Upload
anorc-associazione-nazionale-per-operatori-e-responsabili-della-conservazione-digitale
View
11
Download
1
Embed Size (px)
Citation preview
Associazione Nazionale per Operatori e Responsabili
della Conservazione Digitale
www.anorc.it mail: [email protected]
Trattamento dei dati personali nelle
attività di marketing e profilazione on line
Avv. Sarah Ungaro
Digital & Law Department – Studio legale Lisi
Vice Presidente ANORC Professioni
IL COMMERCIO ELETTRONICO NELLA SOCIETÀ DELL’INFORMAZIONE
Spesso l’attività di marketing promozionale si scontra
con la riservatezza degli individui (utenti e
consumatori) e trovare un giusto equilibrio non è così
semplice!
Il web non è un Far Web, anzi è sempre più
un mondo regolamentato nel minimo dettaglio
- Vademecum marketing e privacy 2015
- Linee guida in materia di attività promozionale e
contrasto allo spam - 4 luglio 2013
- Provvedimento generale in materia di trattamento
dei dati personali nell'ambito dei servizi di mobile
remote payment - 22 maggio 2014
- Linee guida in materia di trattamento di dati
personali per profilazione on line - 19 marzo 2015
Provvedimenti e documenti dell’Autorità garante per la protezione dei
dati personali in tema di marketing, profilazione on line e pagamenti
da remoto
Ruolo del Garante: bilanciamento
fra diritti e libertà fondamentali
Diritti utenti e interessati
In particolare: diritto alla privacy, diritto alla
protezione dei dati personali, diritti del consumatore a
scelte consapevoli in quanto ben informate (Codice
privacy, Codice Consumo)
VS
Iniziativa economica e libertà d’impresa di
imprenditori individuali o in forma collettiva come
società (41 Cost.; art. 16 Carta Nizza; Trattati CE, etc…)
i principi fondamentali
TRATTAMENTO DEI DATI PERSONALI:
Diritto alla protezione dei dati personali
Principio di necessità del trattamento
dei dati
Principio di finalità
Principio di autodeterminazione
informativa
Principio di correttezza
Principio di precauzione
Audit e limiti al trattamento dei dati
Principi fondamentali di finalità, proporzionalità e non eccedenza, necessità
del trattamento dei dati (art. 3-11 Codice)
Misure minime di sicurezza
Tutela diritti fondamentali dell’interessato:
- informativa idonea ex art. 13
- Diritto di opposizione e gli altri diritti ex art. 7 ss del Codice in forma
agevole e gratuita
Va fatto salvo, nel bilanciamento, il «nocciolo duro» (l’essenza) dei diritti in
gioco (es. diritto all’identità e dignità della persona) Cfr. orientamento
costante Corte Cost.: non ci sono diritti fondamentali assoluti, vanno
ragionevolmente contemperati fra loro (e possono anche sopportare un
pregiudizio ragionevole) alla ricerca di un possibile equilibrio che ne faccia salva
l’essenza
Art. 11. D.Lgs. 196/2003
Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in
altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati.
Trasparenza delle operazioni;
Responsabilizzazione degli operatori;
Tracciabilità dei procedimenti;
Controllo dei sistemi informativi.
Dal punto di vista organizzativo è
importante regolamentare e formalizzare le
corrette procedure per il trattamento dei
dati personali garantendo:
Il legislatore ha imposto precise regole di comportamento
e un nuovo modello organizzativo: al vertice di questo
modello, oltre al Titolare, vi è la figura del Responsabile
(o meglio di Responsabili a più livelli).
Occorre definire un organigramma privacy, che
riporti:
• Responsabile/i
• Incaricati interni
• Incaricati esterni
• Incaricati con particolari compiti
(amministratore di sistema)
• Terze parti (autonomi titolari, co-titolari,
responsabili esterni, ecc.).
Eventuali violazioni delle disposizioni in
tema di informativa sono sanzionate in
sede amministrativa (art. 161, da 6.000 a
36.000 euro).
N.B. OBBLIGO DI RENDERE
L’INFORMATIVA EX ART. 13 DEL Codice
privacy (D.Lgs. 196/2003)
Il consenso deve essere “determinato”
vale a dire: riferito a una specifica finalità
Nel CRM, convivono varie finalità
Marketing diretto
Profilazione
Fidelizzazione
Cessione dati a terzi
Per marketing diretto e profilazione
Occorrono due consensi distinti
Per la fidelizzazione, non occorre consenso
Requisiti del consenso
Consenso: quando è obbligatorio
Linee guida in materia di attività promozionale
e contrasto allo spam
Finalità:
- assicurare l’uniforme applicazione della normativa e l’osservanza
del fondamentale principio di certezza del diritto;
- chiarire alcuni profili problematici relativi alle diverse modalità di
spam, affinché gli operatori del settore possano conformarsi alla
disciplina sul trattamento dei dati personali;
- inquadrare alcune nuove forme di spam, con l’intento di limitare i
rischi connessi all’utilizzo delle novità tecnologiche.
Analizziamo alcuni passaggi fondamentali delle nuove Linee Guida:
le persone giuridiche, gli enti e le associazioni (seppur tutelate
dallo spam), poiché non rientrano nella definizione di “interessato”,
non possono azionare gli ordinari strumenti di tutela previsti dal
Codice Privacy, ma possono procedere presso l’autorità giudiziaria
ordinaria, mediante l’azione inibitoria e/o l’azione di risarcimento
del danno (o, se ricorrono i presupposti di cui all’art. 167 del Codice
Privacy, mediante denuncia-querela);
Semplificazioni Garante
Linee Guida del 4 luglio 2013
Unico consenso per tutte le finalità del 130 comma
1 Codice
Unico consenso per modalità tradizionali e
modalità automatizzate di cui all’art. 130, commi 1
e 2
Unico consenso per la comunicazione/cessione dei
dati raccolti a tutti i terzi (anche se numerosi per
numero di soggetti o categorie)
Alcune indicazioni del Garante tratte da “Linee guida in materia
di attività promozionale e contrasto allo spam “(4 luglio 2013)
• indirizzi di posta elettronica aziendale (nome.cognome@società.com):
vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi
assegnatari come "interessati", con la conseguente applicabilità del Codice
e del relativo impianto di diritti e tutele;
• necessità di fornire un’informativa chiara e completa, specificando le
modalità che saranno utilizzate per il trattamento dati (di cui all'art. 130,
commi 1 e 2) e le finalità del trattamento;
• garanzia che le persone presenti in mailing list hanno ricevuto
un’informativa privacy veritiera ed efficace e hanno rilasciato il consenso;
• ai fini della legittimità della comunicazione promozionale effettuata, il
titolare del trattamento non può – con la prima comunicazione inviata –
avvisare l’utente o il contraente della possibilità di opporsi a ulteriori invii,
né può essere considerato lecito chiedere, con il primo messaggio
promozionale, il consenso al trattamento dei dati per finalità promozionali;
• senza il consenso preventivo non è possibile inviare comunicazioni
promozionali “neanche nel caso in cui i dati personali siano tratti da
registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili
da chiunque” (compreso gli indirizzi di PEC contenuti nell’ “Indice
nazionale degli indirizzi pec delle imprese e dei professionisti”);
• per l’invio di materiale pubblicitario, di vendita diretta, di compimento di
ricerche di mercato e di comunicazione commerciale non è necessario un
consenso specifico per ciascuna di esse, in quanto le suddette attività “sono
funzionali a perseguire un’unica finalità (lato sensu) di marketing, con la
conseguenza che il connesso trattamento appare giustificare l’acquisizione di un
unico consenso”;
• il consenso deve essere libero, informato, specifico e “documentato per
iscritto” (sebbene ciò non significhi necessariamente il conferimento in “forma
