GDPR: tutto quello che devi sapere - Legal For Digital
Blog di Legal For Digital

GDPR: tutto quello che devi sapere

GDPR

Il GDPR è stato emanato dall’UE nell’aprile del 2016 ed è diventato efficace negli Stati membri nel maggio del 2018. Perciò è una normativa che oggi è a pieno regime. 

Il regolamento sulla privacy ha come oggetto il trattamento e la libera circolazione dei dati delle persone fisiche e nasce dall’esigenza di adeguare la normativa sulla privacy all’innovazione tecnologica. Ma risponde anche all’esigenza di agevolare la circolazione dei dati all’interno dell’Unione Europea attraverso una normativa uniforme. 

Per l’Italia bisogna prendere in considerazione anche il D.Lgs. 10 agosto 2018 n. 101 che ha modificato il Codice privacy del 2003 per adeguare la normativa nazionale a quella europea. 

Il d.lgsl. 196/2003 rimane un punto di riferimento laddove la normativa europea lascia spazio all’autonomia decisionale nazionale. Ad esempio per quanto riguarda la determinazione dell’età in cui il minore può dare il consenso al trattamento dei dati personali. Oppure l’estensione delle violazioni del regolamento e delle relative sanzioni.

La ratio del regolamento per la privacy è dare ai cittadini gli strumenti che permettano di avere un maggior controllo dei loro dati. La legislazione si concentra sul disciplinare le modalità con cui i dati vengono raccolti, condivisi e utilizzati.

Regolamento generale sul trattamento dei dati (GDPR): cos’è?

A due anni dalla sua entrata in vigore, il regolamento europeo può essere considerato il punto di riferimento per tutte le legislazioni elaborate successivamente a livello mondiale. 

Il GDPR è il frutto di 4 anni di trattative fra gli Stati membri che trovano sbocco nel regolamento privacy e nella direttiva del 2016. Le novità rispetto alla legislazione precedente sono fondamentalmente due:

  • le persone vengono rese consapevoli dei propri diritti rispetto al trattamento dei dati, e diventano parti attive nel consentire o meno al loro trattamento;
  • il sistema di adeguamento da parte delle imprese è incentrato sul sistema di sicurezza, considerato che la maggior parte dei dati viaggia on-line, ma anche sulla forte responsabilizzazione del titolare del trattamento.

Chi deve adeguarsi al regolamento generale sulla protezione dei dati?

Il GDPR stabilisce obblighi a carico di

  • tutte le imprese che hanno sede all’interno dell’Unione Europea, a prescindere dal luogo in cui i dati verranno trattati.
  • tutte le aziende che non hanno sede in Europa, ma che trattano i dati di cittadini dell’Unione Europea. 

In base alla definizione del regolamento, si intende per impresa una qualsiasi persona fisica o giuridica che esercita un’attività economica.

Tipologie di aziende che devono agire in conformità del GDPR

Tutte le imprese che trattano dati devono adeguarsi al regolamento europeo. Non ci sono differenziazioni fra liberi professionisti, piccole-medie imprese e grandi imprese; né ci sono differenze fra pubblica amministrazione e imprese private. Infatti la distinzioni che fa il GDPR non è relativa a chi tratta i dati, ma alla tipologia di dati trattati. 

Tutte le persone fisiche godono della tutela dei dati, a prescindere dal rapporto che hanno con l’impresa. Quindi che siano dipendenti, collaboratori, clienti o prospect, il diritto alla protezione dei dati vale per tutti. Ne deriva che non c’è impresa che non ha l’obbligo di adeguamento. 

La PA e le imprese private 

Come già detto il GDPR non distingue imprese pubbliche dalle imprese private per quanto riguarda gli adempimenti. Tuttavia, l’interesse pubblico è uno dei parametri con cui si stabilisce la liceità del trattamento. Da questo derivano obblighi diversi delle PA e rispetto alle imprese private: il GDPR consente il trattamento di alcuni dati, in particolare quelli sensibili, quando è necessario per motivi di interesse pubblico o per eseguire un compito connesso all’esercizio dei poteri pubblici. Per quanto riguarda la diffusione dei dati, cioè la loro pubblicazione on-line, è possibile solo nei casi previsti dalla legge. 

I soggetti del GDPR

Il regolamento per la privacy distingue più soggetti in funzione del ruolo che svolgono nel trattamento dei dati:

Titolare del trattamento

Il GDPR definisce il titolare del trattamento dei dati come la persona fisica o giuridica che decide finalità e mezzi del trattamento. Se ci sono più titolari, si parla di contitolarità. In questo caso deve essere redatto un regolamento interno per suddividere le responsabilità fra contitolari, in particolare rispetto al trattamento dei dati degli interessati. Gli interessati possono comunque rivolgersi indifferentemente all’uno o all’altro. Con riferimento al titolare del trattamento, assume particolare rilevanza il principio di accountability stabilito dal regolamento europeo. Con questo principio si stabilisce la piena responsabilità del titolare nell’organizzazione del proprio sistema di gestione della privacy.

Responsabile del trattamento

Il responsabile è la persona fisica o giuridica che tratta i dati per conto del titolare. La nomina a responsabile deve essere fatta tramite contratto o altro atto giuridico, che definisce quali dati vengono trattati, per quanto tempo e con quale finalità. Attraverso l’atto sorgono gli obblighi in capo al responsabile del trattamento sia per quanto riguarda i dati dell’interessato, sia rispetto al titolare dei dati, nei cui confronti il responsabile ha un obbligo di assistenza. Il fatto che la nomina venga fatta tramite un atto, non significa che se un professionista tratta i dati degli interessati, non abbia responsabilità. È la realtà dei fatti che determina la responsabilità. Ad esempio un freelance che si occupa di marketing digitale e invia le newsletter per conto del suo cliente che ha un e-commerce, è responsabile del trattamento. La responsabilità nasce dal tipo di relazione che intercorre fra professionista e azienda cliente. 

Autorizzato al trattamento

L’autorizzato al trattamento è colui che ha accesso ai dati e può trattarli solo se ha ricevuto specifiche istruzioni da parte del titolare o del responsabile del trattamento. La sua figura può essere assimilata a quella dell’incaricato che era esplicitamente prevista nella legislazione precedente. 

Responsabile della protezione dati

Il DPO è una persona altamente qualificata in ambito giuridico e con conoscenza specialistica della materia GDPR. I suoi compiti sono di assistenza e supporto alle attività del titolare e del responsabile del trattamento. Affinché la sua figura abbia un ruolo effettivo, il DPO

  • deve essere consultato dal titolare prima di prendere le decisioni relative alla valutazione d’impatto;
  • deve avere un ruolo attivo per quanto riguarda la formazione di tutti coloro che trattano i dati;
  • deve avere gli strumenti per sorvegliare l’osservanza del regolamento. 

Può essere nominato Responsabile del Trattamento un soggetto interno o esterno all’azienda, l’importante è che ne sia garantita l‘indipendenza e l’autonomia di spesa. Il DPO è anche il referente per le autorità di controllo.

Nonostante che il Responsabile della Protezione dati rappresenti una figura essenziale per l’adeguamento delle aziende alla normativa, il regolamento europeo ne obbliga la designazione solo in 3 casi specifici: 

  • quando  il trattamento è effettuato da soggetti pubblici. Ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni;
  • quando vengono trattati dati su “larga scala”. Con questa espressione ci si può riferire all’estensione geografica, oppure alla quantità di dati trattati, oppure alla durata temporale del trattamento; 
  • quando vengono trattati, sempre su “larga scala”, i dati sensibili o i dati giuridici.

Interessato al trattamento

È la persona fisica i cui dati vengono trattati. Il GDPR definisce i suoi diritti:

  1. Essere informato su quali dati vengono trattati dal titolare
  2. Avere l’accesso ai dati, richiesta a cui il titolare o il responsabile del trattamento deve rispondere in maniera celere
  3. Ottenere la rettifica o l’aggiornamento dei dati qualora siano sbagliati
  4. Chiedere e ottenere la cancellazione dei dati in possesso del titolare
  5. Revocare il consenso in qualsiasi momento
  6. Limitare l’elaborazione dei dati trattati 
  7. Il diritto alla portabilità dei dati: l’interessato può richiedere al titolare del trattamento i dati in suo possesso in un formato che consenta il trasferimento ad altro titolare
  8. Diritti relativi al processo decisionale automatizzato e alla profilazione.

Tutti questi diritti si traducono nei rispettivi obblighi a carico del titolare del trattamento che deve rispondere in maniera tempestiva all’interessato e fornire i dati richiesti entro un mese dal ricevimento della richiesta. 

GDPR: quali sono i dati che identificano una persona

I dati che sono oggetto della protezione da parte del GDPR non sono tutti, ma sono solo quelli attraverso i quali una persona fisica può essere identificata. Si parla quindi di dati personali.

