3. RELATORE E PARTECIPANTI
Fabiana Lo Sicco https://www.linkedin.com/in/fabianalosicco/
Abilitata all'esercizio della professione forense, Consulente della Privacy e
Consulente strategico in ambito Digital con un master in Marketing
Management.
Specializzata in consulenza legale-digitale, prova a far dialogare due
mondi distanti tra loro, per dimostrare che gli opposti si attraggono
sempre.
Partecipanti al webinar
● Digital Strategist
● Marketing Manager
● Componenti Uffici Legali di Aziende e Avvocati
● Titolari di Azienda e Titolari di Agenzia Web
4. Le nuove tecnologie stanno cambiando il mondo
Il DIGITAL non è un settore, un business, una funzione
È un ELEMENTO, come l’energia elettrica, la carta, la ruota
Un elemento che tocca tutte le Nostre attività, abilita nuovi processi, nuovi modelli di business, genera
innovazione
L'obiettivo del progetto Digital Building Blocks è di dare ai top manager e imprenditori di oggi (e di
domani) un modello operativo per sfruttare le leve digitali e disegnare una roadmap di rapida adozione.
DIGITAL BUILDING BLOCKS
Perchè?
Visita il sito per saperne di più sulla metodologia Digital Building Blocks:
http://www.digitalbuildingblocks.it/
5. ALCUNE PRECISAZIONI OPERATIVE
● Domande: spazio dedicato negli ultimi 10 minuti del webinar.
Scrivere “Domanda”, per consentire di distinguerla facilmente da
eventuali altri interventi in chat
● Problemi di collegamento (audio/video): rivolgersi in chat
chiedendo l’aiuto di Andrea
● Post webinar, riceverete, all’indirizzo email con il quale vi siete
registrati:
1. slide del webinar
2. pre-assessment di adempimenti per capire qual è la
situazione della vostra azienda a proposito del GDPR
6. CONTENTS
subtitle if you need
LA PRIVACY: ADEMPIMENTO E OPPORTUNITÀ
I PROTAGONISTI DEL REGOLAMENTO
IL TRATTAMENTO E I DATI
SETTORI SPECIALI
TO DO LIST
Q&A E NEXT STEP
8. IL REGOLAMENTO N. 679/2016
Il Regolamento n. 679 è stato approvato dal Parlamento UE nel 2016 e
sarà direttamente applicabile in tutti gli Stati Membri dal
25 maggio 2018
L’obiettivo del Regolamento è: “assicurare un livello coerente di
protezione delle persone fisiche in tutta l’Unione e prevenire disparità…”.
La Privacy diventa materia trasversale a tutti i processi aziendali, ma
anche occasione di business e strategica.
Lascia alle spalle il Codice della Privacy (basato su una direttiva di oltre 20
anni fa), che potrà però continuare a dettare regole integrative.
10. L’INTERESSATO
È la persona fisica ai quali i dati si riferiscono.
Il Regolamento gli riconosce altri diritti:
● Il termine per la risposta all’interessato è 1 mese
● ha il diritto di conoscere il periodo di conservazione previsto
● ha il diritto di ottenere la restituzione dei propri dati personali o
di chiedere la trasmissione da un titolare all’altro, se tecnicamente
possibile (portabilità)
● ha il diritto a non subire profilazione e decisioni automatizzate
inconsapevoli, stabilendo il diritto all’intervento umano.
11. IL TITOLARE DEL TRATTAMENTO
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro
organismo che determina le finalità e i mezzi del trattamento di dati
personali.
● É la persona giuridica nel suo complesso
● Deve tenere il Registro dei trattamenti se è un’azienda o
organizzazione con più di 250 dipendenti (e negli altri casi previsti
dal Regolamento)
● Deve effettuare la VIP (Valutazione di Impatto Privacy), al ricorrere
di determinati presupposti
● Deve essere in grado di dimostrare che il trattamento effettuato è
conforme al Regolamento (accountability)
● Deve comunicare al Garante le violazioni di dati personali entro 72
ore (data breach notification)
13. IL RESPONSABILE DEL TRATTAMENTO
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro
organismo che tratta dati personali per conto del titolare del
trattamento.
In altre parole, l’agenzia web; il call center; il telemarketing.
● Rapporto contrattuale con il titolare (non più un atto di nomina)
● Deve informare immediatamente il titolare qualora vi siano state
violazioni del Regolamento
● Solidarietà passiva e responsabilità pro-quota
● Deve tenere il Registro dei trattamenti se è un’azienda o
organizzazione con più di 250 dipendenti (e negli altri casi previsti
dal Regolamento)
14. L’ADDETTO AUTORIZZATO AL TRATTAMENTO
Si tratta delle persone autorizzate a compiere operazioni di trattamento
dal titolare o dal responsabile.