scritta”, potendo gli operatori del settore ritenersi liberi di scegliere il metodo
organizzativo più opportuno per fornire la prova della sua acquisizione);
• possibilità di beneficiare dell’eccezione del “soft spam” (art. 130, comma 4, del
Codice) quale causa di esonero dall’acquisizione del consenso;
• il consenso per la comunicazione e/o cessione a terzi dei dati personali ai fini
promozionali, deve essere distinto da quello richiesto dal medesimo Titolare per
svolgere esso stesso attività promozionale;
• nell’informativa – per la cessione a terzi - occorre indicare ciascuno dei terzi o,
in alternativa, le categorie (economiche o merceologiche) di appartenenza degli
stessi;
• nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti
all'interessato anche gli altri elementi previsti all’art. 13 del Codice relativi
al trattamento che verrà da questi svolto, non sarà necessario che i predetti
soggetti rilascino agli interessati un'ulteriore informativa in quanto la stessa
“può non comprendere gli elementi già noti alla persona che fornisce i dati”;
• se la richiesta di consenso non è accompagnata da un’informativa con tali
requisiti, i terzi (art. 13, comma 4, del Codice) potranno inviare ai medesimi
interessati le comunicazioni promozionali in questione solo dopo il rilascio di
una propria informativa che contenga anche l’origine dei dati personali a loro
comunicati, in modo tale che ciascun interessato possa rivolgersi anche al
soggetto che li ha raccolti e comunicati per opporsi al trattamento;
• le suddette regole si applicano anche quando i soggetti terzi (ai quali si
intenda comunicare o cedere i dati raccolti per finalità di marketing) siano
società controllate, controllanti, o comunque a vario titolo collegate con il
soggetto che ha raccolto i dati personali degli interessati;
• i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere
all’obbligo del consenso, devono essere comunque ritenuti, di regola, quali
autonomi e distinti titolari dei rispettivi trattamenti.
i provider di posta elettronica devono assicurare la
mutua autenticazione dei rispettivi server al fine di
garantire agli utenti il livello più elevato possibile di
protezione anti-spam (occorre utilizzare filtri per
prevenire lo spam e al contempo garantire la riservatezza
degli interessati);
l’operatore può contattare telefonicamente il contraente (presente
negli elenchi telefonici o pubblici e che non sia iscritto nel registro delle
opposizioni) per chiedere il suo consenso a ricevere comunicazioni
promozionali;
il consenso del contraente/utente deve essere specifico per ciascuna
eventuale finalità perseguita, compresa la comunicazione a terzi dei suoi
dati per l’invio di loro comunicazioni promozionali. Pertanto, il Titolare
deve acquisire un consenso specifico e distinto a seconda del
perseguimento di finalità di:
- marketing,
- profilazione,
- comunicazione a terzi.
NB Le caselline non devono essere già preselezionate (violazione dell’art. 162
co. 2 bis)
Marketing e Profilazione
Marketing : art. 130, comma 1. Codice Privacy
Art. 130. Comunicazioni indesiderate
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9
aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione
di chiamata senza l'intervento di un operatore per l'invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale è consentito con il consenso del contraente o utente.
Profilazione : l’elaborazione aggregata di dati, scelte di consumo e abitudini, al
fine di proporre un marketing personalizzato o comunque mirato sugli effettivi
gusti, interessi e abitudini dell’interessato
Quest’ultima presenta vantaggi sia per le imprese, che abbattono i costi di una
pubblicità indiscriminata, sia per il cliente, che, destinatario di una pubblicità
mirata, è facilitato nella ricerca del prodotto.
PROFILAZIONE: REGOLE E LIMITI
Quali sono i limiti di liceità ?