All’interno della categoria dei dati personali si può fare un’ulteriore distinzione che determina una diversa disciplina di tutela da parte del regolamento : 

Dati personali

I dati personali sono quelli che consentono l’identificazione di una persona. Si intende quindi:

  • Nome associato al cognome
  • Indirizzo
  • Targa della macchina o di altro autoveicolo
  • E-mail identificativa
  • Numero di telefono
  • Foto
  • Indirizzo IP
  • Cookie

Dati particolari

I dati particolari corrispondono ai dati sensibili e godono di una maggior tutela rispetto agli altri. Infatti il GDPR stabilisce il divieto generale di trattare i dati particolari:  

  • Convinzioni politiche
  • Credenze religiose 
  • Origine etnica
  • Dati biometrici
  • Dati sanitari

Il regolamento europeo prevede casi eccezionali in cui questi dati possono essere trattati. Si fa riferimento all’interesse pubblico degli stati membri; a situazioni specifiche come il trattamento necessario per finalità di medicina preventiva e di medicina del lavoro. C’è poi lo specifico interesse pubblico relativo ai  motivi di sanità pubblica. In questi casi le ragioni di sicurezza prevalgono sul diritto alla privacy. 

In ogni caso, in ogni circostanza, devono essere trattati i dati minimi indispensabili e per il tempo strettamente necessario al raggiungimento delle finalità.

Dati giudiziari

Sono tutti quei dati che rivelano l’esistenza di provvedimenti soggetti ad iscrizione nel casellario giudiziale:

  • Condanne penali definitive
  • Misure alternative alla detenzione

Questi dati rientrano nel novero dei dati sensibili, a cui però il GDPR dedica una disciplina a parte: questi dati possono essere trattati solo sotto controllo dell’autorità pubblica. Quindi rispetto a tutti gli altri dati  ricevono una tutela maggiore. 

Modalità di trattamento dei dati personali

Alla base del GDPR ci sono i principi chiave che stabiliscono le modalità con cui possono essere trattati i dati personali: 

Liceità  e correttezza 

Il GDPR elenca le basi giuridiche che determinano la liceità del trattamento. Possono suddividersi in 3 categorie: 

  1. Consenso dell’interessato che deve essere esplicito, informato e specifico per le finalità del trattamento. 
  2. I casi di necessità espressamente previsti dal regolamento europeo.
  3. Interesse legittimo del titolare del trattamento. Contrariamente a quello che si potrebbe pensare, questa categoria non rappresenta l’escamotage per trattare tutti i dati. L’interesse va valutato caso per caso e il titolare deve essere in grado di dimostrare che l’interesse è prevalente rispetto ai diritti dell’interessato e lo deve fare documentando il processo decisionale che lo ha portato a questa decisione.  

Trasparenza

Oltre ad essere un diritto dell’interessato, determina anche la modalità con cui i dati possono essere trattati: devono essere trasparenti le finalità del trattamento, accessibili i dati del titolare e tutte le informazioni relative al trattamento stesso. 

Limitazione dello scopo

i dati devono essere trattati solo per lo scopo legittimo per cui sono stati raccolti. Per questa ragione devono essere rese note in maniera puntuale le finalità della raccolta dei dati. 

Minimizzazione dei dati

Il principio di minimizzazione dei dati non è nuovo, ma continua ad essere importante in un’epoca in cui stiamo creando più informazioni che mai. Le organizzazioni non dovrebbero raccogliere più informazioni personali di quelle di cui hanno bisogno. Il principio è progettato per garantire che le organizzazioni non chiedano più dati di quelli di cui hanno bisogno. Ad esempio, quando si fa una promozione per chiedere alle persone di iscriversi alla newsletter, non posso chiedere attraverso il form anche il numero di telefono. 

Esattezza

Devono essere trattati solo i dati esatti e aggiornati. Eventuali inesattezze devono essere corrette tempestivamente o cancellate. 

Limitazione della conservazione

I dati possono essere conservati solo per il tempo utile all’adempimento delle finalità per cui sono stati raccolti, dopo di che devono essere cancellati.

Integrità e riservatezza

il titolare deve utilizzare tecnologie in grado di garantire la protezione dei dati contro l’uso non autorizzato o illecito. Il principio di sicurezza dei dati era già stabilito nella legislazione precedente. Il GDPR non fa che mettere per scritto le migliori pratiche che si sono attuate per proteggere i dati nel ventennio precedente.

