I concorsi a premi online e il nuovo Regolamento UE sulla Privacy
Quando si crea un concorso a premi online si entra in contatto con numerosi dati degli utenti e per questo motivo è prevista una particolare regolamentazione relativa al loro trattamento.
Abbiamo chiesto ad Andrea Giannangelo, CEO di iubenda, di spiegarci in breve cosa cambierà con l’introduzione del nuovo GDPR, il nuovo regolamento UE sulla Privacy, che si pone come obiettivo quello di aggiornare i principi in materia di tutela dati personali, prevedendo una normativa ugualmente applicabile in tutti gli Stati membri dell’Unione Europea. iubenda offre soluzioni software ed assistenza diretta per il rispetto degli obblighi di legge online.
Che cos’è il nuovo GDPR?
«GDPR è l’acronimo di General Data Protection Regulation ed è la nuova legge quadro in materia Privacy. Alcune cose molto importanti da sapere:
- Entrerà ufficialmente in vigore il 25 maggio 2018;
- È un regolamento, ovvero una legge unica e direttamente applicabile in tutti gli Stati membri UE;
- Sostituisce il D.Lgs. 196/2003 (il cosiddetto Codice Privacy).
Il GDPR mette ordine nel panorama normativo privacy e trasforma in legge molte di quelle che prima erano best practice».
Quali sono le novità previste dal nuovo regolamento UE sulla Privacy?
«Tra le novità più importanti troviamo sicuramente nuovi diritti per gli utenti come portabilità e cancellazione, il rafforzamento dei requisiti per l’ottenimento del consenso, l’introduzione del Data protection impact assessment, della figura del DPO (Data protection Officer) e del registro del trattamento e, infine, sono state introdotte delle regole specifiche in caso di data breach».
Vediamoli singolarmente e parliamo dei nuovi diritti per gli utenti e delle nuove modalità di consenso:
«Gli utenti possono ora richiedere che i loro dati in possesso del titolare vengano cancellati, o che siano loro consegnati per essere trasferiti ad altro titolare.
Inoltre, il testo chiarisce che il consenso dev’essere fornito in maniera libera, specifica, informata e inequivocabile e che il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito. La necessità di dimostrare l’ottenimento del consenso è dunque rafforzata, comportando che non sarà sufficiente salvare l’IP, ma bisognerà:
- Conservare la versione del form che l’interessato ha sottoscritto;
- Conservare l’intera chiamata inviata al server con il contenuto del form stesso;
- Certificare queste informazioni con marca temporale».
Cos’è il Data protection impact assessment?
«Il Data Protection Impact Assessment (o DPIA) è una relazione da redigere in forma scritta e viene descritto dalla normativa come segue:
Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo.
Da notare che, con l’introduzione del nuovo GDPR, la procedura della notificazione preventiva al Garante viene abolita».
Chi è il Data Protection Officer e quali saranno i suoi compiti?
«Il DPO, o Data Protection Officer, o Responsabile della protezione dei dati, è una nuova figura prevista dalla normativa e si può descrivere come una persona fisica, gruppo di persone o persona giuridica che costituisce il punto di contatto privilegiato per la gestione delle problematiche legate alla protezione dei dati all’interno di un’organizzazione.
Non è una figura certificata, né esiste alcun albo. Secondo il Regolamento, la sua nomina è obbligatoria quando il trattamento è effettuato da autorità o organismo pubblico, quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e, infine, quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari».
Il registro del trattamento sarà obbligatorio per tutte le aziende?
«No, solo le aziende oltre i 250 dipendenti devono redigere e tenere aggiornato un registro contenente:
- Quali dati vengono trattati;
- Le finalità del trattamento;
- Chi accede ai dati (all’interno e all’esterno);
- Se c’è trasferimento all’estero;
- Termini di cancellazione dei dati (data retention);
- Misure di sicurezza adottate».
E le sanzioni?
«Le sanzioni crescono in modo significativo, potendo raggiungere il maggior valore fra 20 milioni di euro ed il 4% del fatturato globale».
Come può iubenda aiutare le aziende per l’adeguamento al nuovo GDPR?
«iubenda è la soluzione più semplice e completa per generare una Privacy e Cookie Policy, per adeguarsi con la Cookie Law o per ottenere assistenza personalizzata nel rispetto delle normative online, inclusa la redazione di Termini e Condizioni. Inoltre, vantiamo un team legale internazionale dedicato ad assistere le aziende in maniera personalizzata, seguendo i clienti in tutti gli adempimenti legati alla presenza online o alla normativa privacy in generale, incluso l’adeguamento al GDPR».
Se hai trovato questo articolo interessante, iscriviti alla nostra Newsletter!
Potrebbe interessarti anche:
- Concorsi a premi: normativa fiscale
- La normativa italiana sui concorsi a premi: facciamo chiarezza
- Concorsi a premi su Facebook, facciamo chiarezza sulla normativa
