In un percorso serrato e ricco di colpi di scena, fra motoseghe, non morti e privacy policy, troveremo la strada migliore per perfezionare le pratiche di Marketing online, senza incorrere in sanzioni e senza buttare all'aria quanto fatto negli anni passati. Verificheremo insieme quali siano gli adempimenti più importanti richiesti dal GDPR, usandoli a nostro vantaggio. Un pomeriggio intenso, pratico e ricco, senza risposte preconfezionate.
4. ● GDPR (e Zombie), come e perché.
Ovvero la notte della privacy vivente
● Il corpus (non proprio inanimato) normativo
europeo e italiano
● Fare marketing e sopravvivere al GDPR
anche senza motosega e fucile a pompa
● Adempimenti legali e buone pratiche:
perché prepararsi al peggio salva sempre (pure dai non-morti)
DI COSA PARLEREMO
almeno a grandi linee, che tre ore sono tante
5. GDPR (e Zombie), come e perché.
Ovvero la notte della privacy vivente
9. 1890 - The Right of Privacy
Le fotografie istantanee e i quotidiani a stampa hanno
invaso il sacro recinto della vita domestica e privata;
e i numerosi dispositivi meccanici minacciano che
si avveri la profezia 'quel che si è sussurrato nel
guardaroba, sarà proclamato dai tetti'
Warren and Brandeis
28. Convenzione 108/81
Scopo della presente Convenzione è
quello di garantire, sul territorio di ogni
Parte, ad ogni persona fisica, qualunque
siano la sua cittadinanza o residenza, il
rispetto dei diritti e delle libertà
fondamentali, ed in particolare del diritto
alla vita privata, nei confronti
dell’elaborazione automatizzata dei dati
di carattere personale che la riguardano.
34. PERCHÉ TANTO MOVIMENTO?
Dalle Brownie agli Smartphone.
È il tentativo, non sempre riuscito, di
reagire al cambiamento frenetico della società.
35. PRINCIPI FONDAMENTALI GDPR
1. Liceità e correttezza
2. Limitazione della finalità
3. Trasparenza
4. Minimizzazione
5. Esattezza
6. Limitazione della conservazione
7. Integrità e riservatezza
36. FIGURE FONDAMENTALI GDPR
Titolare del Trattamento
(Data Controller)
la persona fisica o giuridica, l'autorità pubblica, il
servizio o altro organismo che, singolarmente o
insieme ad altri, determina le finalità e i mezzi del
trattamento di dati personali
37. FIGURE FONDAMENTALI GDPR
Responsabile del Trattamento
(Data Processor)
la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo
che tratta dati per conto del titolare
38. BASI GIURIDICHE E TRATTAMENTO
CONSENSO
NECESSITÀ CONTRATTUALI
OBBLIGHI LEGALI
INTERESSI VITALI
INTERESSE PUBBLICO
LEGITTIMO INTERESSE DEL TITOLARE
42. IL CONSENSO PRE GDPR
Art. 23. Consenso (d.lgs 196/2003)
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello
stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all'interessato le informazioni di
cui all'articolo 13.
44. IL CONSENSO POST GDPR
Art. 4. punto 11
«consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica,
informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto di trattamento;
51. GDPR O NO
Per trattare indirizzi email ai fini
dell’invio massivo di Email
È necessario
raccogliere il consenso
#wmf18
52. Iscrizione newsletter
● Richiesta dell’indirizzo
● Breve spiegazione del
trattamento
● Link all’informativa
● NO CHECKBOX
● Riferimenti alla
disiscrizione
ALCUNI ESEMPI...
53. Minimizzazione dei dati
● Chiediamo solo i dati utili al
trattamento
● Spieghiamo chiaramente per
che scopo stiamo chiedendo
i dati
ALCUNI ESEMPI...
54. Minimizzazione dei dati
● Chiediamo solo i dati utili al
trattamento
● Spieghiamo chiaramente per
che scopo stiamo chiedendo
i dati
ALCUNI ESEMPI...
55. Trattamenti diversi,
Consensi separati
● è possibile chiedere più
consensi con un solo form
● Nessun checkbox
preselezionato
● Breve descrizione del
trattamento
● In caso di profilazione e
automazione, spiegare i
meccanismi
ALCUNI ESEMPI...
57. Iscrizione ad un servizio
● In questo caso c’è un
consenso “obbligato” per
iscriversi al servizio
● Gli altri consensi sono
separati e opzionali
ALCUNI ESEMPI...
