One Continent, One Law: è questo lo slogan con cui Vivian Reding, Vice Presidente della Commissione europea, ha descritto e sintetizzato l’approccio del nuovo regolamento europeo sulla protezione dei dati personali, approvato lo scorso aprile (leggi qui l’analisi dettagliata del provvedimento).
Il nuovo testo normativo paneuropeo si pone come strumento necessario per la regolamentazione di un mercato unico digitale.
Come cambiano i diritti degli utenti?
Il trattamento e la tutela dei dati personali e il concetto di privacy sono il cuore del nuovo regolamento. I diritti degli utenti escono infatti rafforzati da una riforma che conferisce al singolo utente un controllo maggiore sui propri dati, attraverso una serie di punti chiave:
- necessità di esplicito consenso dell’interessato al trattamento dei dati personali
- accesso facilitato dell’utente ai propri dati personali
- diritto alla rettifica, alla cancellazione e all’oblio
- diritto di obiezione (anche in merito all’uso dei dati per fini di profilazione)
- diritto di portabilità dei dati da un prestatore di servizi a un altro
Non solo: i responsabili del trattamento dei dati sono ora obbligati a fornire informazioni facilmente accessibili e chiaramente comprensibili in merito al trattamento delle informazioni personali riguardanti l’utente.
Ode alla velocità. E il consenso diventa meno formale
Il nuovo regolamento europeo sulla protezione dei dati cambia anche l’approccio relativo all’acquisizione del consenso e alle attività di profilazione svolte da chi gestisce i dati con finalità di comunicazione commerciale. Il testo normativo, infatti, cancella il riferimento al carattere esplicito del consenso e permette quindi agli interessati di cogliere interessanti opportunità. Tradizionalmente, infatti, nell’e-mail marketing il consenso era ritenuto valido solo se formulato espressamente attraverso una esplicita dichiarazione e comprovato tramite il sistema di opt-in (in uso nel nostro Paese dal 1997). Il nuovo testo normativo modifica sostanzialmente questo criterio, abbandonando l’approccio strettamente formale del passato; il testo della riforma europea lascia spazio a un tacito consenso (che si può evincere da quelli che nel diritto vengono chiamati comportamenti concludenti). Un esempio? Sarà capitato a ognuno, navigando online, di cliccare “accetto” su un banner relativo all’uso dei cookie visualizzato sulla homepage di questo o quel sito. In quel momento, con un semplice clic sul banner dell’informativa, abbiamo fornito il consenso all’utilizzo dei cookie. E per quanto riguarda l’e-mail marketing? Se durante un evento un visitatore consegna il proprio biglietto da visita a un’azienda e viene prontamente informato da quest’ultima circa la possibilità di essere contattato per l’invio informazioni commerciali, il consenso è da considerare valido.
“La relazione con il consumatore oggi è quanto mai strategica – spiega Nazzareno Gorni, Cio di MailUp -. Ci vuole massima trasparenza e conoscenza dei mezzi e delle normative. È vietato inviare messaggi a indirizzi presi da elenchi pubblici oppure comprati. Anche gli elenchi professionali non si possono utilizzare: il consenso preventivo è d’obbligo. I consumatori oggi sono sempre più attenti e informati e anche per questo bisogna puntare su comunicazioni personalizzate. Il compito del marketer è quello di creare dei messaggi che siano rilevanti e costruiti a misura di destinatario, che così riconosce il valore della comunicazione. Questa è una strategia che abbiamo disegnato da anni: non a caso il pay off di MailUp è proprio Be Relevant!”
Cambia il criterio di profilazione
Il nuovo testo definisce l’attività di profilazione come l’analisi di dati cui fa seguito un’azione automatica che non richiede l’intervento dell’uomo. Ciò significa che l’analisi con strumenti informatici, l’elaborazione e la valutazione preventiva dei dati presenti nel proprio database effettuata da una persona (per adattare e verificare le informazioni prima del loro utilizzo) non rientrano nella definizione di profilazione. In questi casi, dunque, la riforma non stabilisce l’obbligo di ottenere un consenso specifico per svolgere l’attività.