SlideShare a Scribd company logo

Alan Rhode - GDPR: la nuova normativa privacy per l’Europa

Meet Magento Italy
Meet Magento Italy

Il 25 maggio 2018 è entrato in vigore, in tutta Europa, il GDPR: un nuovo complesso di norme per la privacy che interessa anche il mondo digitale. L’intervento ha esaminato le principali novità: dall’introduzione del diritto all’oblio per gli utenti ai nuovi oneri informativi posti a carico dei merchant; dall’obbligo di nominare un Data Protection Officer (a debite condizioni) fino alla necessità di svolgere un privacy audit interno. Inoltre, sono stati affrontati temi come le nuove regole sulla raccolta del consenso al trattamento dei dati personali ed il concetto di privacy by design introdotto dal GDPR.

Law
1 of 21
Download to read offline
GDPR Domani• 25 maggio 2018, entra in vigore, in tutta Europa, il Regolamento europeo in materia di protezione dei dati personali («GDPR»). Tra• le numerose novità, il GDPR introduce anche: ✓ Nuovi diritti privacy per i soggetti interessati; ✓ Maggiori oneri informativi a carico dei merchant; Condizioni✓ più stringenti per il consenso quale fondamento di legittimità del trattamento dati; ✓ Nuovi requisiti organizzativi per le imprese («Accountability») 1
I dilemmi del GDPR • Proviamo a rispondere ad alcuni dei quesiti più ricorrenti in merito alle nuove regole: 1. E’ necessario, per legge, il double opt-in? 2. Possiamo inviare comunicazione commerciali ai clienti senza loro previo consenso espresso (soft spam)? 3. Qual è il corretto periodo di conservazione dei dati personali? 4. Nel caso di una richiesta di cancellazione dei dati personali («diritto all’oblio»), dobbiamo cancellarli tutti? 5. Devo nominare un Data Protection Officer? 2
Double opt in: è obbligatorio? • Il double opt in è il meccanismo d’iscrizione ad un servizio (e.g., newsletter, etc.) in base a cui: 1. l’utente fornisce ad un sito il proprio indirizzo e-mail; e, successivamente, 2. riceve una mail con un link da cliccare per confermare l’iscrizione. • Il GDPR non prevede l’obbligatorietà del double opt al fine di attestare il consenso dell’utente alla ricezione di mail e/o altre comunicazioni. E’ «muto» al riguardo. 3
Double opt in: è obbligatorio? (2) Tuttavia,• il «double opt in» presenta alcuni vantaggi, sia in un ottica regolamentare che di marketing: 1. Il fatto che l’utente attivi l’iscrizione, cliccando sul link della mail di conferma. permette di meglio provare la sua effettiva volontà di ricevere il servizio; Appare2. più conforme al concetto di privacy by design; 3. Il double opt in comporta una selezione del database iscritti (no spam e iscrizioni passive), migliorandone così la qualità. 4
Soft spam Il• merchant può utilizzare l’indirizzo e-mail dei propri clienti per inviare loro comunicazioni promozionali relative a prodotti e servizi similari rispetto a quanto in precedenza acquistato senza domandare il previo consenso del cliente (art. 130 Codice Privacy). La• mail promozionale deve informare il cliente in merito alla facoltà di opporsi a tali comunicazioni in modo agevole e gratuito (opt out). 5
Soft spam (2) La• previsione del Codice Privacy sullo soft spam riproduce un’analoga norma della Direttiva 2002/58/EC («e-Privacy»). • A breve, la direttiva UE sarà sostituita da un Regolamento, anch’esso riguardante la privacy nell’ambito delle comunicazioni elettroniche, direttamente applicabile in tutta Europa (come il GDPR). Anche• il nuovo Regolamento e-Privacy permetterà il soft spam a condizioni sostanzialmente analoghe (art. 16, c. 2). 6
Soft spam (3) • Le premesse al Regolamento e-privacy precisano: «it is reasonable to allow the use of e-mail contact details within the context of an existing customer relationship for the offering of similar products or services» (n. 33). • Il previsto Decreto legislativo italiano per adeguare la normativa nazionale con il GDPR conferma tale possibilità (di prossima approvazione). 7
Soft spam (4) Anche• il GDPR, infatti, conferma la possibilità per il merchant d’inviare mail di marketing ai propri clienti senza preventivo consenso, bensì sulla base di un legittimo interesse (“avviamento”), si fonda proprio sul requisito che “esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento” (premessa n. 47 al GDPR). 8
Conservazione dei dati personali Il• GDPR prevede che la privacy policy di un sito indichi «il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (art. 13). Tale• previsione fa riemergere l’annoso tema di quale sia il periodo massimo consentito per conservare i dati trattati in virtù del consenso di un utente (marketing, profilazione, etc.) Sul• punto, il GDPR non si esprime in modo specifico. 9
