In uno dei primi articoli a tema GDPR avevo sostenuto che l’aspetto più interessante della nuova normativa fosse il suo intento armonizzatore delle varie legislazioni nazionali in tema di tutela dei dati personali. Quindi, dopo aver ricevuto l’ennesima e-mail di spam relativa all’acquisto di un corso di specializzazione proveniente da un sito internet (al quale – ne sono certa – non ho mai prestato il consenso al trattamento dei miei dati personali), mi sono chiesta:

Quali tutele prevede il GDPR nel caso di specie?

Attualmente, le normative antispam locali nell’Unione europea (UE) differiscono significativamente da un paese all’altro in base alla legislazione nazionale sulla privacy e sulla comunicazione elettronica, infatti la direttiva comunitaria di riferimento (dir. N. 2002/58/CE, o direttiva e-privacy) si occupa soltanto di delineare gli obiettivi generali che devono essere perseguiti dagli stati membri, delegando alla normativa nazionale la predisposizione degli strumenti necessari.

Il regolamento generale sulla protezione dei dati mira invece all’armonizzazione di tutte le varie normative nazionali proprio nella sua qualità di regolamento, con una forza giuridica vincolante tale da essere immediatamente applicabile in tutti gli Stati membri dell’UE. Una maggiore chiarezza della normativa applicabile in tutti i paesi europei è quanto auspicato dai vari garanti nazionali e tale obiettivo sarebbe certamente bene accolto da tutti gli operatori del settore.

Con il GDPR i marketer potranno inviare e-mail solo agli utenti che abbiano scelto di ricevere tali messaggi. Sebbene ciò sia già avvenuto nella maggior parte dei paesi europei ai sensi della Direttiva e-privacy, il GDPR specifica ulteriormente la natura del consenso richiesto per le comunicazioni commerciali. A partire da maggio 2018, sarà necessario raccogliere un consenso affermativo che sia “liberamente dato, specifico, informato e non ambiguo” per essere conforme al GDPR.

Inoltre, la procedura di registrazione deve fornire informazioni sugli scopi della raccolta di dati personali. Essere inseriti all’interno di mailing list indesiderate è molto più semplice di quanto si creda e, una volta che il dato è stato fornito – in mancanza di tutele – è praticamente impossibile bloccarne la circolazione.

Basti pensare, ad esempio, al caso in cui viene richieste di lasciare il proprio indirizzo e-mail per scaricare un whitepaper o fornire le proprie informazioni di contatto per partecipare a un concorso. Con il GDPR dal 25 maggio, occorrerà:

  • informare in modo chiaro l’interessato dell’utilizzo dei dati personali per inviare messaggi di marketing (e ove mancasse il consenso, non sarebbe legale aggiungere tali email indirizzi alla mailing list);
  • tenere traccia di tali consensi

Il GDPR si applica inoltre a tutti i dati esistenti, per cui se il database include abbonati i cui permessi non sono stati raccolti secondo gli standard, o nel caso in cui non si possa fornire una prova di consenso sufficiente per i propri contatti, il titolare del trattamento non sarà più autorizzato a inviare tali comunicazioni. In merito agli adempimenti da rispettare, ne abbiamo parlato spesso nel corso di questa rubrica, per cui consiglio a chiunque tratti dati personali (di ogni genere) di predisporre un registro dei trattamenti  e di adottare – quanto meno – le misure minime di sicurezza informatica in merito alle quali mi riservo di fornire qualche delucidazione in futuro.

E’, al momento, incerto quale importo le autorità possano multare coloro che infrangono le leggi, ed ancora più incerto sarà se le autorità avranno la forza necessaria per contrastare tutte le organizzazioni che non sono pienamente compatibili con GDPR. Quanto meno in un primo periodo è più probabile che la concentrazione degli sforzi del Garante sarà volta a contrastare le violazioni più gravi su segnalazione dei consumatori più attenti.

Leggi tutti gli articoli della rubrica Road to GDPR

© RIPRODUZIONE RISERVATA