Il double opt in comporta una selezione del database
iscritti (no spam e iscrizioni passive), migliorandone così
la qualità.
4
6. Soft spam
Il• merchant può utilizzare l’indirizzo e-mail dei propri clienti
per inviare loro comunicazioni promozionali relative a
prodotti e servizi similari rispetto a quanto in precedenza
acquistato senza domandare il previo consenso del cliente
(art. 130 Codice Privacy).
La• mail promozionale deve informare il cliente in merito alla
facoltà di opporsi a tali comunicazioni in modo agevole e
gratuito (opt out).
5
7. Soft spam (2)
La• previsione del Codice Privacy sullo soft spam riproduce
un’analoga norma della Direttiva 2002/58/EC («e-Privacy»).
• A breve, la direttiva UE sarà sostituita da un Regolamento,
anch’esso riguardante la privacy nell’ambito delle
comunicazioni elettroniche, direttamente applicabile in tutta
Europa (come il GDPR).
Anche• il nuovo Regolamento e-Privacy permetterà il soft
spam a condizioni sostanzialmente analoghe (art. 16, c. 2).
6
8. Soft spam (3)
• Le premesse al Regolamento e-privacy precisano: «it is
reasonable to allow the use of e-mail contact details within
the context of an existing customer relationship for the
offering of similar products or services» (n. 33).
• Il previsto Decreto legislativo italiano per adeguare la
normativa nazionale con il GDPR conferma tale possibilità
(di prossima approvazione).
7
9. Soft spam (4)
Anche• il GDPR, infatti, conferma la possibilità per il
merchant d’inviare mail di marketing ai propri clienti senza
preventivo consenso, bensì sulla base di un legittimo
interesse (“avviamento”), si fonda proprio sul requisito che
“esista una relazione pertinente e appropriata tra
l'interessato e il titolare del trattamento, ad esempio quando
l'interessato è un cliente o è alle dipendenze del titolare del
trattamento” (premessa n. 47 al GDPR).
8
10. Conservazione dei dati personali
Il• GDPR prevede che la privacy policy di un sito indichi «il
periodo di conservazione dei dati personali oppure, se non è
possibile, i criteri utilizzati per determinare tale periodo» (art.
13).
Tale• previsione fa riemergere l’annoso tema di quale sia il
periodo massimo consentito per conservare i dati trattati in
virtù del consenso di un utente (marketing, profilazione, etc.)
Sul• punto, il GDPR non si esprime in modo specifico.
9
11. Conservazione dei dati personali (2)
Il• GDPR indica esclusivamente: i dati personali devono
essere «conservati in una forma che consenta
l'identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalità per le quali sono
trattati” (art. 5).
In• Italia, il Garante Privacy si è espresso in modo puntuale e
dettagliato sul tema in risposta a specifiche istanze di
operatori economici, differenziando tra tempo massimo di
conservazione dati (1) a fini marketing e (2) profilazione.
10
12. Conservazione dei dati personali (3)
• I dati relativi al dettaglio degli acquisti con riferimento a
clienti individuabili possono essere conservati per finalità di
profilazione o di marketing per un periodo non superiore,
rispettivamente, a 12 e a 24 mesi dalla loro registrazione,
fatta salva la trasformazione in forma anonima (n. 1103045
del 24 febbraio 2005).
• E’ fatta salva la possibilità di presentare istanza di verifica
preliminare al Garante per domandare, in presenza di
specifiche condizioni, un’estensione di tale lasso temporale.
11
13. Conservazione dei dati personali (4)
In• risposta ad una succesiva istanza di un brand della moda,
il Garante ha affermato che “i dati personali che Ferragamo
intende conservare riguardano acquisti relativi a beni
particolari di cd "fascia alta" e, pertanto, è ragionevole
ritenere che dodici mesi siano un tempo di conservazione
eccessivamente limitato…alla luce di quanto sopra, il
Garante ritiene che i dati personali precedentemente indicati
siano conservati per un termine pari ad un massimo di sette
anni”.
12
14. Conservazione dei dati personali (5)
In• tale pronuncia, il Garante ha ricordato come sia
necessario raccogliere un separato consenso degli utenti
per ogni finalitá di trattamento dati: marketing, profilazione,
trasferimento di dati personali a terze parti (per ragioni non
inerenti all’esecuzione di un contratto o obbligazione di
legge).
13
15. Conservazione dei dati personali (6)
• Successivamente, un brand della moda ha domandato al
Garante se potesse compiere analisi generali (big data
analysis) su dati relativi ai dettagli degli acquisti e sulle
anagrafiche dei clienti in forma aggregata/pseudonimizzata,
senza previo consenso dei soggetti interessati, sussistendo
ragioni di “intelligence commerciale” (legittimo interesse).
• Il Garante ha risposto negativamente, affermando che le
finalità in questione potrebbero essere raggiunte anche
utilizando dati anonimi e/o consensati (prov. 304/2017).
14
16. Diritto all’oblio
In• ossequio alla giurisprudenza europea, il GDPR codifica il
diritto degli utenti a ottenere dal titolare del trattamento la
cancellazione dei dati personali che li riguardano, a
specifiche condizioni.
In• particolare, vi sono diverse eccezioni di rilievo per i
merchant, tra cui:
1. I dati personali servono per l'adempimento di obbligo
legale che richieda il trattamento previsto dal diritto
dell’UE o dello Stato di cui è soggetto il titolare del
trattamento;
15
17. Diritto all’oblio (2)
2. I dati personali servono per l'accertamento, l'esercizio o la
difesa di un diritto in sede giudiziaria.
• E’ possibile che sia necessario cancellare parte dei dati di un
utente, mentre sia necessario conservare un’altra parte dei
suoi dati.
Se• ha comunicato e/o reso pubblici dati personali, tenendo
conto della tecnologia disponibile e dei costi di attuazione, il
data controller adotta le misure ragionevoli, anche tecniche,
per informare i destinatari che stanno trattando i dati
personali della richiesta dell'interessato.
16
18. Data Protection Officer
La• nomina di un DPO è obbligatoria in tre casi:
1. Il trattamento è compiuto da autorità pubblica o organismo
pubblico, salvo autorità giurisdizionali; o
2. le attività principali di data controller e/o data processor
consistono in trattamenti che, per loro natura, ambito
d’applicazione e/o finalità, richiedono il monitoraggio
regolare+sistematico degli interessati su larga scala;
oppure
3. le attività principali di data controller e/o data processor
consistono nel trattamento, su larga scala, di dati sensibili
o relativi a condanne
17
19. Data Protection Officer (2)
Il• GDPR adotta locuzioni ambigue per individuare le
condizioni di nomina obbligatoria del DPO: “attività
principali…larga scala…monitoraggio regolare e sistematico”.
Secondo• l’A29 Working Party, la gestione delle “buste paga”
o l’utilizzo di ordinari strumenti informatici da parte
dell’impresa non rappresentano attività principali, bensì
accessorie. Non richiedono, di per sé, nomina DPO.
18
20. Data Protection Officer (3)
Secondo• l’Article 29 Working Party, le seguenti attività
implicano il trattamento di dati personali su larga scala:
19
21. Data Protection Officer (4)
Secondo• l’Article 29 Working Party, esempi di attività che
implicano monitoraggio regolare+sistematico di soggetti
interessati sono:
20