Prova ora Login

Intervista all’Avv. Vicarelli sul nuovo Regolamento UE sulla privacy

Intervista regolamento UE privacy Vicarelli Newsletter2Go

A partire dal 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo sulla privacy. Che cosa significa per consumatori e aziende? L’Avv. Cristina Vicarelli, specialista nel campo della privacy e della protezione dei dati personali, ce lo spiega in questa intervista.

Gentile Avv. Vicarelli, lo scopo del nuovo Regolamento europeo sulla privacy (GDPR) è quello di uniformare la normativa sulla protezione dei dati a livello europeo. Cosa comporta questo cambiamento per i singoli e le imprese?

Il Regolamento generale sulla protezione dei dati, si prefigge, è vero, di uniformare la normativa sulla protezione dei dati nei Paesi in cui troverà applicazione, ma non solo: l’ambito di applicazione ha una vocazione globale, che travalica i confini dell’Europa. L’articolo 3 del Regolamento infatti prevede che esso trovi applicazione anche al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardino:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

L’effetto che si propone è quindi quello di consentire (nei casi sopra indicati) a interessati “che si trovano” in UE di avere sempre identiche garanzie, indipendentemente da dove si trovi l’impresa o altro ente che effettua il trattamento.
Per contro nei confronti di imprese (o altri titolari o responsabili) stabiliti in UE, il Regolamento trova applicazione anche se il trattamento non avviene nell’Unione.

Possiamo parlare di una vocazione globale del Regolamento UE?

Una vocazione globale, a cui però non corrisponde un’uniformità assoluta: il Regolamento contiene molte disposizioni derogabili dalla normativa nazionale degli Stati membri, e non intacca alcune aree che sono tradizionalmente devolute alla normativa nazionale, ad esempio in ordine al bilanciamento tra privacy e libertà di espressione.
Anche calare queste novità nella sola prospettiva consumeristica potrebbe essere fuorviante: il Regolamento mira a proteggere i dati personali, ossia le informazioni che rendono una persona fisica identificata o identificabile: “interessato” e “consumatore” non sono soggetti perfettamente coincidenti.

Quali sono le novità principali introdotte dal Regolamento?

Le maggiori novità riguardano:
a) l’approccio basato sul rischio, che fa in modo che le misure tecniche e organizzative da adottare siano decise dal titolare (o dal responsabile) in rapporto al trattamento concretamente operato e ai rischi individuati, seppure nel rispetto dei parametri individuati dal GDPR;

b) il principio di responsabilizzazione (o accountability) che prevede che il titolare non solo rispetti i principi che presiedono al trattamento dei dati personali, ma anche che sia in grado di comprovare che li ha rispettati: a tal fine il Regolamento prevede già alcuni dei mezzi di cui il titolare potrà avvalersi per documentare la sua compliance, e i parametri che dovranno guidare le valutazioni che, di volta in volta, sarà chiamato a operare (e a documentare). Si sposta quindi l’asse della conformità alla normativa: il timone dell’adempimento è posto nelle mani del titolare del trattamento, che dovrà guidare la propria organizzazione attendendosi alle regole dettate dal legislatore ma non potrà più limitarsi supinamente a “barrare le caselle” degli adempimenti tassativi dettati a monte dalla legge o dall’Autorità; imprese che hanno dimensioni diverse o trattamenti diversi potranno adottare misure tecniche o organizzative diverse, sulla base dei rischi ai quali, concretamente, espongono i trattamenti.

Il Regolamento vuole anche rendere più accessibili i dati personali, elemento che ricopre un ruolo di primissimo rilievo soprattutto in ambito digitale. Cosa comporta questo cambiamento per le aziende che operano su internet?

Il Regolamento amplia il numero dei diritti di cui gode l’interessato, introducendo diritti nuovi, come ad esempio la portabilità dei dati personali.
Ciò che a mio avviso devono fare le imprese (o altri enti) che trattano dati riferiti a persone fisiche identificate o identificabili, è capire bene cosa questi diritti importano rispetto alla loro organizzazione interna (che informazioni devo dare, come devo darle, come faccio a garantire il riscontro alle istanze) leggendo attentamente non solo le norme ma anche la prassi dettata dal Gruppo di Lavoro dei garanti europei, attraverso le linee guida, reperibili anche in italiano sia sul sito della Commissione, che sul sito del Garante.

Ci sono linee guida dedicate alla portabilità o alla profilazione che possono chiarire o suggerire alcuni adempimenti da porre in essere, che magari possono sfuggire o non essere immediatamente comprensibili se ci si limita a leggere solo il testo normativo.

Quali conseguenze ha il nuovo Regolamento per quanto riguarda la raccolta degli indirizzi email finalizzati all’email marketing?

Per chi già rispettava il codice della privacy e le linee guida del Garante per la protezione dei dati personali, i cambiamenti riguarderanno soprattutto i nuovi diritti, ma non ci sarà un terremoto.

Che cosa suggerisce a chi fa già email marketing?

Suggerisco di leggere attentamente le linee guida del Gruppo di Lavoro in tema di trasparenza e acquisizione del consenso, non appena pubblicate in versione definitiva; peraltro i consensi già raccolti con modalità (e informative) in linea con la nuova normativa (informative specifiche, no preflag, no a condizionare la prestazione del servizio principale al consenso marketing ecc.) saranno validi anche con il regolamento.
Chi invece abbia acquisito indirizzi e consensi in spregio alla normativa previgente o comunque in modo non conforme al GDPR, si troverà con banche dati inutilizzabili, e si esporrà a sanzioni significative.

intervista Avv. Vicarelli Newsletter2Go

Sono previsti nuovi e ulteriori regolamenti rivolti alle aziende e, se sì, con quali conseguenze?

Sì, chi opera sul web deve stare attento alla Direttiva e-privacy, che è attualmente in fase di modifica e sarà trasformata in un regolamento.

L’articolo 130 del Codice della privacy, che regola il marketing con strumenti automatizzati (e quindi anche l’email marketing) deriva in gran parte dalla Direttiva e-privacy, quindi bisognerà prestare attenzione all’intervento del legislatore nazionale e a come sceglierà di intervenire, sul piano interno, per armonizzare direttiva e-privacy con il GDPR. Il legislatore nazionale, infatti, dovrà intervenire sul piano interno per armonizzare il regolamento con la disciplina rilevante e abrogare le disposizioni statali in conflitto con il Regolamento stesso. Al momento la normativa interna è in fase di elaborazione e dovrebbe entrare in vigore a ridosso del maggio 2018.

L’articolo 130 del Codice della privacy protegge solo i consumatori?

L’articolo protegge contro lo spam anche le persone giuridiche, non solo le persone fisiche. Fermo restando che il RGPD non protegge solo i consumatori ma le persone fisiche, indipendentemente dal loro status di “consumatore”, è pericoloso pensare che possa essere “liberalizzato” l’email marketing verso le persone giuridiche, se non sappiamo come il legislatore nazionale ha deciso di intervenire su questa materia e che margine di manovra si è dato.

Quali sono i pro e i contro del nuovo regolamento sulla tutela dei dati personali?

Tra i “pro” ci sono il principio di accountability e l’approccio basato sul rischio: la protezione dei dati viene calata nelle singole realtà aziendali e si supera una burocratizzazione sterile data dalla ripetizione, spesso acritica, di adempimenti che non vengono degnati di alcuna reale attenzione.
In questo senso si dice che la privacy è un asset: più sarò bravo a rispettare la protezione dei dati, più posso valorizzare i dati personali che tratto, più sarò competitivo sul mercato.

Tra i “contro” c’è la possibilità di derogare alla normativa generale da parte dei singoli Stati membri. Questo aspetto rischia di aprire di nuovo alla frammentazione delle normative, se gli Stati decidessero di spingere ai limiti la facoltà di deroga che gli viene riconosciuta.
Sempre sul piano della normativa nazionale, tra i contro, c’è il rischio di avere interventi isolati e disorganici, a volte in apparente conflitto anche con il dettato regolamentare, che tendono a riburocratizzare invece che ad alleggerire, che confondono i titolari e rendono più difficile capire come rendersi conformi al regolamento. Tendenza questa che ha caratterizzato l’intervento del legislatore italiano negli ultimi mesi.
Tra i contro, infine, c’è la mancata armonizzazione con la direttiva e-privacy che fa sì che proprio il settore della protezione dei dati nelle comunicazioni elettroniche viva i maggiori margini di incertezza.

Regolamento UE intervista Avv. Vicarelli Newsletter2Go

Cosa ne pensa della riforma? Può essere considerata come un passo in avanti in materia della tutela della privacy?

Il Regolamento generale sulla protezione dei dati è certamente importantissimo. Per la prima volta l’Unione europea è riuscita a creare una norma che incide su diritti fondamentali ed è direttamente applicabile nei singoli Stati membri. Per me, dal punto di vista del giurista, è una davvero una pietra miliare.

Dal punto di vista del marketing, come ho detto, non introduce novità stratosferiche, soprattutto se consideriamo il settore della protezione dei dati nelle comunicazioni elettroniche, ma ciò in parte è dovuto alla mancata armonizzazione con la normativa che discende dalla direttiva e-privacy, che è ancora vigente e vive attraverso la declinazione che ha subito nei singoli ordinamenti nazionali. Tra le pieghe del Regolamento si nascondono aperture importanti: si pensi al considerando che inserisce il marketing diretto tra i trattamenti che possono fondarsi sul legittimo interesse e che quindi, non necessiterebbe di consenso. Uso il condizionale, perché al momento, come ho detto, manca l’armonizzazione con altre normative e poggiare un trattamento su un considerando senza considerare il quadro d’insieme è avventato.

Potrebbe dare qualche consiglio alle aziende su come prepararsi al meglio al nuovo Regolamento europeo sulla tutela dei dati personali?

Credo che la prima cosa da fare, come ho detto, sia conoscere la normativa e leggere con attenzione le linee guida del Gruppo dei Garanti.

In secondo luogo occorre mappare i trattamenti: bisogna prestare attenzione in particolare alla base giuridica che li sostiene, alla durata e al trasferimento di dati all’estero. Occorre che tutti questi aspetti siano conformi al Regolamento.
A questo punto occorre valutare a quali rischi sono esposti i dati ed intervenire sia  sulle misure di sicurezza informatica, sia sulla propria struttura interna, sia sui fornitori esterni con adeguate istruzioni e adeguata contrattualistica volta a garantire la sicurezza e la riservatezza dei dati. Occorre capire se si ha necessità di munirsi di un data protection officer (o responsabile della protezione dei dati -DPO): in alcuni casi la designazione è obbligatoria. Il DPO può essere designato anche facoltativamente, ma in questi casi è necessario non fare confusione: un DPO “facoltativo” impone al titolare (o al responsabile) che lo nomina gli stessi adempimenti di quello obbligatorio. Se non si è soggetti all’obbligo e ci si vuole avvalere facoltativamente di un soggetto con particolari competenze in ambito privacy, ma non si vuole ricadere negli obblighi  connessi alla nomina del DPO, è bene non fare nessuna confusione neppure terminologica tra i due ruoli.

Si dovranno poi rivedere le informative e i form di consenso. Invito a fare particolare attenzione al modo in cui i consensi sono stati acquisiti: il Regolamento dice chiaramente che “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Infine, vorrei richiamare l’attenzione degli operatori sulle linee interpretative della nostra Autorità Garante: vi sono adempimenti non direttamente previsti dal Regolamento, come la nomina a incaricato, che il Garante suggerisce di  mantenere e credo sia buona regola di prudenza attenersi anche a queste autorevoli indicazioni. A tal fine è bene consultare il sito dell’Autorità Garante e seguire le pagine dedicate al Regolamento.

Grazie mille Avv. Vicarelli per la Sua gentile intervista e per aver messo in rilievo i punti principali della nuova normativa UE.

Sull’autrice

Avv. Cristina Vicarelli

L’articolo è stato scritto dall’Avv. Cristina Vicarelli. Avvocato del Foro di Perugia, si occupa prevalentemente di privacy e protezione dei dati personali, diritto dell’informatica e dell’internet.
Twitter | Facebook

Über den Autor

Margherita Grizzo
Online Marketing & Content per Newsletter2Go

War der Beitrag hilfreich?

Thank You!

Lascia un commento

Newsletter2Go utilizza cookie per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Continuando a navigare su questo sito, si accetta l'uso dei cookie. Accetto.