I dati personali devono essere protetti da “trattamenti non autorizzati o illeciti”, nonché da perdita, distruzione o danno accidentali. In parole povere ciò significa che devono essere messe in atto adeguate protezioni per la sicurezza delle informazioni per assicurarsi che le informazioni non siano accessibili agli hacker o che trapelino accidentalmente.

Il GDPR non impone l’adozione di specifiche misure di sicurezza, perché saranno diverse in funzione del tipo di organizzazione. Ad esempio una banca dovrà proteggere le informazioni in maniera più accurata di quanto dovrà fare il negozio di ferramenta che abbiamo sotto casa. Tuttavia, in generale, dovrebbero essere messi in atto adeguati controlli di accesso alle informazioni, i siti Web dovrebbero essere crittografati e la pseudonimizzazione dovrebbe essere incoraggiata. 

Eccezioni

Il diritto degli interessati al controllo e alla gestione dei propri dati soccombe di fronte agli obiettivi di interesse pubblico generale dell’UE o degli Stati membri. Si fa riferimento a ragioni di sicurezza nazionale, difesa, prevenzione o perseguimento di reati. Ma anche interessi economici e finanziari rilevanti.

Quali sono gli obblighi previsti dal GDPR

Gli obblighi imposti dal regolamento europeo hanno come obiettivo centrale la sicurezza dei dati trattati. Infatti si è consapevoli del rischio fisiologico di violazione a cui i dati sono esposti.

A differenza della precedente legislazione, il GDPR utilizza come parametri di adeguamento i costi e le misure adottate, che devono essere proporzionati alla quantità e alle tipologie dei dati trattati. Gli adempimenti sono quindi gli stessi per le PMI come per le grandi imprese, ma non si può applicare il GDPR in maniera standardizzata, perché ogni trattamento dei dati richiede un’analisi specifica e la predisposizione di misure personalizzate.

Per agevolare le aziende nell’adempimento degli obblighi che spesso sono troppo generici, il Garante della Privacy ha emesso delle linee guida di supporto. 

Valutazione del rischio

Per garantire un livello di sicurezza adeguato, l’impresa deve fare inizialmente, e poi periodicamente, un’analisi del rischio in relazione alla natura, all’oggetto, al contesto e alla finalità del trattamento. Quest’obbligo è strettamente legato al principio di accountability a carico del titolare: la valutazione del rischio è il presupposto necessario per l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati, in relazione al rischio  a cui sono esposti i dati durante il trattamento. 

In casi specifici è obbligatorio utilizzare il Data Protection Impact Assessment (DPIA). Con l’acronimo DPIA ci si riferisce alla valutazione d’impatto. Questo strumento è obbligatorio quando il trattamento dei dati presenta un rischio elevato per i diritti e le libertà delle persone. La valutazione d’impatto serve a calcolare i danni potenziali alla privacy che si avrebbero se i dati fossero trattati con un determinato software, processo o qualsiasi altro strumento per il trattamento dei dati. Quindi il DPIA deve essere utilizzato in fase di progettazione del trattamento e la sua adozione permette di essere adempienti per quanto riguarda il rispetto dei principi di privacy by design e privacy by default. I requisiti minimi del DPIA sono elencati nel GDPR. Sicuramente l’adozione di questo strumento da parte del titolare anche nei casi in cui non è obbligatorio, permette di dimostrare facilmente di aver agito in conformità al GDPR. 

Redazione di un registro dei trattamenti

Il registro è un documento interno dove vanno inseriti i dati trattati specificando finalità del trattamento e durata. Il GDPR elenca i contenuti minimi che devono essere previsti. Inoltre prevede che anche il responsabile del trattamento debba avere un registro separato da quello del titolare. L’obbligatorietà della tenuta di questo documento è strettamente legata al fatto che è il titolare che deve sempre essere in grado di dimostrare la legittimità della raccolta dei dati.

Le imprese molto piccole possono beneficiare di alcune misure di semplificazione nella redazione del documento. Il registro deve essere costantemente aggiornato e può essere sia cartaceo che elettronico.  

Informativa privacy

L’informativa è un documento che deve essere fornito all’utente ancor prima che diventi interessato. È il mezzo attraverso cui il titolare adempie agli obblighi di trasparenza e correttezza. Se la base giuridica del trattamento è il consenso, l’informativa è anche una condizione di legittimità del consenso. L’informativa è dovuta ogni volta che c’è un trattamento dei dati. Il GDPR stabilisce il contenuto minimo del documento: quali dati saranno trattati e con quali finalità. Per quanto tempo i dati saranno conservati. Deve essere esplicitata la base giuridica che legittima il trattamento. Se i dati vengono ceduti a terzi deve essere scritto. Se è presente un DPO devono essere forniti generalità e recapiti. Spesso c’è la prassi di terminare l’informativa con la richiesta di accettazione da parte dell’interessato. In realtà non sussiste nessun obbligo di accettazione: l’obbligo del titolare finisce con la messa a disposizione della policy.

