Il sistema delle newsletter ha l’obbligo legale di essere dotato di una privacy policy completa, dal momento che raccoglie i dati personali degli utenti.
Per rispettare le norme sulla privacy e sul trattamento dei dati personali, in primo luogo è necessario agire sul contatto. L’acquisizione di e-mail e dati personali, deve infatti avvenire tramite un form, ovvero un modulo che includa la casella di consenso esplicito al trattamento dei dati da parte dell’utente.
Accanto alla casella da spuntare volontariamente, inoltre, deve essere presente il riferimento alle attuali leggi sulla privacy, includendo il link alla tua Pagina Privacy Policy.
Nel caso in cui si voglia trattare i dati anche per un’ulteriore finalità, ad esempio ai fini della profilazione, occorre invece un ulteriore consenso, separato e specifico. Questo accade sempre nel momento in cui si utilizzano piattaforme specializzate per la gestione delle liste per le newsletter, che ovviamente utilizzano i dati anche per loro specifiche finalità.
In questo caso non siamo più in presenza di un’esenzione dal consenso (perché il cookie non è strettamente necessario per il funzionamento del servizio), ma occorre un consenso specifico per la finalità di profilazione.
Questo significa che non è più sufficiente inserire una casella da riempire con la mail (invio newsletter), ma occorre un’ulteriore casella con l’indicazione della specifica finalità di profilazione (consenso per profilazione), come del resto chiarito dalla Corte di Cassazione.
Ovviamente è indispensabile predisporre una modalità di cancellazione dal servizio (link disiscriviti/unsuscribe), che sia semplice e gratuito. Nell’invio di mail con liste, deve essere inibito al ricevente la visualizzazione degli indirizzi (funzione CCN, copia conoscenza nascosta) degli altri soggetti ai quali la mail viene inviata. In caso contrario si configura una violazione della normativa per comunicazione di dati personali in assenza di consenso.
In Italia, ad oggi, il 69% delle aziende ha inserito nel proprio organico un Responsabile per la Protezione di Dati, ovvero una figura professionale esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento dei dati personali e la loro protezione.
La trasformazione digitale degli ultimi anni ha reso certamente più efficienti imprese e pubbliche amministrazioni, moltiplicando però i rischi per la sicurezza. L’adozione di misure di sicurezza pertinenti ed adeguate da parte del titolare consentirà di limitare tali rischi.
Gli accertamenti svolti dall’Autorità in questi settori hanno evidenziato importanti criticità “di sistema”. Secondo alcune statistiche, come quelle riportate da Gdpr Enforcement Tracker, Spagna e Italia sono i Paesi europei che registrano il maggior numero di sanzioni nel campo della Privacy. Infatti, inizialmente l’Autorità italiana è stata molto prudente nell’attuare le nuove norme del Regolamento UE e nell’applicare le sanzioni in riferimento ai nuovi importi consentiti; in un secondo momento, inoltre, il Garante ha iniziato ad utilizzare i nuovi strumenti non solo verso i titolari privati ma anche nei confronti dei soggetti pubblici o che agiscono per pubblico interesse.
Non tutti i paesi UE hanno nella loro normativa questo potere. Ci si sta muovendo verso una parità a livello europeo in modo che si possa realizzare compiutamente un meccanismo che consentirà di chiedere alle Autorità degli altri Paesi di controllare attraverso l’utilizzo degli stessi parametri che sono utilizzati in Italia, in maniera corretta.
Get real time update about this post categories directly on your device, subscribe now.
