Quali cambiamenti affronteranno ora le digital agency con il GDPR?
Con il GDPR i cambiamenti che le digital agency devono affrontare sono importanti ed impegnativi. Hanno a che fare con responsabilizzazione e profilazione.
Niente dati, siamo Europei. Non è un mistero per nessuno il fatto che il 25 Maggio 2018 sia entrato in vigore anche nel nostro Paese il Regolamento n. 679/2016 in materia di protezione dei dati personali, che in quanto normativa self executing è stato da subito, immediatamente esecutivo in ogni Stato membro dell’Unione.
Tale regolamento, non solo introduce una disciplina unitaria del trattamento dei dati personali rispondente alle esigenze del processo globale di digitalizzazione, ma rappresenta anche l’introduzione di una impostazione innovativa in materia di privacy.
Ed è per questo innegabile, che sin dai primi giorni della sua introduzione il temibile GDPR sia diventato uno spauracchio per tutti coloro che si trovano a trattare i dati personali di un vasto numero di persone, dunque, soprattutto le aziende digital.
Leggi anche GDPR: cosa cambia per le imprese? Un’intervista di approfondimento al tema all’avvocato Sergio Alberto Codella.
Quindi, cosa cambierà con il GDPR per le digital agency e quali accorgimenti seguire?
GDPR e accountability
La normativa introduce importanti principi tra cui quello di accountability (responsabilizzazione), per cui spetta al titolare del trattamento provare il rispetto delle regole in materia di trattamento dei dati, ed adattarsi ai nuovi istituti di valutazione di impatto privacy, o notificazione delle violazioni o ancora di idoneità delle misure di sicurezza adottate, per scongiurare violazioni del diritto alla riservatezza.
L’approccio applicativo del Regolamento ribalta, dunque, la prospettiva assegnando ai titolari del trattamento l’obbligo di autovalutazione in relazione al trattamento effettuato, alla tipologia dei dati personali trattati, ai rischi derivanti da tale trattamento e, alla adeguatezza delle misure tecniche e organizzative predisposte, affinché il trattamento sia conforme al Regolamento.
In coerenza con quanto previsto dalle regolamentazioni precedenti anche la nuova normativa prevede la necessità del consenso dell’interessato al trattamento dei propri dati, consenso che deve essere espresso, consapevole e, soprattutto, informato. Ciò comporta che all’interessato siano sempre fornite delle informative redatte in modo puntuale, efficace, intelligibile e comprensibile.
L’informativa deve inoltre essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta dei dati, oppure al momento della comunicazione, NON della registrazione dei dati (a terzi o all’interessato).
Leggi anche Con il GDPR cosa cambia veramente per l’utente e per il web?
GDPR e profilazione
Il GDPR disciplina in materia approfondita anche l’attività di profilazione, attività basilare per ogni azienda che mira a sviluppare la propria comunicazione in modo mirato e targettizzare il proprio pubblico.
L’art. 4 introduce infatti una definizione giuridica estensiva della profilazione intesa come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica. In particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona fisica.
Il concetto di profilazione non è quindi più circoscritto alle informazioni inerenti alla propensione al consumo di prodotti e all’utilizzo di servizi, ma è esteso a quanto direttamente riferibile all’interessato e dunque l’età, il sesso, la situazione familiare o economica.
Tale precisazione si è resa necessaria in relazione al diffondersi dei Big Data e di tutte le attività di raccolta e correlazione dai dati personali del singolo interessato invasive e sempre più dettagliate, sulle quali costruire modelli di offerta efficaci.
Un simile trattamento dovrebbe essere subordinato a garanzie adeguate, che comprendano la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione.
Il titolare del trattamento deve inoltre utilizzare procedure matematiche o statistiche appropriate per la profilazione, al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e di garantire la sicurezza dei dati personali.
I diritti dell’interessato in materia di profilazione sono, dunque, significativamente rispettati, ed è, inoltre, vietata la profilazione dei minori, oggi consumatori sensibili ed users entusiasti di app e nuovi social media, sempre armati del fido smartphone.
Leggi anche Data breach: che fare? Le novità introdotte dal nuovo GDPR
A fronte di una tale dettagliata regolamentazione, tutti gli operatori del digital si trovano davanti a nuove, significative sfide e non occorrono doti soprannaturali per prevedere che nei prossimi anni saranno protagonisti di ricorsi ai Garanti per la Privacy e pronunce giurisprudenziali.
Ma scongiurare la paralisi di ogni attività di trattamento dei dati personali è possibile, affidandosi a professionisti competenti che mettano a punto adeguate misure di protezione e cercando di limitare quel voyerismo che negli ultimi anni ha travalicato un po’ i limiti del buonsenso.
Quali cambiamenti affronteranno ora le digital agency con il GDPR?