L’attività di profilazione (e nello specifico l’analisi di gusti e preferenze
dell’interessato) a scopo di marketing è un’attività lecita (ed è anche utile) ma deve
rispettare i seguenti limiti (principi) del Codice:
1) l’obbligo di informativa idonea ai sensi del 13 del Codice, cioè l’utente deve
essere chiaramente informato al momento della raccolta dei suoi dati personali che
questi ultimi verranno utilizzati (anche o solo) per la finalità di profilazione;
2) L’obbligo del consenso specifico ex art. 23 del Codice per tale finalità;
Consenso che quindi deve essere distinto e ulteriore rispetto a quello necessario per
la mera attività promozionale o a quello necessario per la comunicazione a terzi per
le loro finalità promozionali;
3) Anche per il marketing e per la profilazione, come per ciascun altro trattamento
di dati, vanno rispettati i fondamentali principi di finalità, necessità, non
eccedenza e proporzionalità (cfr. 3-11 Codice), con riferimento anche a tempi e
modalità di conservazione dei dati personali in questione;
4) È obbligatorio procedere alla notificazione (art. 37 Codice) al Garante Privacy.
Social spam
Al riguardo il Garante Privacy afferma che:
- l'agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o
indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per
inviare comunicazioni promozionali automatizzate senza il consenso dei
destinatari.
- i messaggi promozionali inviati agli utenti dei social network (come Facebook),
in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla
disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130.
- la medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando
strumenti o servizi tipo quelli offerti da Skype, WhatsApp, Viber, Messanger,
etc..*
Linee guida in materia di attività promozionale e contrasto
allo spam (4 luglio 2013)
* Per questi, si ricorda il rischio di proliferazione dello spam dato che tali strumenti talora
comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart-
phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso
della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile
dell'utente per reperire e/o conservare tali dati personali.
Nell’ambito del Social spam rientra il c.d. spam mirato cioè lo
spam basato sulla profilazione degli utenti.
Linee guida in materia di attività promozionale e contrasto allo spam
Inoltre, la tendenza dei gestori delle piattaforme tecnologiche a policy privacy
sempre più semplificate, nonché la tendenza all’unificazione dei profili sui
diversi servizi resi dalle medesime piattaforme, consente di pervenire a una
conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi
diversificati sulla base dei gusti rilevabili su molteplici applicazioni.
Lo Spam mirato agevola il rapporto commerciale tra produttore e consumatore
(riducendo sia i costi di marketing, sia i costi di ricerca del prodotto) ma può causare
all'interessato che viene profilato a dispetto della sua volontà, oltre alla ricezione
dello spam, anche la compressione della sua libertà di fruizione dei servizi della
società dell'informazione.
Le SANZIONI previste per tale attività possono variare dalla omessa o inidonea
informativa e mancata acquisizione del consenso (artt. 161 e 162, comma 2-bis del
Codice Privacy) sino ad arrivare alla configurazione di un vero e proprio reato
(perseguibile d’ufficio) rilevante sotto il profilo penale, qualora emergano i presupposti
di un possibile trattamento illecito di dati personali (art. 167 del Codice Privacy).
APP e Privacy
• mancanza di TRASPARENZA nelle modalità e nelle finalità di raccolta dei dati;
• incapacità o impossibilità da parte degli interessati di esercitare o recuperare il
CONTROLLO sui propri dati e sul modo in cui essi vengono comunicati a terzi;
• elementi tecnici di SICUREZZA INFORMATICA
Pertanto è necessario garantire:
- obblighi di informativa (contenente l’identità del fornitore, il tipo di dati raccolti, lo
scopo del trattamento e la possibilità di comunicazione a terzi) e consenso riguardo
all’archiviazione di informazioni sui terminali degli utenti, nonché per l’utilizzo da parte
delle applicazioni di dati di localizzazione o delle rubriche dei contatti (consenso per carte
di credito, navigazione in rete, dati biometrici);
- modalità per revocare il consenso ad alcuni trattamenti (che non rientrino tra quelli
obbligatori e necessari ad eseguire il servizio a regola d’arte) e disinstallare le app;
- impiego (per i developer) di “identificativi non persistenti, in modo da ridurre al minimo
il rischio di tracciamenti degli utenti per tempi indefiniti” e predeterminare un termine di
inattività decorso il quale l’account dell’utente scade e non è più utilizzabile;
- previsione (per i developer) di precisi tempi di conservazione dei dati i e l’impiego di
icone user friendly per segnalare che specifici trattamenti di dati sono in corso
Adempimenti organizzativi:
fornire agli utenti/utilizzatori una completa informativa ex art. 13 che
contenente l’identità del fornitore/proprietario della app, il tipo di dati
raccolti, lo scopo del trattamento e la possibilità di comunicazione a terzi, la
garanzia e descrizione circa le principali misure di sicurezza adottate e, infine,
le modalità su come esercitare i diritti di cui all’art. 7 d.lgs. 196/2003;
acquisire il consenso per l’eventuale tracciamento delle operazioni compiute in
rete dall’interessato, per l’archiviazione di informazioni sul suo dispositivo e
per l’utilizzo di dati di geolocalizzazione;
indicazione, se avviene il tracciamento dell’interessato e del tempo di
conservazione di tali informazioni;
esclusione dall’utilizzo delle app. per i minori di età;
ridurre (ma non eliminare) il rischio di tracciamento degli utenti;
stabilire tempi di conservazione certi (nel rispetto del principio di finalità,
pertinenza e non eccedenza: tali dati – compreso gli identificativi non
persistenti e l’eventuale tracciamento degli utenti – devono essere cancellati
venute meno le esigenze di conservazione).
OBBLIGHI PER GLI SVILUPPATORI DI APP
Rispettare gli obblighi previsti per il titolare del trattamento dei dati, sia
verso gli utenti, sia verso gli eventuali fornitori responsabili del
trattamento
Chiedere il consenso per il trattamento dei dati prima che l’app inizi a
ricevere informazioni (ad. es. prima dell’installazione)
trattare il minor numero possibile di dati personali
fornire all’utente un’informativa privacy completa
dare all’utente la possibilità di revocare liberamente il consenso al
trattamento dei suoi dati personali in caso di disinstallazione dell’app
implementare le misure di sicurezza richieste dalla legge
fornire un contatto unico per le esigenze privacy degli utenti
conservare i dati solo per un periodo di tempo ragionevole e prevedere
un periodo di inattività oltre il quale l’account verrà disattivato
Provvedimento generale in materia di trattamento dei dati personali nell'ambito dei
servizi di mobile remote payment - 22 maggio 2014
- Le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le
società che forniscono l'interfaccia tecnologica, le aziende che offrono contenuti
digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli
che consentono, anche tramite app, l'accesso al mercato digitale) devono essere in
regola con il provvedimento generale varato dal Garante privacy nel maggio 2014.
- In particolare, gli utenti che acquistano beni digitali devono essere informati sulle
modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al
servizio di pagamento da remoto. I loro dati (dal numero telefonico ai dati anagrafici,
dalle informazioni sul servizio o prodotto digitale richiesto all'indirizzo IP di
collegamento) possono essere conservati al massimo per 6 mesi e non possono essere
usati per altre finalità, come l'invio di pubblicità o analisi delle abitudini senza uno
specifico consenso. L'indirizzo IP degli utenti dove essere cancellato dal venditore una
volta terminata la procedura di acquisto.
Provvedimento generale in materia di trattamento dei dati personali
nell'ambito dei servizi di mobile remote payment - 22 maggio 2014
- Precise misure di sicurezza devono essere adottate per garantire la
riservatezza delle persone e impedire l'integrazione delle diverse
tipologie di dati a disposizione dell'operatore telefonico (dal consumo
telefonico ai dati sul consumo di beni digitali) a fini di profilazione
"incrociata" dell'utenza a meno che non venga espresso uno specifico
consenso informato dell'utente.
- I venditori, a garanzia della riservatezza delle transazioni dei clienti,
possono trasmettere all'operatore telefonico solo le categorie
merceologiche di riferimento senza indicazioni sullo specifico contenuto
del prodotto o servizio acquistato, a meno che non sia necessario per la
fornitura di servizi in abbonamento.
Linee guida in materia di trattamento di dati personali per profilazione on
line - 19 marzo 2015
- Consenso obbligatorio, revocabile in ogni momento.
- Chi opera su Internet deve fornire agli utenti informazioni chiare e
complete, richiedere ed ottenere il consenso degli interessati, revocabile
in ogni momento, e offrire concrete tutele anche a chi non dispone di uno
specifico account per accedere ai servizi offerti.
- Le regole delle Linee guida armonizzano e rendono più chiara la gestione
delle attività di profilazione, ovvero la definizione di "profili" di utenti
(sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo
di fornire servizi o promozioni personalizzate.
- Devono essere adottate da tutti i soggetti stabiliti su territorio nazionale
che forniscono servizi on line, quali motori di ricerca, posta elettronica,
mappe on line, social network, pagamenti elettronici, cloud computing.
Ecco in sintesi le regole previste nelle Linee guida:
Tutele per ogni utente
Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi
tramite un account (ad esempio per l'utilizzo della posta elettronica), sia di quelli che fanno uso dei
servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice
navigazione on line.
Informativa
L'informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già
dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di
esprimere o meno il consenso all'uso dei propri dati per fini di profilazione ed è preferibile che sia
strutturata su più livelli, per renderne più facile la lettura: un primo livello immediatamente
accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad
esempio l'indicazione dei trattamenti e dei dati oggetto di trattamento); un secondo livello, accessibile
dal primo, con ulteriori dettagli sui servizi offerti.
Conservazione dati
Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice
privacy, proporzionati alle specifiche finalità perseguite.
Consenso
Qualunque attività di trattamento dei dati personali dell'utente per finalità di profilazione e
diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o
antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata
esclusivamente con il consenso informato dell'utente.
Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque
effettuata: sia quella sui dati relativi all'uso della posta elettronica, sia quella basata
sull'incrocio dei dati personali raccolti in relazione all'utilizzo di più funzionalità da parte
degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social
network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.), sia infine quella
fondata sull'impiego di strumenti di identificazione diversi dai cookie (che costruisce profili
dell'utente sulla base di specifici parametri di impostazione del terminale o sulle modalità
del suo utilizzo).
Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole
se acconsentire alla profilazione. All'utente dovrà comunque essere sempre pienamente
garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere
predisposto un link, sempre ben visibile.
Diritti degli interessati (conoscitivi e di controllo)
Potenziamento dei contenuti obbligatori dell’informativa e obbligo per tutti i titolari
del trattamento di integrare le proprie informative fornite agli interessati;
Definizione di idonee modalità di acquisizione e revoca del consenso nei vari
contesti (es. sito web), nonché di fornire la relativa prova (dimostrazione
dell’acquisizione del consenso);
Introduzione – oltre a tutto quanto già previsto dal vecchio Codice privacy – dei nuovi
diritti alla limitazione del trattamento, alla portabilità dei dati e del diritto a una
cancellazione estesa (“oblio”), nonché diritto a conoscere eventuali violazioni di
dati personali causati da chi detiene la titolarità sui dati (c.d. data braches), che fa
sorgere conseguentemente un dovere per i titolari del trattamento di renderli effettivi
nei confronti degli interessati che ne facciano richiesta.
In relazione a tali novità, è importante integrare e revisionare tutte le informative
e creare delle procedura ad hoc per il riscontro delle richieste in caso di esercizio
dei propri diritti da parte degli interessati.
Novità del Regolamento Generale sulla protezione dei dati
personali n. 679/2016
COSA FARE
Revisione di tutte le informative e privacy policy del
sito web
Social Media policy
Linee Guida e-marketing
Regolamenti aziendali interni e corretta
responsabilizzazione degli incaricati
Avv. Sarah Ungaroemail: [email protected]&L Department – Studio Legale Lisi