Data breach

Il titolare ha sempre l’obbligo di registrare la violazione accidentale dei dati. In caso di grave rischio per la privacy degli interessati, ha l’obbligo anche di notifica al garante e agli interessati stessi. Nella valutazione della gravità del rischio vige il principio di accountability, per cui sarà il titolare del trattamento a decidere se è necessario oppure no notificare al garante e all’interessato. 

Nomina di un Responsabile per la protezione dei dati o Data Protection Officer (DPO)

La nomina del DPO è obbligatoria solo in determinati casi, ma è sempre opportuna, vista la maggior competenza nel settore da parte del responsabile del trattamento. Il GDPR considera questa figura come un punto di riferimento essenziale per garantire il corretto trattamento dei dati.

GDPR e inbound marketing

Oltre agli obblighi appena citati, qualora si eserciti attività di marketing digitale bisogna attenersi a determinate regole:

Form di contatto

Il form di contatto deve elencare tutte le finalità specifiche per cui saranno trattati i dati, in modo chiaro e trasparente. L’interessato dovrà dare esplicito consenso per ognuna delle finalità. Non possono essere richiesti più dati rispetto a quelli necessari per il raggiungimento della finalità. Quindi non posso chiedere il numero di telefono quando è sufficiente l’indirizzo e-mail. Così come non posso chiedere l’indirizzo e-mail se il form serve per aderire ad un gruppo Facebook. Il form deve poi contenere il link alla privacy policy.  

Sito web

Gli obblighi del gdpr per i siti web cambiano a seconda se parliamo di e-commerce, blog, o sito vetrina. Così come cambiano in relazione al tipo di profilazione che viene effettuata attraverso il sito. Sicuramente ci sono adempimenti comuni a tutti i siti, che riguardano 

  • Il cookie banner: In base al GDPR i dati acquisiti attraverso i cookie sono dati personali. Al primo accesso al sito internet gli utenti devono visualizzare il banner dei cookie per rilasciare il consenso al trattamento dei dati. Il banner deve rispettare delle caratteristiche specifiche in base alla Cookie Law. In base al GDPR il titolare deve raccogliere il consenso informato dell’utente prima di installare i cookie sul sito. Il consenso deve essere esplicito, libero ed espresso con un’azione positiva. Ciò significa che le caselle non possono essere flaggate di default. Eccezion fatta per i cookie tecnici e statistici per cui non è necessario il consenso preventivo. Il banner deve poi contenere il link di rinvio all’informativa dove ci sarà una sezione dedicata alla cookie policy.
  • Privacy policy: Necessaria solo qualora il sito tratti i dati personali degli utenti. Il sito deve contenere una pagina dedicata all’informativa sulla privacy dove in maniera chiara, completa e trasparente devono essere indicate tutte le finalità per cui vengono trattati i dati. Quali sono i dati che vengono raccolti, per quanto tempo sono conservati e la modalità di conservazione. Deve essere specificato se i dati vengono ceduti a soggetti terzi . Poi, in base al tipo di advertising che viene eventualmente svolto, ci saranno i rinvii alle policy delle relative piattaforme. Da ciò si deduce che la policy è un documento che deve essere personalizzato sulle esigenze del sito specifico. 

E-mail Marketing

Per quanto riguarda le liste di e-mail non è vietata né l’acquisizione attraverso i form di contatto, né è vietato l’acquisto. L’importante è che vengano rispettati alcuni requisiti. Deve essere conservata la copia del form, a cui va assegnato un id univoco e vanno associati l’informativa privacy allo stato attuale e i consensi acquisiti e la prova del consenso. 

In quanto interessato al trattamento, l’utente deve sempre poter accedere ai dati, visionarli, modificarli. L’utente deve poi sempre avere la possibilità di revocare il consenso in maniera agevole. Quindi le mail devono sempre contenere un link per la disiscrizione. 