Conservazione dei dati personali (2) Il• GDPR indica esclusivamente: i dati personali devono essere «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5). In• Italia, il Garante Privacy si è espresso in modo puntuale e dettagliato sul tema in risposta a specifiche istanze di operatori economici, differenziando tra tempo massimo di conservazione dati (1) a fini marketing e (2) profilazione. 10
Conservazione dei dati personali (3) • I dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a 12 e a 24 mesi dalla loro registrazione, fatta salva la trasformazione in forma anonima (n. 1103045 del 24 febbraio 2005). • E’ fatta salva la possibilità di presentare istanza di verifica preliminare al Garante per domandare, in presenza di specifiche condizioni, un’estensione di tale lasso temporale. 11
Conservazione dei dati personali (4) In• risposta ad una succesiva istanza di un brand della moda, il Garante ha affermato che “i dati personali che Ferragamo intende conservare riguardano acquisti relativi a beni particolari di cd "fascia alta" e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato…alla luce di quanto sopra, il Garante ritiene che i dati personali precedentemente indicati siano conservati per un termine pari ad un massimo di sette anni”. 12
Conservazione dei dati personali (5) In• tale pronuncia, il Garante ha ricordato come sia necessario raccogliere un separato consenso degli utenti per ogni finalitá di trattamento dati: marketing, profilazione, trasferimento di dati personali a terze parti (per ragioni non inerenti all’esecuzione di un contratto o obbligazione di legge). 13
Conservazione dei dati personali (6) • Successivamente, un brand della moda ha domandato al Garante se potesse compiere analisi generali (big data analysis) su dati relativi ai dettagli degli acquisti e sulle anagrafiche dei clienti in forma aggregata/pseudonimizzata, senza previo consenso dei soggetti interessati, sussistendo ragioni di “intelligence commerciale” (legittimo interesse). • Il Garante ha risposto negativamente, affermando che le finalità in questione potrebbero essere raggiunte anche utilizando dati anonimi e/o consensati (prov. 304/2017). 14
Diritto all’oblio In• ossequio alla giurisprudenza europea, il GDPR codifica il diritto degli utenti a ottenere dal titolare del trattamento la cancellazione dei dati personali che li riguardano, a specifiche condizioni. In• particolare, vi sono diverse eccezioni di rilievo per i merchant, tra cui: 1. I dati personali servono per l'adempimento di obbligo legale che richieda il trattamento previsto dal diritto dell’UE o dello Stato di cui è soggetto il titolare del trattamento; 15
Diritto all’oblio (2) 2. I dati personali servono per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. • E’ possibile che sia necessario cancellare parte dei dati di un utente, mentre sia necessario conservare un’altra parte dei suoi dati. Se• ha comunicato e/o reso pubblici dati personali, tenendo conto della tecnologia disponibile e dei costi di attuazione, il data controller adotta le misure ragionevoli, anche tecniche, per informare i destinatari che stanno trattando i dati personali della richiesta dell'interessato. 16
Data Protection Officer La• nomina di un DPO è obbligatoria in tre casi: 1. Il trattamento è compiuto da autorità pubblica o organismo pubblico, salvo autorità giurisdizionali; o 2. le attività principali di data controller e/o data processor consistono in trattamenti che, per loro natura, ambito d’applicazione e/o finalità, richiedono il monitoraggio regolare+sistematico degli interessati su larga scala; oppure 3. le attività principali di data controller e/o data processor consistono nel trattamento, su larga scala, di dati sensibili o relativi a condanne 17
Data Protection Officer (2) Il• GDPR adotta locuzioni ambigue per individuare le condizioni di nomina obbligatoria del DPO: “attività principali…larga scala…monitoraggio regolare e sistematico”. Secondo• l’A29 Working Party, la gestione delle “buste paga” o l’utilizzo di ordinari strumenti informatici da parte dell’impresa non rappresentano attività principali, bensì accessorie. Non richiedono, di per sé, nomina DPO. 18
Data Protection Officer (3) Secondo• l’Article 29 Working Party, le seguenti attività implicano il trattamento di dati personali su larga scala: 19
Data Protection Officer (4) Secondo• l’Article 29 Working Party, esempi di attività che implicano monitoraggio regolare+sistematico di soggetti interessati sono: 20

Recommended

Opt4 gdpr it
Opt4 gdpr itOpt4 gdpr it
Opt4 gdpr itmls marco merlo
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdownContactlab
 
Gdpr il nuovo regolamento della privacy in Italia
Gdpr il nuovo regolamento della privacy in Italia Gdpr il nuovo regolamento della privacy in Italia
Gdpr il nuovo regolamento della privacy in Italia Marco Baldocchi
 
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itBiz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itEmanuelePristera
 
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itBiz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itEmanuelePristera
 
Normativa ed adempimenti in materia di Privacy e Cookies Policy
Normativa ed adempimenti in materia di Privacy e Cookies PolicyNormativa ed adempimenti in materia di Privacy e Cookies Policy
Normativa ed adempimenti in materia di Privacy e Cookies PolicyMarco Giacomello
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 

Recommended

Opt4 gdpr it
Opt4 gdpr itOpt4 gdpr it
Opt4 gdpr itmls marco merlo
 
GDPR: è iniziato il countdown
GDPR: è iniziato il countdownGDPR: è iniziato il countdown
GDPR: è iniziato il countdownContactlab
 
Gdpr il nuovo regolamento della privacy in Italia
Gdpr il nuovo regolamento della privacy in Italia Gdpr il nuovo regolamento della privacy in Italia
Gdpr il nuovo regolamento della privacy in Italia Marco Baldocchi
 
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itBiz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itEmanuelePristera
 
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itBiz miz o1 m4_u4.1_r3_s (ppt-f2f)_it
Biz miz o1 m4_u4.1_r3_s (ppt-f2f)_itEmanuelePristera
 
Normativa ed adempimenti in materia di Privacy e Cookies Policy
Normativa ed adempimenti in materia di Privacy e Cookies PolicyNormativa ed adempimenti in materia di Privacy e Cookies Policy
Normativa ed adempimenti in materia di Privacy e Cookies PolicyMarco Giacomello
 
"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco Puglisi"GDPR: cos'è e come funziona" by Francesco Puglisi
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018Stefano Versace
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPRDaniele Fittabile
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRStefania Tromba
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturaliAndrea Colombetti
 
La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?Project Group Srl
 
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...Ecommerce HUB
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
 
Online Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPROnline Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPR39Marketing
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...Meet Magento Italy
 
Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules Meet Magento Italy
 

More Related Content

Similar to Alan Rhode - GDPR: la nuova normativa privacy per l’Europa

GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketingBrioWeb
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRStefania Tromba
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturaliAndrea Colombetti
 
La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?Project Group Srl
 
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...Ecommerce HUB
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
 
Online Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPROnline Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPR39Marketing
 

Similar to Alan Rhode - GDPR: la nuova normativa privacy per l’Europa (20)

GDPR e strategia di marketing
GDPR e strategia di marketingGDPR e strategia di marketing
GDPR e strategia di marketing
 
Newsletter 05.2018
Newsletter 05.2018Newsletter 05.2018
Newsletter 05.2018
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
Preparsi al GDPR
Preparsi al GDPRPreparsi al GDPR
Preparsi al GDPR
 
I primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPRI primi passi per essere in regola con il GDPR
I primi passi per essere in regola con il GDPR
 
Tc03 help systems_terme culturali
Tc03 help systems_terme culturaliTc03 help systems_terme culturali
Tc03 help systems_terme culturali
 
La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?La Privacy che ci riguarda: cosa bolle in pentola?
La Privacy che ci riguarda: cosa bolle in pentola?
 
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
[eh 2018] Alessandra Farabegoli - Email marketing ai tempi del GDPR, vincere ...
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò GhibelliniCCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibellini
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...Conoscere le regole per giocare all'attacco: la componente legal nei business...
Conoscere le regole per giocare all'attacco: la componente legal nei business...
 
Online Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPROnline Marketing: come sopravvivere al GDPR
Online Marketing: come sopravvivere al GDPR
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 

More from Meet Magento Italy

Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...Meet Magento Italy
 
Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules Meet Magento Italy
 
Eugene Shaksuvarov - Tuning Magento 2 for Maximum Performance
Eugene Shaksuvarov - Tuning Magento 2 for Maximum PerformanceEugene Shaksuvarov - Tuning Magento 2 for Maximum Performance
Eugene Shaksuvarov - Tuning Magento 2 for Maximum PerformanceMeet Magento Italy
 
Muliadi jeo - How to sell online in Indonesia
Muliadi jeo - How to sell online in IndonesiaMuliadi jeo - How to sell online in Indonesia
Muliadi jeo - How to sell online in IndonesiaMeet Magento Italy
 
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2Max Pronko - 10 migration mistakes from Magento 1 to Magento 2
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2Meet Magento Italy
 
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...Meet Magento Italy
 
Bodin - Hullin & Potencier - Magento Performance Profiling and Best Practices
Bodin - Hullin & Potencier - Magento Performance Profiling and Best PracticesBodin - Hullin & Potencier - Magento Performance Profiling and Best Practices
Bodin - Hullin & Potencier - Magento Performance Profiling and Best PracticesMeet Magento Italy
 
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...Meet Magento Italy
 
Vinai Kopp - FPC Hole punching in Magento 2
Vinai Kopp - FPC Hole punching in Magento 2Vinai Kopp - FPC Hole punching in Magento 2
Vinai Kopp - FPC Hole punching in Magento 2Meet Magento Italy
 
Jacopo Nardiello - From CI to Prod: Running Magento at scale with Kubernetes
Jacopo Nardiello - From CI to Prod: Running Magento at scale with KubernetesJacopo Nardiello - From CI to Prod: Running Magento at scale with Kubernetes
Jacopo Nardiello - From CI to Prod: Running Magento at scale with KubernetesMeet Magento Italy
 
James Zetlen - PWA Studio Integration…With You
James Zetlen - PWA Studio Integration…With YouJames Zetlen - PWA Studio Integration…With You
James Zetlen - PWA Studio Integration…With YouMeet Magento Italy
 
Talesh Seeparsan - The Hound of the Malwarevilles
Talesh Seeparsan - The Hound of the MalwarevillesTalesh Seeparsan - The Hound of the Malwarevilles
Talesh Seeparsan - The Hound of the MalwarevillesMeet Magento Italy
 
Miguel Balparda - A day in support
Miguel Balparda - A day in supportMiguel Balparda - A day in support
Miguel Balparda - A day in supportMeet Magento Italy
 
Volodymyr Kublytskyi - Develop Product, Design Platform
Volodymyr Kublytskyi - Develop Product, Design PlatformVolodymyr Kublytskyi - Develop Product, Design Platform
Volodymyr Kublytskyi - Develop Product, Design PlatformMeet Magento Italy
 
Rosario Toscano - Processi di ottimizzazione per una crescita continua
Rosario Toscano - Processi di ottimizzazione per una crescita continuaRosario Toscano - Processi di ottimizzazione per una crescita continua
Rosario Toscano - Processi di ottimizzazione per una crescita continuaMeet Magento Italy
 
Henrik Feld Jakobsen - How to sell online Scandinavia
Henrik Feld Jakobsen - How to sell online ScandinaviaHenrik Feld Jakobsen - How to sell online Scandinavia
Henrik Feld Jakobsen - How to sell online ScandinaviaMeet Magento Italy
 
Rabia Qureshi - How to sell online in UK
Rabia Qureshi - How to sell online in UKRabia Qureshi - How to sell online in UK
Rabia Qureshi - How to sell online in UKMeet Magento Italy
 
Matteo Schuerch - How to sell online in Switzerland
Matteo Schuerch - How to sell online in SwitzerlandMatteo Schuerch - How to sell online in Switzerland
Matteo Schuerch - How to sell online in SwitzerlandMeet Magento Italy
 
Il data-driven nell’e-commerce: il caso studio Alessi
Il data-driven nell’e-commerce: il caso studio AlessiIl data-driven nell’e-commerce: il caso studio Alessi
Il data-driven nell’e-commerce: il caso studio AlessiMeet Magento Italy
 
Philippe Bernou - Seamless omnichannel solutions with Magento order management
Philippe Bernou - Seamless omnichannel solutions with Magento order managementPhilippe Bernou - Seamless omnichannel solutions with Magento order management
Philippe Bernou - Seamless omnichannel solutions with Magento order managementMeet Magento Italy
 

More from Meet Magento Italy (20)

Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
Dirk Pinamonti - Come affrontare la sfida del nuovo mercato multicanale e del...
 
Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules Vinai Kopp - How i develop M2 modules
Vinai Kopp - How i develop M2 modules
 
Eugene Shaksuvarov - Tuning Magento 2 for Maximum Performance
Eugene Shaksuvarov - Tuning Magento 2 for Maximum PerformanceEugene Shaksuvarov - Tuning Magento 2 for Maximum Performance
Eugene Shaksuvarov - Tuning Magento 2 for Maximum Performance
 
Muliadi jeo - How to sell online in Indonesia
Muliadi jeo - How to sell online in IndonesiaMuliadi jeo - How to sell online in Indonesia
Muliadi jeo - How to sell online in Indonesia
 
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2Max Pronko - 10 migration mistakes from Magento 1 to Magento 2
Max Pronko - 10 migration mistakes from Magento 1 to Magento 2
 
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...
Alessandro La Ciura - Progettare la migliore integrazione tra live chat ed e-...
 
Bodin - Hullin & Potencier - Magento Performance Profiling and Best Practices
Bodin - Hullin & Potencier - Magento Performance Profiling and Best PracticesBodin - Hullin & Potencier - Magento Performance Profiling and Best Practices
Bodin - Hullin & Potencier - Magento Performance Profiling and Best Practices
 
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...
Giulio Gargiullo - Strategie di marketing digitale per avviare l’e-commerce i...
 
Vinai Kopp - FPC Hole punching in Magento 2
Vinai Kopp - FPC Hole punching in Magento 2Vinai Kopp - FPC Hole punching in Magento 2
Vinai Kopp - FPC Hole punching in Magento 2
 
Jacopo Nardiello - From CI to Prod: Running Magento at scale with Kubernetes
Jacopo Nardiello - From CI to Prod: Running Magento at scale with KubernetesJacopo Nardiello - From CI to Prod: Running Magento at scale with Kubernetes
Jacopo Nardiello - From CI to Prod: Running Magento at scale with Kubernetes
 
James Zetlen - PWA Studio Integration…With You
James Zetlen - PWA Studio Integration…With YouJames Zetlen - PWA Studio Integration…With You
James Zetlen - PWA Studio Integration…With You
 
Talesh Seeparsan - The Hound of the Malwarevilles
Talesh Seeparsan - The Hound of the MalwarevillesTalesh Seeparsan - The Hound of the Malwarevilles
Talesh Seeparsan - The Hound of the Malwarevilles
 
Miguel Balparda - A day in support
Miguel Balparda - A day in supportMiguel Balparda - A day in support
Miguel Balparda - A day in support
 
Volodymyr Kublytskyi - Develop Product, Design Platform
Volodymyr Kublytskyi - Develop Product, Design PlatformVolodymyr Kublytskyi - Develop Product, Design Platform
Volodymyr Kublytskyi - Develop Product, Design Platform
 
Rosario Toscano - Processi di ottimizzazione per una crescita continua
Rosario Toscano - Processi di ottimizzazione per una crescita continuaRosario Toscano - Processi di ottimizzazione per una crescita continua
Rosario Toscano - Processi di ottimizzazione per una crescita continua
 
Henrik Feld Jakobsen - How to sell online Scandinavia
Henrik Feld Jakobsen - How to sell online ScandinaviaHenrik Feld Jakobsen - How to sell online Scandinavia
Henrik Feld Jakobsen - How to sell online Scandinavia
 
Rabia Qureshi - How to sell online in UK
Rabia Qureshi - How to sell online in UKRabia Qureshi - How to sell online in UK
Rabia Qureshi - How to sell online in UK
 
Matteo Schuerch - How to sell online in Switzerland
Matteo Schuerch - How to sell online in SwitzerlandMatteo Schuerch - How to sell online in Switzerland
Matteo Schuerch - How to sell online in Switzerland
 
Il data-driven nell’e-commerce: il caso studio Alessi
Il data-driven nell’e-commerce: il caso studio AlessiIl data-driven nell’e-commerce: il caso studio Alessi
Il data-driven nell’e-commerce: il caso studio Alessi
 
Philippe Bernou - Seamless omnichannel solutions with Magento order management
Philippe Bernou - Seamless omnichannel solutions with Magento order managementPhilippe Bernou - Seamless omnichannel solutions with Magento order management
Philippe Bernou - Seamless omnichannel solutions with Magento order management
 