Es. i digital strategist sia interni che esterni all’azienda che lavorano sui
CRM aziendali; il singolo operatore del call center.
● Si tratta, necessariamente, di una persona fisica
● Agisce sotto l’autorità del titolare o del responsabile
● Deve essere istruito e nominato tale
15. L'AUTORITÀ’ DI CONTROLLO
Ogni Stato dell’Unione deve avere una o più Autorità di controllo, autonoma e
indipendente.
I poteri dell’Autorità di controllo:
● Sorveglianza e promozione della consapevolezza
● Gestione dei reclami da parte degli interessati
● Indagini con finalità preventiva
● Imposizione di sanzioni MAX 20MLN € o
4%fatturato globale annuo
Lgs. nazionale
Sanzioni amm. pecuniarie
Sanzioni penali
Sanzioni prescrittive in luogo di quelle pecuniarie
16. IL DATA PROTECTION OFFICER (DPO)
É il Responsabile della protezione dei dati.
Ha una conoscenza specialistica della normativa e delle pratiche in
materia di protezione dei dati. Caratteristiche da evidenziare:
● tra i suoi compiti rientra "la sensibilizzazione e la formazione del
personale"
● indipendenza, autorevolezza e competenze manageriali
● figura obbligatoria nel settore pubblico e nel settore privato
(quando le attività principali consistono in trattamenti che
richiedono monitoraggio regolare e sistematico degli interessati su
larga scala; quando effettua trattamenti su larga scala di categorie
particolari di dati personali)
18. COSA SI INTENDE PER “TRATTAMENTO”?
“Trattamento” = qualsiasi operazione riguardante i dati personali
1) raccolta e registrazione: lead generation
2) elaborazione, selezione, estrazione, raffronto: es. Inbound
Marketing
3) circolazione: es. invio al servizio di telemarketing o al call-center
esterno
4) conservazione, distruzione, cancellazione: stop invio email
promozionali agli utenti che non reagiscono
19. COSA SI INTENDE PER “DATO”?
“Dato” = informazione alfanumerica, immagine, suono
Qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»).
Non tutti i dati sono da proteggere in quanto tali: spesso la loro
protezione deriva dalla capacità di interpretazione dei dati di cui sono
capaci le aziende è la loro interpretazione.
20. I PRINCIPI DEL TRATTAMENTO IN GENERALE
Liceità e correttezza: è lecito e corretto il trattamento che non viola le
norme previste dall’ordinamento, le norme etiche e deontologiche
Trasparenza: tracciabilità del dato a favore dell’interessato (portabilità)
Limitazione della finalità: gli scopi del trattamento devono essere
determinati, espliciti, legittimi e chiari fin dall’inizio
Minimizzazione: i dati devono essere adeguati, pertinenti e limitati
Esattezza: i dati devono essere esatti e, se necessario, aggiornati.
Limitazione della conservazione: conservazione per un arco di tempo
non superiore al conseguimento delle finalità per le quali sono stati
trattati.
21. I TEMPI DI CONSERVAZIONE - CASE STUDY
Il tempo di conservazione dei dati presenti nel CRM prospettato da Tod's è di dieci anni: beni di
lusso, la cui frequenza media di acquisto da parte di un cliente è pari a 2 all'anno (anche sulla
base di uno studio di settore).
Il Garante ha ritenuto molto rischiosa la circostanza che ciascun addetto alla vendita, in qualunque
negozio di Tod's nel mondo, potesse accedere al CRM, anche in considerazione del fatto che la
tipologia di dati conservati riguarda una particolare tipologia di clientela.
Ha quindi ritenuto che i tempi di conservazione stabiliti da Tod’s non erano congrui e proporzionati
alle finalità perseguite, e ha ridefinito il tempo di conservazione in 7 anni.
Ha altresì precisato che, alla scadenza del periodo, Tod’s avrebbe dovuto provvedere alla
cancellazione automatica dei dati personali o, in alternativa, alla loro anonimizzazione in modo
permanente e non reversibile.
22. QUANDO IL TRATTAMENTO È LECITO?
Il Regolamento conferma che ogni trattamento deve trovare fondamento
in un’idonea base giuridica:
● consenso
● adempimento obblighi contrattuali
● interessi vitali della persona interessata o di terzi
● obblighi di legge cui è soggetto il titolare
● interesse pubblico o esercizio di pubblici poteri
● interesse legittimo prevalente del titolare (o di terzi cui i dati
vengono comunicati)
23. IL CONSENSO
● Libero, specifico, informato e inequivocabile (non è ammesso il
consenso tacito o presunto, quindi NO a caselle pre-spuntate su
un modulo)
● Esplicito, se è un consenso a decisioni basate su trattamenti
automatizzati (compresa la profilazione) e se si tratta di dati
sensibili
● Il titolare deve essere in grado di dimostrare che l’interessato ha
prestato il consenso a uno specifico trattamento (non è necessario
che sia raccolto per iscritto)
● è fornito da utente > 16 anni (prima occorre raccogliere il
consenso dei genitori o di chi ne fa le veci)
24. L’INFORMATIVA: COSA NON CAMBIA
● L’informativa deve essere fornita all’interessato prima di
effettuare la raccolta dei dati
● Il titolare deve specificare la propria identità, le finalità del
trattamento, i diritti degli interessati, se esiste un responsabile
del trattamento e la sua identità, e quali sono i destinatari dei dati.
UGUALE A IERI
25. L’INFORMATIVA: COSA CAMBIA
● L’informativa deve avere forma concisa, trasparente,
intelligibile per l’interessato e facilmente accessibile
● È ammesso l’utilizzo di icone
Il titolare deve sempre specificare:
● I dati di contatto del DPO
● La base giuridica del trattamento
● Il periodo di conservazione dei dati e i criteri seguiti
● Se il trattamento comporta profilazione e le conseguenze previste
per l’interessato
CONTENUTI
E MODI
26. COSA FARE DEI DATABASE CREATI PRIMA DEL 25
MAGGIO? DB PRIMA AL 25 MAGGIO 2018
Il consenso raccolto precedentemente al 25 maggio 2018 ha tutte le
caratteristiche individuate dal nuovo Regolamento? → Resta valido
DB DOPO AL 25 MAGGIO 2018
Il consenso raccolto precedentemente al 25 maggio 2018 non ha tutte le
caratteristiche individuate dal nuovo Regolamento? È opportuno adoperarsi
per raccogliere nuovamente il consenso
La richiesta di un “nuovo” consenso deve essere chiaramente distinguibile da altre richieste o
dichiarazioni rivolte all’interessato.
È opportuno che si organizzi, in ogni Azienda, un tavolo di lavoro al quale è seduta sia la funzione
Marketing che gli Uffici Legali.
27. UNA NUOVA BASE GIURIDICA: IL LEGITTIMO INTERESSE
Il legittimo interesse rende lecito il trattamento dei dati senza consenso,
ma costringe ad inserire una specifica declaratoria nell’informativa.
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e
libertà dell’interessato è compito del Titolare del trattamento.
Non si può applicare l’interesse legittimo alla profilazione
automatizzata.
Es. di contesti: prevenzione delle frodi e antiriciclaggio, marketing
diretto, trasferimento di dati tra parti diverse della stessa azienda...
28. Quello dell’Istituto di credito.
Tra l’interesse del signor Rossi di non pagare le rate del mutuo e
l’interesse dell’Istituto di credito di ottenere i pagamenti, quale può
essere ritenuto legittimo e giustificato?
L’istituto di credito ha il legittimo interesse ad ottenere il nuovo indirizzo
del cliente anche in assenza di consenso specifico?
COME SI EFFETTUA IL BILANCIAMENTO? ESEMPIO n. 1
Un istituto di credito concede al signor Rossi un mutuo per l’acquisto di una casa. Il signor
Rossi si rivela un pessimo pagatore e non è più rintracciabile presso l’indirizzo che aveva
originariamente indicato. L’Istituto di credito vorrebbe utilizzare il nuovo indirizzo, di cui è
venuto a conoscenza, per rintracciarlo.
SI
29. COME SI EFFETTUA IL BILANCIAMENTO? ESEMPIO n. 2
Il signor Rossi acquista sul nostro e-commerce il bene X. Potremo utilizzare in futuro il suo
indirizzo email per entrare nuovamente in contatto con lui, sulla base del legittimo interesse?
per fini contrattuali → sì, anche senza consenso
per il legittimo interesse di compiere attività di marketing diretto → sì,
anche senza consenso,se l’interessato può ragionevolmente
attendersi che avverrà un trattamento a tal fine
per inviare comunicazioni commerciali non attinenti la relazione
instaurata o per profilarlo ed inviargli comunicazioni commerciali
ulteriori, diverse o “su misura” → no
30. LA PROFILAZIONE
Profilazione = trattamento + elaborazione
La profilazione produce dati inferenziali, derivati, predittivi e
valutativi, generati comunque dal titolare del trattamento.
Il consenso alla profilazione deve essere esplicito. La profilazione non
può essere giustificata dall’esistenza di un ’interesse legittimo.
L’interessato ha il diritto di non essere sottoposto ad una decisione
basata sul trattamento automatizzato che produca effetti giuridici che lo
riguardano.
Il Regolamento non vieta la profilazione: vieta le decisioni
automatizzate a determinate condizioni.
31. PROFILAZIONE: SI PUÒ FARE? ESEMPIO n. 1
Il trattamento incide significativamente sull’interessato → sì
L’istituto di credito non può invocare il legittimo interesse alla
profilazione e deve aver specificato nella sua informativa che intendeva
trattare i dati con finalità di profilazione.
L’interessato ha diritto all’intervento umano, di esprimere la propria
opinione e di contestare la decisione.
Un istituto di credito decide di non concedere al signor Rossi un mutuo per l’acquisto di una
casa perché, sulla base di uno score attribuito all’utente dal sistema informatico aziendale,
non risultano raggiunti i criteri minimi richiesti dalla policy aziendale.
32. PROFILAZIONE: SI PUÒ FARE? ESEMPIO n. 2
Il trattamento incide significativamente sull’interessato → sì
L’azienda produttrice di cibi surgelati non può invocare il legittimo
interesse alla profilazione e deve aver specificato nella sua informativa
che intendeva trattare i dati con finalità di profilazione.
L’interessato ha diritto all’intervento umano, di esprimere la propria
opinione e di contestare la decisione.
Un’azienda produttrice di cibi surgelati decide di inviare ad un gruppo ristretto del proprio
database, che ha espresso in passato la propria preferenza per cibi non contenenti carboidrati,
il catalogo di una nuova linea di prodotti senza glutine.
33. PROFILAZIONE: SI PUÒ FARE? ESEMPIO n. 3
Il trattamento incide significativamente sull’interessato → no
L’azienda produttrice di abbigliamento non può invocare il legittimo
interesse alla profilazione e deve aver specificato nella sua informativa
che intendeva trattare i dati con finalità di profilazione.
L’interessato ha diritto all’intervento umano, di esprimere la propria
opinione e di contestare la decisione.
Un’azienda produttrice di abbigliamento, dopo le feste natalizie, decide di inviare ad un gruppo
ristretto del proprio database, che ha espresso nel periodo di dicembre la propria preferenza
per outfit eleganti, l’invito a dare un’occhiata alle nuove proposte eleganti per la stagione
primavera-estate.
35. BIG DATA
Big Data = attività che si possono compiere solo su larga scala per estrapolare
nuove indicazioni o creare nuove forme di valore, in grado di modificare i
mercati, le organizzazioni, le relazioni tra cittadini e governi.
Sono il frutto del progresso scientifico e tecnologico che ha saputo
coniugare le potenti capacità di elaborazione dei nuovi data center con la
velocità delle attuali connessioni internet (es. Google Flu Trends).
I Garanti e in generale le Autorità di controllo si interrogano da molti anni
ormai sullo sviluppo di linee guida.
Quali limiti nell'utilizzo dei Big Data per la profilazione del cliente? Potrò arrivare
all'identificazione del singolo?
36. SOCIAL NETWORK
I social network raccolgono e trattano una gran mole di dati e forniscono
informative privacy dettagliate e complesse (anche se nessuno di noi le ha
davvero lette iscrivendosi).
Se l’azienda li usa semplicemente per pubblicare post, l’informativa privacy
data dai social può considerarsi esaustiva e completa.
Se l’azienda li usa per pubblicare contenuti pubblicati altrove (es. sul suo sito
o sul suo blog), l’informativa privacy data dai social network dovrà essere
integrata.
37. EMAIL MARKETING
Occorre fornire l’informativa ai destinatari delle email:
● sul sito;
● o al piede dell’email;
● o al piede della newsletter.
Piattaforme che monitorano il comportamento dell’utente: l’informativa
dovrà contenere anche questi trattamenti (es. HubSpot, MailUp, Hotjar,
Mailchimp, …).
39. TO DO:
1. Non entrare nel panico!
2. Verifica le informative rilasciate
3. Pensa alla formazione dei tuoi collaboratori
4. Chiediti se tutti i dati che stai raccogliendo sono davvero necessari!
5. Non aspettare il 25 maggio!
40. 07
Q&A E NEXT STEPS
DOMANDE GIÀ POSTE, NUOVE DOMANDE
41. NEXT STEPS
Iscriviti alla newsletter Web Regula del Blog Digital Building Blocks: cerca
“Iscrizione newsletter web regula” su Google:
● Rimarrai aggiornato sui temi Digital&Legal del Marketing online e
offline.
● Ti informeremo sugli incontri di formazione verticale che Digital
Building Blocks organizzerà a dicembre
● Registrati su DBB per rimanere aggiornato sugli altri eventi, anche
offline
43. Quest'opera è stata rilasciata
con licenza Creative Commons
Attribuzione - Non commerciale
- Condividi allo stesso modo 2.5
Italia.
Per leggere una copia della
licenza visita il sito web
http://creativecommons.org/lic
enses/by-nc-sa/2.5/it/