Privacy e marketing: le regole essenziali della compliance

La correttezza delle procedure e il rispetto delle norme in materia di privacy è alla base dell’operatività di ogni organizzazione, soprattutto quando questa si muove nell’ambito dell’e commerce e del marketing, scegliendo poi di utilizzare i canali social per promuovere la propria attività.

Il rispetto della normativa è necessario anche al fine di non cadere nelle maglie dell’attività ispettiva del Garante e incorrere in sanzioni, che potrebbero danneggiare, oltre che l’azienda stessa dal punto di vista economico o amministrativo, anche la sua reputazione nei confronti dei clienti, dei partner e degli stakeholders in generale. L’aspetto di cui stiamo parlando è la compliance.

Per entrare nello specifico, fondamentale è la compliance al Gdpr, cioè la conformità al Regolamento europeo per la protezione dei dati. Chi, ad esempio, esercita un’attività commerciale online ha indubbiamente la necessità di entrare in contatto con i clienti ed acquisire informazioni personali che rientrano nella tutela della privacy.

In una recente decisione nei confronti di un’azienda sanitaria, il Garante privacy ha fornito importanti informazioni sulla corretta adozione di adempimenti che vanno adottati dai titolari del trattamento in materia di compliance Gdpr, ovvero sulla correttezza delle procedure e delle misure tecnico organizzative di sicurezza, da adottare nel rispetto delle norme dettate dal Regolamento europeo, quindi in materia di privacy.

Adempimenti e obblighi in materia di compliance

In particolare, dall’intervento del Garante italiano si possono trarre rilevanti accorgimenti da considerare attentamente, nell’ambito della predisposizione degli adempimenti in materia di data protection, che spesso sono erroneamente “sottovalutati” dai titolari del trattamento. Questi in particolare:

• adozione del registro delle attività di trattamento;
• designazione dei responsabili del trattamento;
• messa in atto di misure di sicurezza tecnico-organizzative adeguate al rischio;
• redazione di un corretto modello di consenso informato;
• esecuzione di una valutazione di impatto sulla protezione dei dati.

A questi adempimenti (ma non solo) i titolari del trattamento devono dare la massima attenzione. Va ricordato, infatti, che da quando è in vigore il Gdpr, in ossequio al principio della responsabilizzazione (“accountability”), i titolari del trattamento diventano i primi controllori di sé stessi, ovvero della conformità dei propri trattamenti ai precetti normativi.

L’adozione del registro delle attività di trattamento

La predisposizione e l’aggiornamento del registro delle attività di trattamento, di cui all’articolo 30 del Gdpr, costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione. Rappresenta, inoltre, parte integrante di un sistema trasparente di gestione dei dati.

La designazione dei responsabili del trattamento

Vista l’importanza del responsabile del trattamento, il Garante ha in più occasioni sottolineato che la sua designazione deve essere idonea in relazione al Gdpr. Infatti, l’articolo 30 del Regolamento spiega che, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a “responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” in modo tale che il trattamento soddisfi i requisiti del regolamento e “garantisca la tutela dei diritti dell'interessato”.

Implementazione di misure di sicurezza tecnico-organizzative adeguate al rischio

L’organizzazione deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, che possono comprendere, tra le altre, la pseudonimizzazione, la cifratura dei dati personali e misure in grado di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi dei servizi di trattamento.

Redazione di un corretto modello di consenso informato

Il Gdpr detta regole stringenti anche in materia di consenso informato in particolare per la realizzazione del modello di informativa. In tal senso, gli articoli 13 e 14 prevedono elementi informativi che vanno previsti, quali: il periodo di conservazione dei dati personali, i diritti riconosciuti dal Regolamento agli interessati, il diritto di proporre reclamo all’Autorità di controllo e i dati di contatto dei titolari del trattamento e del responsabile della protezione dei dati.

Esecuzione della valutazione di impatto sulla protezione dei dati

L’azienda non può prescindere da una valutazione dell’impatto sulla protezione dei dati in base all’articolo 35 del Gdpr. Su questo aspetto, la norma è chiara: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Privacy policy siti web: struttura e contenuti minimi per il marketing
• Come usare i social network per vendere con il tuo e commerce
• Cookie di profilazione e consenso al trattamento dati nel marketing
• Profilazione utente nelle attività di marketing per e-commerce
• Gdpr compliance marketing nell'e-commerce 
  
  

Inizia con il piede giusto e scopri le regole essenziali della compliance al Gdpr per l'operatività della tua impresa.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.