Cos’è il GDPR

Il regolamento generale dell’Unione europea sulla protezione dei dati personali (ingl. General Data Protection Regulation, conosciuto anche con le sigle GDPR) è un regolamento che è stato emesso il 27 aprile 2016 dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018.

il Parlamento europeo adotta direttive che vengono poi introdotte dai membri dell’UE nelle loro legislazioni, ma in questo caso si tratta di un regolamento, il che vuol dire, che sarà valido direttamente e in modo uguale in tutti i paesi membri.  

Data la legislazione (nazionale) già esistente, il nuovo regolamento apporta molte novità, da una parte sfide e agguati, dall’altra parte invece l’unificazione e anche (specialmente se si fanno affari in diversi paesi dell’UE) la semplificazione.

Come prima cosa puoi leggere i concetti base:

  • Dati personali

Si tratta di qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).

Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Il regolamento definisce esplicitamente, che si tratta di persone fisiche, il che vuol dire che distingue chiaramente tra persone fisiche e persone giuridiche.

Nel contesto dell’email marketing bisogna contraddistinguere tra 3 tipi:

  • cognome@gmail.com – persona fisica
  • cognome@nome-azienda.it – persona fisica (attenzione!)
  • info@nome-azienda.it – persona giuridica

Durante il trattamento dei dati bisognerà perciò prima distinguere gli indirizzi email generici (info@, vendita@, …) dagli indirizzi di persone fisiche. Il GDPR, infatti, non si applica agli indirizzi generici.

 

  • Trattamento

Si tratta di qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Nel contesto dell’email marketing bisogna distinguere tra 2 cose:

  1. Raccolta e utilizzo di indirizzi email per l’invio di messaggi email.
  2. Raccolta di informazioni aggiuntive sul destinatario per scopi di profilazione – sia automatica che manuale – queste informazioni includono p.es. il sesso, l’età, ecc., come anche la data e l’ora di lettura dei messaggi email, click ai collegamenti, geolocalizzazione, ecc.

 

  • Titolare del trattamento

Si tratta della persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Nel contesto dell’email marketing il titolare è l’azienda, che ottiene i consensi per il trattamento dei dati personali. Quindi raccoglie gli indirizzi email, li conserva ed invia loro i messaggi email (ad esempio l’utente del sistema SqualoMail).

 

  • Responsabile del trattamento

Parliamo della persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Nel contesto dell’email marketing si tratta del fornitore della tua piattaforma di email marketing (per esempio, SqualoMail). Il responsabile del trattamento tratta i dati rispettando le istruzioni del titolare.

 

  • Ricevente

Si tratta della persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

Il ricevente è quindi il tuo socio d’affari con il quale condividi i dati personali. Bisogna però distinguere tra il ricevente e il destinatario.

 

  • Creazione dei profili (profilazione)

Si tratta di qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Qui vorremmo evidenziare che secondo la nostra interpretazione, eseguire manualmente i filtri sui destinatari viene considerato come trattamento automatizzato di dati personali, e perciò non richiede un ulteriore consenso. Ma ne parleremo di più in seguito.

 

Esempi di titolare, responsabile, ricevente

Di seguito ti abbiamo preparato alcune tra le situazioni più frequenti, che prevede il GDPR. Le situazioni sono state create soprattutto nel contesto dell’email marketing, però possono essere utili anche più in generale.

SITO WEB/NEGOZIO ONLINE

  1. Una persona visita il sito web dell’azienda, dove iscrivendosi alla newsletter inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter. In questo modo questa persona diventa un Destinatario.
  2. Dall’altra parte invece Il proprietario dei sito web che ottiene i dati ed il consenso diventa il Titolare del trattamento dei dati personali del Destinatario.
  3. Il proprietario del sito web poi affida i dati del Destinatario all’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale ha già un contratto di trattamento dei dati. Questa azienda diventa così il Responsabile del trattamento.
Tutto questo (può accadere) accade automaticamente con l’aiuto di un modulo sulla pagina del Titolare, che è direttamente collegato alla piattaforma per l’email marketing.

 

AGENZIA WEB

  1. La persona visita il sito web dell’azienda, dove iscrivendosi alla newsletter inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter. In questo modo questa persona diventa un Destinatario.
  2. Dall’altra parte invece Il proprietario dei sito web che ottiene i dati ed il consenso diventa il Titolare del trattamento dei dati personali del Destinatario..
  3. Il proprietario del sito web poi affida i dati del Destinatario all’agenzia di digital marketing. l’Agenzia diventa con questo il Responsabile del trattamento. Tra il Titolare e il Responsabile deve essere stabilito un contratto per il trattamento dei dati personali.
  4. L’Agenzia collabora con un’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale ha già un contratto di trattamento dei dati. Anche questa azienda diventa il Responsabile del trattamento.
Il Titolare del trattamento deve dare all’Agenzia le istruzioni per il trattamento dei dati personali, e questa le deve poi trasferire correttamente sulla piattaforma per l’email marketing.

 

CONDIVISIONE DEI DATI PERSONALI

  1. La persona visita il sito web dell’azienda, dove iscrivendosi alla newsletter con una certa tematica, inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter con una certa tematica e accetta, che i suoi dati vengano inoltrati al Ricevente. In questo modo questa persona diventa un Destinatario.
  2. L’Agenzia ricevendo i dati ed il consenso diventa Il Titolare del trattamento dei dati personali del Destinatario.
  3. L’Agenzia poi affida i dati personali al pubblicitario. Con questo diventa il Ricevente. Tra il Titolare ed il Ricevente deve essere stabilito un contratto per il trattamento dei dati personali.
  4. Il pubblicitario collabora con un’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale deve avere un contratto di trattamento dei dati. Questa azienda diventa il Responsabile del trattamento.