Quali sono le sanzioni per chi non si adegua al AL GDPR

L’impianto sanzionatorio è uno dei capisaldi del regolamento europeo. Si può essere sanzionati 

  •  per il mancato adeguamento al regolamento anche se i dati non sono stati violati
  •  per la mancata nomina del DPO
  • per violazione della sicurezza

Tuttavia la normativa europea è anche di difficile interpretazione, tant’è vero che per avere un quadro della disciplina esaustivo bisogna prendere in considerazione anche il d.lgs. 101/2018, e il regolamento privacy del 2003 nelle parti in cui non è stato abrogato. 

Sanzioni amministrative e sanzioni penali

Il GDPR prevede sanzioni amministrative per le imprese che non si adeguano al regolamento. Il regolamento suddivide le sanzioni in due gruppi in base alla gravità dell’inadempimento. Per le sanzioni meno gravi l’importo della sanzione può arrivare a 10 milioni di Euro o fino al 2% del fatturato con riferimento all’anno precedente. Per le inadempienze più gravi si arriva fino a 20 milioni di Euro o 4% del fatturato, considerato sempre sull’anno precedente. Se oggetto della sanzione è una multinazionale si fa riferimento al fatturato de gruppo. 

Niente viene detto sull’importo minimo delle sanzioni né sono stabiliti criteri di calcolo. Quindi ci affidiamo totalmente alla giurisprudenza.

Oltre alla disciplina uniforme europea, il regolamento dà la facoltà agli Stati membri di prevedere ulteriori sanzioni. Per quanto riguarda l’Italia il codice Privacy ha ampliato le ipotesi di illeciti amministrativi, estendendoli notevolmente.

Il regolamento sulla privacy non prevede direttamente le sanzioni penali ma lascia liberi gli Stati membri di stabilire sanzioni penali per violazione del GDPR. Il decreto 101 del 2018, ha ampliato le fattispecie già previste nel 2003. 

L’autorità di controllo

Il Garante della Privacy è l’autorità  preposta all’erogazione delle sanzioni per violazione del GDPR. La figura del Garante è stata disciplinata dalla Legge sulla Privacy del 1996, e successivamente dal d. lg. 196 del 2003. Fra le sue funzioni ci sono quelle di esame dei reclami e  di irrogazione delle sanzioni disciplinari. Il Garante ha inoltre il potere di sospendere, limitare e vietare il trattamento dei dati effettuato in violazione delle norme 

Con il GDPR la sua funzione di controllo si svolge soprattutto ex post, visto che le valutazioni preliminari di conformità alla normativa europea vengono fatte direttamente dal titolare in virtù del principio di  accountability. 

Responsabili della violazione

Per quanto riguarda la responsabilità, sicuramente risponde il titolare delle violazioni. Tuttavia può essere chiamato in causa anche il responsabile del trattamento qualora sia legato al titolare da un rapporto contrattuale e qualora l’illecito sia dovuto ad un suo inadempimento grave. 

Per quanto riguarda il DPO invece, non ha responsabilità in merito agli illeciti amministrativi o penali, perché i suoi obblighi sono limitati alle responsabilità contrattuali con il titolare dei dati. Il DPO non ha invece nessun obbligo nei confronti dell’interessato del trattamento. 

La responsabilità quindi rimane in capo al titolare e in virtù del principio di accountability non è delegabile.

Conclusione

Il GDPR è una normativa molto complessa ed oscura in certi punti. Sicuramente costituisce un punto di riferimento di cui l’Europa può andare fiera, in virtù dei principi che stabilisce. Sono sicuramente da apprezzare le indicazioni tecniche con cui il regolamento europeo suggerisce di dare attuazione alla normativa. Tuttavia l’attuazione del regolamento europeo richiede sforzi enormi soprattutto da parte delle PMI. Nonostante che per alcune imprese l’adeguamento risulti un investimento economico importante, oggi è impensabile poter trattare i dati senza tener conto a priori della tutela della privacy. Bisogna entrare nell’ottica di concepire il GDPR on-line e off-line come parte integrante dell’impresa. Non è un optional. L’intervento normativo a livello europeo è volto a prevenire il più possibile le violazioni dei dati, quindi l’adeguamento tecnologico va fatto prima di raccogliere i dati stessi. 

Sicuramente si stanno ottenendo buoni risultati per quanto riguarda la presa di coscienza da parte degli utenti dei loro diritti sul trattamento dei dati. I numerosi sondaggi che sono stati lanciati in questo ultimo periodo dimostrano ad esempio il maggior engagement su consumatori nuovi, da parte di e-commerce che si sono adeguati alla normativa sulla privacy. Questa è la ragione per cui va concepito l’adeguamento alla normativa sulla privacy come una vera e propria strategia di marketing che porterà ad incrementare il fatturato.

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO