nuovo Regolamento EU privacy

Il nuovo Regolamento UE sulla privacy che fa tremare (e guadagnare) la rete – parte I

Blogging

Oggi finalmente pubblico il post destinato al nuovo Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Sarà il primo post di una serie che ho deciso di fare perché tutto il tema si è rilevato troppo lungo e troppo complicato da spiegare in un solo articolo.

Nei prossimi post ti guiderò alla scoperta di ciò che è il diritto dell’Unione Europea e come influenza la vita dei suoi cittadini. Negli articoli spiegherò:

  • motivazioni di una nuova disposizione legislativa sulla protezione dei dati
  • chi è tenuto ad applicarlo e se sono inclusi i blogger
  • trattamento dei dati
  • obbligo di informazione (art. 13) (come realizzarlo – User Experience)
  • registrazione delle banche dati
  • sicurezza dei dati
  • procedure di protezione dei dati
  • registri delle attività di trattamento (art. 30)
  • sicurezza dei dati personali (art. 32)
  • notifiche di violazione dei dati personali (art 33)
  • valutazione d’impatto
  • trasferimento dei dati personali (art. 28)
  • autorità di controllo (art. 58)
  • sanzioni

Credo che vista la lentezza con la quale ultimamente pubblico il mese di aprile sarà tutto concentrato sul nuovo Regolamento e sulle conseguenze che ne derivano per i blogger! Gli argomenti sono tanti e in più io vorrei fornire le informazioni pratiche e concrete sull’impatto del Regolamento per i blogger, inclusi alcuni strumenti pratici (tabelle Excel) da utilizzare.

Iniziamo!

Regolamento sul trattamento dei dati personali – cosa c’entrano i blogger?

Il 25 maggio 2018 entrerà in vigore il Regolamento (UE) 2016/679 sul trattamento dei dati personali e privacy che sostituirà la Direttiva 95/46/CE. Qual è la differenza tra una direttiva e un regolamento e perché l’Unione Europea ha deciso di emanare un nuovo atto legislativo su questa tematica?

Un Regolamento è un atto giuridico di portata generale emanato dagli organi dell’UE che è direttamente applicabile negli stati membri dell’Unione Europea. Invece “La direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi” (art. 288 par. 3 TFUE).

La differenza quindi sta nell’applicabilità dei due atti giuridici. Il regolamento è applicabile direttamente in tutte le sue parti e richiede agli stati membri di garantire l’allineamento fra la normativa nazionale esistente e le disposizioni del Regolamento e la Direttiva lascia invece lo spazio agli Stati membri per attuarla e quindi spesso è seguita da leggi nazionali oppure regionali a seconda di chi è la competenza legislativa. In Italia la Direttiva 95/46/CE era stata recepita inizialmente con la Legge 31 dicembre 1996, n. 675, successivamente sostituita dal Codice per la protezione dei dati personali (D.lgs 196/2003).

Vista sul bivacco Pascal (2929) in Valle d’Aosta. In un posto così la privacy è garantita :).

Era l’ora di approvare un nuovo atto legislativo riguardante la privacy! La direttiva dell’UE seguita da tantissime leggi nazionali risale agli anni novanta, quasi l’epoca dei dinosauri se pensiamo come è cambiato il mondo e la raccolta e il trattamento dei dati, considerato il mondo digitale.

L’Unione Europea ha deciso di intervenire per quanto riguarda la questione della protezione dei dati personali per uniformare ciò che succede ai cittadini europei che rilasciano i propri dati. Eh sì, questo regolamento non riguarda solo i soggetti (pubblici e privati) che raccolgono e trattano i dati in Europa, ma chiunque raccolga i dati sui cittadini residenti sul vecchio continente anche se la sua sede è fuori dall’Unione Europea (art. 3).

Diventa molto più comodo perché le regole saranno uguali in tutta l’Unione Europa!

Chi è tenuto all’applicazione del Regolamento

Il Regolamento riguarda chiunque decida di raccogliere e trattare i dati personali dei cittadini europei con gli scopi diversi da quelli personali o domestici e quindi senza un collegamento con un’attività commerciale o professionale (corrispondenza e gli indirizzari, l’uso dei social network e attività online intraprese nell’ambito di tali attività, vedi in particolare l’art. 2, comma 2, lettera c)).

Un blogger è tenuto ad applicare il regolamento? In molti casi si e per una buona parte (sono escluse le regole più pesanti riguardanti le grandi imprese sopra 250 dipendenti oppure altre specifiche).

Il regolamento non si applica ai dati trattatati per finalità esclusivamente personali, ma basta una minima collaborazione, un banner, un prodotto a pagamento, un biglietto gratuito per visitare un luogo, una qualsiasi cosa che anche solo minimamente ti fa avvicinare all’attività professionale anche se non ci sei ancora dentro completamente e sei tenuta ad applicare le disposizioni del Regolamento.

Cosa significa raccogliere i dati e quali dati raccogli

Significa che entri in possesso dei dati personali come ad esempio nome, cognome, data di nascita, numero di telefono. Come può succedere ad un blogger di entrare in possesso di questi dati? È semplicissimo! Basti che un lettore ti lasci un commento (hai già la sua e-mail e nome), si iscriva alla tua newsletter (hai già il nome, e-mail e qualche volta anche la data di nascita o il numero di telefono), ti scriva un messaggio con il formulario contatti (e-mail e nome) oppure direttamente alla tua casella indicata sul blog oppure ancora compili un formulario di Google oppure Type Form per un tuo sondaggio dove hai chiesto qualche dato personale (quindi non in forma anonima) e voilà hai già raccolto i dati personali!

Ti può anche succedere che le persone ti rilasciano i loro dati personali anche se tu non li hai chiesti raccontandoti ad esempio la loro storia personale. Infatti il regolamento specifica che tra i dati personali ci sono anche quelli che riguardano un identificativo online (il sito oppure il profilo sui canali social), uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale della persona.

La domanda che ti devi porre qui è la seguente: nella tua attività da blogger quali dati e in quali occasioni raccogli?

Cosa significa trattare i dati personali che hai raccolto

Sai già dov’è applicabile il Regolamento e che anche se sei una blogger ti tocca rispettarlo, hai già capito quali dati raccogli e in quale occasione e quindi ora vediamo cosa fai con i dati raccolti – come li tratti in sostanza. Ci sono alcuni elementi di base sul trattamento che rispetto alla vecchia Direttiva non sono cambiati e riguardano le situazioni che ti permettono in modo legale trattare i dati di altrui, ad esempio:

  • Accordo per il trattamento dei dati personali
  • Esecuzione di contratto
  • Adempimento di un obbligo legale
  • Esecuzione di un compito di interesse pubblico

I blogger spesso trattano i dati su base di un accordo (ad esempio l’invio della newsletter), quelli un po’ più evoluti per adempiere un contratto (ad esempio l’invio di un prodotto digitale acquistato) oppure per adempiere di un obbligo legale (inviare la fattura oppure la ricevuta di acquisto).

Il trattamento dei dati per eseguire un contratto oppure adempiere di un obbligo legale è semplice, risulta più complicato l’accordo per il trattamento dei dati personali perché questo in rete richiede il consenso che si ottiene attraverso i cosiddetti checkbox (casella di spunta)! Immagina l’iscrizione alla newsletter (se non sei ancora iscritta puoi provare qui sotto, accederai alla Blogoteca con il materiale gratuito per il blogging) dove inserisci la tua e-mail e il tuo nome, in questo momento non mi dai ancora il consenso al trattamento dei dati e per questo risulta importante confermare l’iscrizione cliccando un pulsante presente nell’e-mail che ricevi appena ti iscrivi. Senza la conferma non c’è il consenso a trattare i tuoi dati e di conseguenza ad inviarti la newsletter (e anche l’accesso alla Blogoteca con il materiale gratuito).

Qui arriviamo ad un punto MOLTO caldo.

Come hai ottenuto gli iscritti sulla tua mailing list? Hai la prova che hanno dato consenso di ricevere la tua e-mail oppure no? Se non hai questa prova perché ad esempio erano indirizzi raccolti in fiera oppure hai spostato la tua lista da un provider all’altro e hai cancellato l’originale dov’è c’era la prova di consenso ti conviene inviare un’e-mail con la quale chiedi SE CONFERMANO di voler ricevere la tua newsletter! Questo significa creare una nuova lista sulla quale sposti le persone che confermano, ti danno il consenso al trattamento dei dati e quindi il successivo l’invio delle newsletter. Può essere anche un modo per ripulire la lista dalle persone che da mesi non aprono le tue newsletter. Se utilizzi MailerLite ti avviso che è stato creato un modello di una campagna specifico per questa occasione!

Principi di base per quanto riguarda il trattamento dei dati personali

Il capo II del Regolamento prevede tutta una serie di principi di base per quanto riguarda il trattamento dei dati personali ed ecco cosa significano concretamente:

  • la raccolta dati devi essere legale: ecco ad esempio la conferma che devono dare le persone per riceve la newsletter). Inutile aggiungere che non si possono scambiare le mailing list con gli altri con il target simile, senza avere ricevuto un consenso esplicito in tale senso. Ti assicuro che possa succedere!
  • i dati devono essere raccolti per finalità determinate: quindi bisogna comunicare agli interessati per quale motivi stiamo raccogliendo i dati (ad esempio per inviare le informazioni sul nuovo corso di formazione se abbiamo appena creato una nuova lista di attesa che le persone possono sottoscrivere). Il trattamento dei dati è strettamente collegato alla finalità iniziale, quindi non è possibile iniziare a inviare la newsletter a qualcuno che ci ha scritto un messaggio privato per avere un’informazione oppure ha commentato un nostro post senza il consenso! Quindi se muta la finalità dobbiamo acquisire il consenso per la nuova finalità. Esempio: le persone si sono iscritte alla tua mailing list per un corso di formazione, una volta il corso concluso le devi chiedere se puoi inviargli ulteriori comunicazioni riguardanti altre tue iniziative (se non l’hai già fatto all’inizio).
  • adeguati e limitati a quanto necessario: bisogna sempre chiedersi se i dati che stai raccogliendo ti servono e a cosa servono. Perché chiedi alle persone la data di nascita oppure il numero di telefono? Per quale motivo ti serve questo dato? Ogni dato che raccogli deve avere una finalità, non si raccolgono i dati per i quali non abbiamo previsto l’utilizzo.
Se chiedi alle persone il numero di telefono devi sapere con quale finalità lo fai!
  • esattezza dei dati: i dati trattati devono essere esatti e, se necessario, aggiornati. Il titolare del trattamento dei dati (se sei una blogger che gestisce da sola il tuo blog sei tu il responsabile del trattamento dei dati) deve, in questo senso, prendere tutte le misure ragionevoli per cancellare o rettificare tempestivamente quelli che non sono più esatti. Vale a dire, non teniamo inutilmente i dati di altre persone: le vecchie mailing list ad esempio!
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Dobbiamo sapere di chi sono i dati e non trattenerli più a lungo del necessario. Se abbiamo creato una mailing list di attesa del libro, una volta pubblicato e inviate le informazioni, possiamo ancora chiedere se le persone sono interessate a ricevere la nostra newsletter e poi occorrerebbe cancellare tutta la lista.
  • trattati in maniera da garantire un’adeguata sicurezza, i buona sostanza adottare tutte le misure necessarie per evitare l’accesso a questi dati da parte di chi non è autorizzato a trattarli.

Con questo post ti ho fornito le informazioni riguardanti l’applicazione del nuovo regolamento, cosa significa raccogliere i dati e trattarli. Nel prossimo post vedremo più concretamente cosa sono le procedure per il trattamento dei dati e la creazione dei registri.

Per dirti quant’è importante questa parte riguardante il trattamento dei dati personali ti scrivo solo che la parola “trattamento” è stata utilizzata nel Regolamento che conta 88 pagine 1287 volte 😊.

Alla fine della mia serie di post ti fornirò anche una tabella Excel per aiutarti a organizzare i dati che raccogli e tratti!

Se questo post ti è piaciuto mi farà piacere se lo condividi in rete 😊.

A presto

Agnieszka.

P.S. Se hai ancora 5 minuti leggi le info sul mio e-book Appunti di blogging e di web marketing, il ricavato va a favore dell’associazione La casa di sabbia Onlus!

Il mio libro sul blogging e web marketing