Cambia la normativa sulla privacy, cambia l’email marketing

di Deborah Bonadei

Nel 1996 la legislazione italiana iniziò a parlare di ‘protezione dei dati personali’. Da allora la situazione è decisamente cambiata e oggi l’internet delle cose e i big data - fonti inesauribili di informazioni - ci costringono a una attenzione costante, a regole precise, per garantire la privacy ed evitare qualsiasi tipo di violazione legale. È proprio per questa ragione che l’Unione europea ha deciso di apportare considerevoli modifiche al Regolamento generale sulla tutela dei dati personali, che entreranno in vigore il 25 maggio 2018 per tutti gli Stati membri.

Con la nuova normativa, che andrà a sostituire quella entrata in vigore nel 2016, la privacy diventerà un vero e proprio processo aziendale regolamentato.
Diventa quindi necessario prendere atto dei cambiamenti in corso e intervenire in maniera tempestiva, al fine di rendere la propria strategia di email marketing conforme alla nuova disciplina.

 

Ma cosa cambia in concreto?

L’approccio alla tutela dei dati.
La nuova normativa pone al centro i doveri e le responsabilità del titolare del trattamento dei dati, il quale dovrà fornire all’interessato un’informativa chiara e trasparente in merito al trattamento.

La richiesta di consenso.
Ad oggi, per utilizzare i dati, è necessario avere un consenso espresso. Con la nuova normativa sarà sufficiente un’azione positiva inequivocabile, per esempio l’accettazione dei cookies quando si visita un sito.

Il Data Protection Impact Assessment (DPIA)
Una sorta di auto-verifica preliminare che ciascun titolare svolge in maniera autonoma, al fine di valutare i rischi che il trattamento dei dati comporta.

Il Data Privacy Officer.
Una nuova figura, obbligatoria nel caso in cui a trattare i dati sia un soggetto pubblico. Il DPO dovrà vigilare sull’attuazione del Regolamento europeo, garantire la conservazione della documentazione relativa ai trattamenti effettuati dal titolare e controllare che il responsabile del trattamento effettui il DPIA.

Privacy by design e Privacy by default.
La tutela dei dati personali deve essere pensata e organizzata fin dalla fase di raccolta delle informazioni (Privacy by design). Inoltre, risulta opportuno prevenire la raccolta di dati non necessari al raggiungimento degli obiettivi dichiarati nell’informativa (Privacy by default). 

Le sanzioni.
La violazione dell’informativa comporta sanzioni fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi, e fino al 4% del fatturato complessivo per i gruppi societari.

La profilazione.
Per profilazione s’intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare aspetti personali relativi a una persona fisica (rendimento professionale, situazione economica, salute, …)”. Qualora si effettui profilazione, nasce l’obbligo di dichiararlo in modo specifico nell’informativa e di disporre di un consenso esplicito dell’interessato.

 

 

 

Cosa fare, in pratica, per adeguarsi alle novità?

Il primo passo da compiere è quello di valutare le proprie informative e verificare come adeguarle. Diventa inoltre essenziale una mappatura aggiornata dei dati, volta ad analizzare le tipologie di informazioni di cui si dispone, nonché la definizione delle nuove regole di acquisizione del consenso.

 

 

Una volta istituita la figura del Data Privacy Officer, occorre iniziare a prendere confidenza con la Privacy by design ed effettuare il DPIA, eventualmente affidandosi a mani esperte. Fare tutto in proprio può sembrare più semplice e immediato ma, considerate le sfaccettature legali, gli innumerevoli obblighi della normativa e il rischio sanzioni, può essere più utile chiedere aiuto a un consulente dedicato: se i dati personali (il loro possesso, utilizzo e analisi) sono la nuova ricchezza, i rischi e le responsabilità che ne derivano vanno trattati con cura.

 

Richiedi informazioni gratuite