Sistemi automatizzati e invio di comunicazioni elettroniche: le novità previste dal GDPR

Il GDPR, General Data Protection Regulation, approvato dall’Unione Europea nel 2016, sarà pienamente operativo il 25 maggio 2018.
L’obiettivo del regolamento è la protezione delle persone fisiche rispetto al trattamento dei dati personali e la loro libera circolazione.

Una delle novità introdotte dal regolamento riguarda la responsabilizzazione del titolare del trattamento: la privacy diventa un processo aziendale da seguire in tutte le sue fasi. Oltre a rispettare le norme, si dovranno tradurre in pratica i principi espressi dal regolamento con azioni concrete.

Il titolare del trattamento dati dovrà progettarne la tutela, privacy by design, a partire dall’informativa che dovrà essere concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro e dovrà contenere l’origine dei dati e il tempo di conservazione previsto, termine entro il quale i dati saranno cancellati, fino all’intera gestione del ciclo di vita dei dati stessi.

Il registro del trattamento: quali aziende sono tenute a produrlo?

Le aziende con più di 250 dipendenti e tutti i titolari il cui trattamento può presentare un rischio per i diritti e la libertà dell’interessato, sono tenuti a produrre il registro del trattamento dei dati.
Si tratta di un documento che raccoglie nome e dati di contatto del titolare; descrizione delle categorie degli interessati e delle categorie dei dati personali; categorie dei destinatari; se presenti, i trasferimenti dei dati personali verso paesi terzi; i termini ultimi previsti per la cancellazione dei dati, la descrizione generale delle misure di sicurezza tecniche ed organizzative.

Il documento di valutazione dell’impatto del trattamento: in cosa consiste?

Altra importante novità consiste nel documento di valutazione dell’impatto del trattamento dei dati. Il titolare del trattamento dovrà produrre questo documento dove si attesta l’effettuata analisi dei rischi del trattamento, si definisce la lista delle criticità e la realizzazione di un programma di intervento.

Come cambia l’informativa?

Il titolare deve fornire all’interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori.

Sarà necessario specificare le modalità utilizzate per il trattamento dati: telefonate automatizzate e modalità assimilate quali fax, email, sms, mms oltre a quelle tradizionali come posta cartacea e telefonate con l’operatore, nonché le finalità del trattamento stesso: ricerca statistica, marketing, profilazione.

Il consenso per il trattamento: cosa accade dopo il 25 maggio 2018?

Anche riguardo alla raccolta del consenso per il trattamento, il GDPR introduce alcune novità.
In passato consenso poteva essere ritenuto valido esclusivamente se raccolto tramite dichiarazione di accordo all’utilizzo dei propri dati, l’opt-in, da parte dell’interessato.

Con la nuova normativa europea, il consenso può essere espresso anche attraverso un’azione positiva inequivocabile che i dati personali, che riguardano l’interessato, siano oggetto di trattamento.
Un esempio di questo genere di azioni è quello reso quando, visualizzando un banner che ci informa che il sito che si sta visitando utilizza cookies, continuiamo a navigare, di fatto accettando l’uso dei cookies.
Non è necessario quindi che il consenso acquisito sia in forma scritta ma è necessario che risultino documentati la data in cui è stato reso il consenso e gli estremi identificativi di chi lo ha ricevuto e che siano garantite e rispettate possibilità e volontà di revoca.

La raccolta del consenso secondo le modalità previste dalla nuova normativa sarà possibile solo a partire dall’effettiva entrata in vigore, il 25 maggio 2018.

Il consenso ai fini dell’invio di email marketing: è possibile utilizzare dati raccolti prima del 25 maggio 2018?

Senza il consenso preventivo per il trattamento dei dati non è possibile inviare email promozionali né altro genere di comunicazioni della stessa natura, come sms, mms, telefonate automatizzate.

Il titolare del trattamento di dati personali deve acquisire un consenso specifico per ciascuna distinta finalità quale ad esempio marketing, profilazione, comunicazione a terzi di dati.

Il consenso dei minori è valido a partire da 16 anni, nel caso età inferiore occorre ottenere il consenso dai titolari della responsabilità genitoriale.

Nel caso di database contenenti dati trattati sulla base di un consenso raccolto prima del 25 maggio 2018, è opportuno verificare se i consensi possono ritenersi validi rispetto alle norme del GDPR, e in caso contrario raccogliere nuovamente i consensi secondo quanto prescrive il regolamento.

L’informativa dovrà essere fornita all’interessato prima di effettuare la raccolta dei dati.

L’eccezione del “soft spam”: chi riguarda?

Per la sola posta elettronica può ricorrere l’eccezione del cosiddetto “soft spam" in base al quale se il titolare del trattamento utilizza, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto di vendita di un prodotto o di un servizio, può non chiedere il consenso dell’interessato. Ciò però sempre che si tratti di servizi analoghi di quelli in oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso.

In cosa consiste la Privacy by default?

Il titolare del trattamento dovrà prevenire raccolte di dati non necessari per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa.
Sarà responsabilità del titolare raccogliere dati personali proporzionati, pertinenti e limitati alle finalità per le quali sono trattati.

Quali sono i tempi di invio dell’informativa?

Nel caso in cui i dati non vengono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può comunque superare 1 mese dalla raccolta oppure dal momento della comunicazione dei dati a terzi o all’interessato.

Come comportarsi rispetto ai dati di dominio pubblico?

Questi dati, anche se sono liberamente consultabili, non possono essere utilizzati liberamente per azioni di marketing diretto in assenza di un consenso informato, specifico e formulato in modo non equivoco dall’interessato.

C’è un tempo prestabilito per la conservazione dei dati?

Il GDPR non impone un tempo predefinito per la conservazione dei dati, starà ad ogni titolare individuare questo periodo, o il criterio per determinarlo.
Il titolare del trattamento è tenuto ad informare l’interessato prima di procedere alla raccolta dati indicando il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Il diritto alla cancellazione dei dati: cosa comporta il diritto all’oblio?

Il diritto all’oblio permette al soggetto interessato di ottenere dal titolare la cancellazione di dati personali che lo riguardano e la rinuncia a un’ulteriore diffusione di tali dati, quando non sono più necessari alle finalità per cui sono stati raccolti, o quando viene revocato il consenso e i dati non possono essere trattati dal titolare su una base giuridica diversa, il GDPR aggiunge alcune novità.

I titolari del trattamento, che abbiano reso pubblici i dati personali dell’interessato, hanno l’obbligo di informare dell’eventuale richiesta di cancellazione anche gli altri titolari che trattano i dati personali cancellati.

La portabilità dei dati

Con diritto alla portabilità dei dati si intende il riconoscimento sia del diritto dell’interessato a trasferire i propri dati da un sistema di trattamento elettronico a un altro, senza che il titolare possa impedirlo, sia del diritto di ottenere gli stessi dati in un formato elettronico, strutturato e di uso comune, che consenta di farne ulteriore uso.

Condividi: