Prima intervista per il nostro blog e subito sotto la nostra lente una tematica di primo piano.
Cinque domande, a Nicola Nuti , Amministratore della Inprivacy srl, consigliere del CNCC ( Consiglio Nazionale dei Centri Commerciali), per scoprire cinque cose da sapere su gdpr e concorsi.
Quando si decide di organizzare un concorso spesso si ha tra gli obiettivi la lead generation, per avere un contatto profilato in modo corretto quali sono i passi giusti da seguire?
Fornire all’interessato tutte le informazioni di cui all’art. 13 del GDPR in merito al trattamento dei suoi dati personali: quali dati verranno trattati, chi li tratterà, come li tratterà, per quali finalità e per quanto tempo li conserverà, quali sono i suoi diritti (per esempio accesso, opposizione, oblio) e come potrà esercitarli (fondamentale agevolare al massimo tale esercizio e fare in modo che l’eventuale revoca del consenso possa essere chiesta con la stessa facilità con cui tale consenso è stato concesso).
Il concorso ha una base di liceità specifica, è un contratto e tale sarà regolato fra le parti: il trattamento dei dati per questa finalità deve considerarsi obbligatorio e non va chiesto consenso.
Per ognuna delle finalità non obbligatorie (marketing, profilazione, eventuale cessione a terzi), invece, dovrà essere richiesto consenso ad hoc in ossequio al principio “una finalità, un consenso” più volte ribadito anche dall’Autorità Garante in occasione di recenti provvedimenti sanzionatori.
Il classico flag unico con il quale si dichiara di “accettare la privacy” costituisce presupposto di mancanza di valido consenso, pertanto di trattamento illecito di dati, esponendo il Titolare del trattamento alle sanzioni di cui all’art. 83 del GDPR e (eventualmente anche penali) del 167 del D.Lgs 101/2018.
Da non trascurare la trasparenza nei confronti dell’utente: le informazioni vanno fornite con linguaggio semplice, chiaro, sintetico eventualmente coadiuvato da infografica.
2.Molti dei concorsi organizzati in questo momento sono concorsi online, anche su social network, come si gestisce la privacy e la cyber security in questo contesto?
E’ obbligatorio avere all’interno dell’organizzazione del Titolare del trattamento misure di sicurezza cyber (e non solo) adeguate ai principi riportati dal Regolamento per trattare in sicurezza tutti i dati.
In osservanza dei principi di “privacy by design e default” (art. 25 GDPR), il Titolare dovrà analizzare tutti i possibili rischi a cui potrebbero essere soggetti i partecipanti al concorso a seguito di eventuale violazione colposa o dolosa dei loro dati personali, quindi predisporre misure di sicurezza adeguate per minimizzare tali rischi. In questo contesto sarà opportuno effettuare valutazione d’impatto (art. 35 GDPR).
A tal fine sono già disponibili anche schemi specifici accreditati dall’Ente nazionale ai quali fare riferimento.
Oltre alle protezioni informatiche contro diffusioni/accessi non autorizzati dei dati, è fondamentale:
- verificare che l’interessato abbia la disponibilità della mail e/o del cellulare che utilizza per registrarsi al concorso
- far sì che i dati siano trattati solo da personale autorizzato, adeguatamente formato ed istruito
- avvalersi di Responsabili del trattamento (es: agenzie di marketing) che diano garanzie sufficienti di ottemperanza alla normativa privacy (art. 28 GDPR). La scelta dei Responsabili è una delle questioni più critiche e delicate di tutto il processo, in quanto il Titolare è responsabile in solido delle loro violazioni (art. 82.4 GDPR).
3.Come ha cambiato la nuova normativa europea, il cosiddetto GDPR, il modo di lavorare nel settore? Quali sono i nuovi aspetti da tenere presente quando si organizza un concorso a premi rispetto alla vecchia legge italiana?
Il GDPR rappresenta una crescita socio-economica fondamentale in quanto “…relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati…” È proprio la libera circolazione dei dati che favorisce e dovrà favorire sempre di più la sicurezza delle persone e le economie generate dai dati stessi.
Una delle più importanti “rivoluzioni” del GDPR è il concetto di “accountability” (responsabilizzazione): il Titolare ha la massima discrezionalità nel valutare il proprio Sistema Gestione Privacy, salvo poi essere in grado di giustificare ogni sua scelta.
Non più, quindi, un “castello di carte” da firmare e archiviare una tantum, ma un sistema vivo e vitale di procedure, frutto di scelte ragionate da adeguare continuamente alla realtà che cambia.
4.Molto spesso alle manifestazioni a premio partecipano anche minorenni (ad esempio acquistando un prodotto o elaborando un’opera artistica). Come muoversi in questo caso per impostare un concorso in maniera corretta?
Trattandosi di un contratto, il minore può partecipare solo col consenso di esercita la potestà genitoriale (vedi il considerando 38 e l’art 8.2 GDPR).
Se non possibile in sede di iscrizione al concorso, la capacità giuridica dell’interessato andrà verificata in sede di attribuzione della vincita.
5.Per organizzare i contest sui Social Network la legge italiana prevede che i dati dei partecipanti siano conservati su Server Italiano così come garantisce la piattaforma Engage del gruppo Jet’s, quali sono i motivi che hanno portato il legislatore a questa decisione?
Il GDPR e le Leggi nazionali non prevedono un obbligo di conservazione sul territorio nazionale, essendo un Regolamento UE è possibile avere in dati in tutto il territorio dell’Unione.
Necessario fare particolare attenzione ad eventuali trasferimenti extra Ue non supportati dalle adeguate garanzie (capo V GDPR) effettuati dall’intera filiera di coloro i quali trattano i dati per conto del Titolare (Responsabili, sub-responsabili…), di cui il Titolare stesso è sempre responsabile.
Anche questo è un aspetto fortemente critico e spesso sottovalutato da Titolari che si affidano a prodotti “chiavi in mano” offerti da agenzie apparentemente affidabili, ma spesso carenti sul fronte della protezione dei dati personali.
Nicola Nuti , professionista con carriera accademica e studi tecnico-giuridici, una lode al corso di perfezionamento in diritto della protezione dei dati personali per la formazione del Data Protection Officer (UniTO) e alle spalle una oltre ventennale esperienza nelle cogenze “privacy”.
E’ inoltre formatore accreditato dalla Regione Toscana e membro del Comitato tecnico scientifico Osservatorio 679.