Alan Rhode - GDPR: la nuova normativa privacy per l’Europa

  • 1.
  • 2. GDPR Domani• 25 maggio 2018, entra in vigore, in tutta Europa, il Regolamento europeo in materia di protezione dei dati personali («GDPR»). Tra• le numerose novità, il GDPR introduce anche: ✓ Nuovi diritti privacy per i soggetti interessati; ✓ Maggiori oneri informativi a carico dei merchant; Condizioni✓ più stringenti per il consenso quale fondamento di legittimità del trattamento dati; ✓ Nuovi requisiti organizzativi per le imprese («Accountability») 1
  • 3. I dilemmi del GDPR • Proviamo a rispondere ad alcuni dei quesiti più ricorrenti in merito alle nuove regole: 1. E’ necessario, per legge, il double opt-in? 2. Possiamo inviare comunicazione commerciali ai clienti senza loro previo consenso espresso (soft spam)? 3. Qual è il corretto periodo di conservazione dei dati personali? 4. Nel caso di una richiesta di cancellazione dei dati personali («diritto all’oblio»), dobbiamo cancellarli tutti? 5. Devo nominare un Data Protection Officer? 2
  • 4. Double opt in: è obbligatorio? • Il double opt in è il meccanismo d’iscrizione ad un servizio (e.g., newsletter, etc.) in base a cui: 1. l’utente fornisce ad un sito il proprio indirizzo e-mail; e, successivamente, 2. riceve una mail con un link da cliccare per confermare l’iscrizione. • Il GDPR non prevede l’obbligatorietà del double opt al fine di attestare il consenso dell’utente alla ricezione di mail e/o altre comunicazioni. E’ «muto» al riguardo. 3
  • 5. Double opt in: è obbligatorio? (2) Tuttavia,• il «double opt in» presenta alcuni vantaggi, sia in un ottica regolamentare che di marketing: 1. Il fatto che l’utente attivi l’iscrizione, cliccando sul link della mail di conferma. permette di meglio provare la sua effettiva volontà di ricevere il servizio; Appare2. più conforme al concetto di privacy by design; 3. Il double opt in comporta una selezione del database iscritti (no spam e iscrizioni passive), migliorandone così la qualità. 4
  • 6. Soft spam Il• merchant può utilizzare l’indirizzo e-mail dei propri clienti per inviare loro comunicazioni promozionali relative a prodotti e servizi similari rispetto a quanto in precedenza acquistato senza domandare il previo consenso del cliente (art. 130 Codice Privacy). La• mail promozionale deve informare il cliente in merito alla facoltà di opporsi a tali comunicazioni in modo agevole e gratuito (opt out). 5
  • 7. Soft spam (2) La• previsione del Codice Privacy sullo soft spam riproduce un’analoga norma della Direttiva 2002/58/EC («e-Privacy»). • A breve, la direttiva UE sarà sostituita da un Regolamento, anch’esso riguardante la privacy nell’ambito delle comunicazioni elettroniche, direttamente applicabile in tutta Europa (come il GDPR). Anche• il nuovo Regolamento e-Privacy permetterà il soft spam a condizioni sostanzialmente analoghe (art. 16, c. 2). 6
  • 8. Soft spam (3) • Le premesse al Regolamento e-privacy precisano: «it is reasonable to allow the use of e-mail contact details within the context of an existing customer relationship for the offering of similar products or services» (n. 33). • Il previsto Decreto legislativo italiano per adeguare la normativa nazionale con il GDPR conferma tale possibilità (di prossima approvazione). 7
  • 9. Soft spam (4) Anche• il GDPR, infatti, conferma la possibilità per il merchant d’inviare mail di marketing ai propri clienti senza preventivo consenso, bensì sulla base di un legittimo interesse (“avviamento”), si fonda proprio sul requisito che “esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento” (premessa n. 47 al GDPR). 8
  • 10. Conservazione dei dati personali Il• GDPR prevede che la privacy policy di un sito indichi «il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo» (art. 13). Tale• previsione fa riemergere l’annoso tema di quale sia il periodo massimo consentito per conservare i dati trattati in virtù del consenso di un utente (marketing, profilazione, etc.) Sul• punto, il GDPR non si esprime in modo specifico. 9
  • 11. Conservazione dei dati personali (2) Il• GDPR indica esclusivamente: i dati personali devono essere «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5). In• Italia, il Garante Privacy si è espresso in modo puntuale e dettagliato sul tema in risposta a specifiche istanze di operatori economici, differenziando tra tempo massimo di conservazione dati (1) a fini marketing e (2) profilazione. 10
  • 12. Conservazione dei dati personali (3) • I dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a 12 e a 24 mesi dalla loro registrazione, fatta salva la trasformazione in forma anonima (n. 1103045 del 24 febbraio 2005). • E’ fatta salva la possibilità di presentare istanza di verifica preliminare al Garante per domandare, in presenza di specifiche condizioni, un’estensione di tale lasso temporale. 11
  • 13. Conservazione dei dati personali (4) In• risposta ad una succesiva istanza di un brand della moda, il Garante ha affermato che “i dati personali che Ferragamo intende conservare riguardano acquisti relativi a beni particolari di cd "fascia alta" e, pertanto, è ragionevole ritenere che dodici mesi siano un tempo di conservazione eccessivamente limitato…alla luce di quanto sopra, il Garante ritiene che i dati personali precedentemente indicati siano conservati per un termine pari ad un massimo di sette anni”. 12
  • 14. Conservazione dei dati personali (5) In• tale pronuncia, il Garante ha ricordato come sia necessario raccogliere un separato consenso degli utenti per ogni finalitá di trattamento dati: marketing, profilazione, trasferimento di dati personali a terze parti (per ragioni non inerenti all’esecuzione di un contratto o obbligazione di legge). 13
  • 15. Conservazione dei dati personali (6) • Successivamente, un brand della moda ha domandato al Garante se potesse compiere analisi generali (big data analysis) su dati relativi ai dettagli degli acquisti e sulle anagrafiche dei clienti in forma aggregata/pseudonimizzata, senza previo consenso dei soggetti interessati, sussistendo ragioni di “intelligence commerciale” (legittimo interesse). • Il Garante ha risposto negativamente, affermando che le finalità in questione potrebbero essere raggiunte anche utilizando dati anonimi e/o consensati (prov. 304/2017). 14
  • 16. Diritto all’oblio In• ossequio alla giurisprudenza europea, il GDPR codifica il diritto degli utenti a ottenere dal titolare del trattamento la cancellazione dei dati personali che li riguardano, a specifiche condizioni. In• particolare, vi sono diverse eccezioni di rilievo per i merchant, tra cui: 1. I dati personali servono per l'adempimento di obbligo legale che richieda il trattamento previsto dal diritto dell’UE o dello Stato di cui è soggetto il titolare del trattamento; 15
  • 17. Diritto all’oblio (2) 2. I dati personali servono per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. • E’ possibile che sia necessario cancellare parte dei dati di un utente, mentre sia necessario conservare un’altra parte dei suoi dati. Se• ha comunicato e/o reso pubblici dati personali, tenendo conto della tecnologia disponibile e dei costi di attuazione, il data controller adotta le misure ragionevoli, anche tecniche, per informare i destinatari che stanno trattando i dati personali della richiesta dell'interessato. 16
  • 18. Data Protection Officer La• nomina di un DPO è obbligatoria in tre casi: 1. Il trattamento è compiuto da autorità pubblica o organismo pubblico, salvo autorità giurisdizionali; o 2. le attività principali di data controller e/o data processor consistono in trattamenti che, per loro natura, ambito d’applicazione e/o finalità, richiedono il monitoraggio regolare+sistematico degli interessati su larga scala; oppure 3. le attività principali di data controller e/o data processor consistono nel trattamento, su larga scala, di dati sensibili o relativi a condanne 17
  • 19. Data Protection Officer (2) Il• GDPR adotta locuzioni ambigue per individuare le condizioni di nomina obbligatoria del DPO: “attività principali…larga scala…monitoraggio regolare e sistematico”. Secondo• l’A29 Working Party, la gestione delle “buste paga” o l’utilizzo di ordinari strumenti informatici da parte dell’impresa non rappresentano attività principali, bensì accessorie. Non richiedono, di per sé, nomina DPO. 18
  • 20. Data Protection Officer (3) Secondo• l’Article 29 Working Party, le seguenti attività implicano il trattamento di dati personali su larga scala: 19
  • 21. Data Protection Officer (4) Secondo• l’Article 29 Working Party, esempi di attività che implicano monitoraggio regolare+sistematico di soggetti interessati sono: 20