58. Iscrizione ad un servizio
● Mai usare le spunte “in
opposizione”: il consenso
deve essere diretto
ALCUNI ESEMPI...
59. Lead Magnet
● Rendere esplicito il
trattamento principale
● Se pubblicizzo il Lead
Magnet, devo poi avere un
consenso separato per il
resto dei trattamenti
ALCUNI ESEMPI...
60. Lead Magnet
● Non si può nascondere i
trattamenti dietro al Lead
magnet
● Se il consenso è “scarica
l’ebook”, allora devo usare i
dati solo per quello
ALCUNI ESEMPI...
61. LEAD MAGNET
Dunque non è possibile usare Lead Magnet?
Sì, ma dobbiamo ribaltare
la comunicazione
62. LEAD MAGNET
Non “scarica subito l’ebook”
e in carattere minuscolo...
ti iscriveremo a qualsiasi genere di newsletter, useremo i tuoi dati su adwords e facebook, li venderemo nel mercato
nero e ti troverai un abbonamento a Focus Storia per 15 anni, oltre a un fornitura a vita di biscotti della fortuna
67. DURATA DEL TRATTAMENTO
… i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto a quanto
necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di
assicurare che il periodo di conservazione dei dati personali sia limitato al minimo
necessario (…). Onde assicurare che i dati personali non siano conservati più a lungo
del necessario, il titolare del trattamento dovrebbe stabilire un termine per la
cancellazione o per la verifica periodica.
Considerando n.39
68. DURATA DEL TRATTAMENTO
Controlli periodici
● Controllo sugli utenti non reattivi
(12 mesi che non apri?)
● Invio ultima email di recupero, con
link per conferma consenso
● Cancellazione degli utenti che non
hanno risposto
(a cuor leggero!)
69. E I VECCHI DATABASE (PRE GDPR)?
oppure smettiamo di mandarti email.
A parte altre 15 con lo stesso pulsante di conferma.
Ma non più di 15. Giurin giuretta. Dai, 16 al massimo.
Clicca qui per confermare
il tuo consenso
70. E I VECCHI DATABASE (PRE GDPR)?
Articolo 7 - Condizioni per il consenso
Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve
essere in grado di dimostrare che l'interessato ha prestato il proprio consenso
al trattamento dei propri dati personali.
72. E I VECCHI DATABASE (PRE GDPR)?
Art. 23. Consenso (d.lgs 196/2003)
Il consenso è validamente prestato solo se (..) è documentato per iscritto, e se
sono state rese all'interessato le informazioni di cui all'articolo 13.
73. E I VECCHI DATABASE (PRE GDPR)?
Avevo
raccolto il
consenso?
Posso
documentare
il consenso?
Sono disposto a
qualche rischio?
Cancello i dati!
Pianifico strategia di
adeguamento
Notifico nuova
informativa
Sì
Sì
Sì
No
No
No
74. PROFILAZIONE
«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali
consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali
relativi a una persona fisica, in particolare per analizzare o prevedere aspetti
riguardanti il rendimento professionale, la situazione economica, la salute, le
preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli
spostamenti di detta persona fisica;
75. PROFILAZIONE
Aperture e Clic sono profilazione?
● È un sistema automatizzato che raccoglie
dati su preferenze e comportamenti di un
singolo utente
● Questi dati possono essere utilizzati per
segmentare e profilare
● Quindi sì, sono plausibilmente
assimilabili alla profilazione
76. PROFILAZIONE
Art. 13. Informazioni da fornire
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di
cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative
sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale
trattamento per l'interessato.
80. PROFILAZIONE
Art. 16 Bozza E-privacy
Where a natural or legal person obtains electronic contact details for electronic
mail message from its customer end-users who are natural persons, in the context
of the sale of a product or a service, in accordance with Regulation (EU) 2016/679,
that natural or legal person may use these electronic contact details for direct
marketing of its own similar products or services only if customers such end-users
are clearly and distinctly given the opportunity to object, free of charge and in an
easy manner, to such use.
81. I CASI PARTICOLARI
Sì, è possibile
Con un po’ di attenzione e senza strafare
(e ricordando che l’e-privacy è solo una bozza)
85. Headquarters:
Via Speranza 35/A - 40068
San Lazzaro di Savena (BO)
Sede Legale:
Via Bellacosta 26 - 40137
Bologna, Italia
UK Office:
24 St Leonard's Rd. EX2 4LA
Exeter, England
Canada Office:
T2P1J3, Downtown, West End.
Calgary, Alberta