[#2 parte] Data protection: 10 falsi miti nel nostro settore

Eccoci al secondo appuntamento dedicato ai falsi miti più comuni in tema di Data protection nel settore del digital marketing.

Oggi ci concentreremo su email aziendale, data breach e testo di nomina.

Share
Condividi su linkedin
Condividi su twitter
Condividi su facebook
Data Protection MagNews

I cookies analitici di terza parte non trattano dati personali perché gli indirizzi IP sono anonimizzati

Nella gestione legale dei cookie analitici di terza parte (pensate ad esempio a Google Analytics), vi sarà forse capitato di venire rassicurati dai tecnici sul fatto che è previsto un “mascheramento” dell’indirizzo IP e dunque i dati personali sarebbero anonimizzati, con conseguente possibilità di attivazione di questi cookie di default, senza un preventivo consenso dell’utente alla loro attivazione. 

In realtà, quando un sito utilizza cookie di terza parte, non è sufficiente il solo mascheramento dell’IP (o l’adozione di altri strumenti che riducono il potere identificativo dei cookies) in quanto occorre anche concludere un accordo con la terza parte (ad esempio Google) mediante cui questa si impegni contrattualmente a utilizzare i cookies esclusivamente per la fornitura del servizio e a non incrociare le informazioni contenute nei cookies con quelle di cui già dispone. Nel caso in cui la terza parte sia Google, potete trovare l’apposito emendamento sull’elaborazione di dati a questo link.

L’indirizzo e-mail aziendale non è un dato personale

Nonostante siano intervenuti negli anni già diversi chiarimenti al riguardo, tutt’oggi può accadere di sentir dire che l’indirizzo e-mail con dominio aziendale non è un dato personale in quanto fa capo ad una persona giuridica (azienda).

In realtà, la questione è stata da tempo chiarita dalle autorità competenti. A livello nazionale, si richiama la posizione espressa dal Garante Privacy nelle Linee guida in materia di attività promozionale e contrasto allo spam, secondo cui l’indirizzo di posta elettronica aziendale di un dipendente contenente le generalità del medesimo (ad esempio, nome.cognome@___) va considerato indirizzo “personale” di posta elettronica e il rispettivo assegnatario come “interessato”, con la conseguente applicabilità della normativa e delle tutele in materia di protezione dei dati personali. A livello europeo, in senso conforme, si richiamano i pareri n. 4/1997 e n. 5/2004 del Gruppo Art. 29 nonché la posizione più recentemente espressa dalla Commissione Europea (cfr. Answer given by Ms Jourová on behalf of the Commission, 21 February 2018, Question reference: E-007174/2017).

Il tempo impiegato dal Responsabile per notificare il Data Breach al Titolare riduce il tempo assegnato al Titolare per la notifica all’Autorità Garante

In fase di negoziazione dei Data Processing Agreement, alcuni Titolari del trattamento sostengono che le ore riconosciute al Responsabile per notificare loro un data breach vadano a consumare il termine di 72 ore riconosciuto dalla legge al Titolare per la notifica della violazione all’Autorità Garante.

In realtà, al riguardo, il GDPR si limita a prevedere che << Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione >> (art. 33 (2)). Vengono invece fornite indicazioni più dettagliate dalle Linee Guida del WP29 in materia di Data Breach, secondo cui << (…) in principle, the controller should be considered as “aware” once the processor has informed it of the breach.>> e dunque il termine di 72 ore per l’eventuale notifica all’autorità decorrerebbe dal momento in cui il Responsabile comunica la violazione al Titolare. Naturalmente, Titolare e Responsabile del trattamento potranno definire nel contratto il termine massimo assegnato al Responsabile per la notifica della violazione al Titolare, tenendo in debita considerazione l’estensione della catena di sub-fornitura.

Vuoi approfondire il tema del data breach? Abbiamo pubblicato un nuovo contenuto sull’argomento:

Il diritto all’oblio comporta l’obbligo di cancellare immediatamente tutti i dati personali di quel soggetto

Dinanzi ad una richiesta di cancellazione dei dati formulata ai sensi dell’art. 17 GDPR, la prima reazione di molti Titolari è quella di cancellare immediatamente ogni dato personale riferibile all’interessato richiedente.

In realtà, prima di procedere alla cancellazione, occorre mappare con precisione i dati personali del soggetto in proprio possesso e comunicati a ulteriori destinatari, quindi verificare se ricorrono i presupposti normativi per procedere alla cancellazione totale o parziale dei medesimi. Il diritto all’oblio non è infatti un diritto assoluto, ma può essere esercitato nei casi previsti dalla normativa. Oltre a ciò, occorre prestare attenzione a non confondere la mera cancellazione “logica” del dato dai sistemi con una vera e propria cancellazione fisica dello stesso: molte applicazioni si limitano a effettuare una cancellazione logica prevedendo una funzionalità come il “cestino” che consente di poter recuperare ancora il dato, oppure mantengono i dati comportamentali del soggetto anche successivamente alla “apparente” cancellazione degli stessi. Attenzione dunque ad operare una cancellazione effettiva e completa del dato, sia a livello logico che fisico.

Spetta al Titolare decidere quale testo di Nomina utilizzare

Chi di voi ricopre, limitatamente ad uno o più trattamenti, il ruolo di Responsabile, probabilmente avrà ricevuto indicazione dal Titolare di procedere alla sottoscrizione del proprio testo di Nomina perché sarebbe il Titolare, in quanto tale, ad avere il diritto di imporre il proprio documento contrattuale.

In realtà, si tratta di un’impostazione che deriva dal vecchio testo del Codice Privacy secondo cui era il Titolare a designare unilateralmente il Responsabile mediante un documento che veniva coerentemente denominato “Nomina”. Con l’applicazione del GDPR, l’art. 28 (3) dello stesso ha riformato il punto prevedendo che << I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, (…) >>. La Nomina a Responsabile è quindi oggi un vero e proprio documento contrattuale, nel quale vengono riflesse le istruzioni del Titolare e il cui contenuto viene definito congiuntamente tra le parti. Nel caso in cui la fornitura comporti un trattamento di dati mediante l’erogazione di servizi complessi e articolati, potrebbe dunque essere proficuo per entrambe le parti avviare un confronto a partire dal testo proposto dal Responsabile, il quale avrà probabilmente “cucito su misura” il contratto rispetto alle caratteristiche tecniche del servizio erogato.

Come sempre, se avete altri falsi miti che volete condividere con noi, scriveteci ad marketing@diennea.com. La vostra esperienza potrebbe diventare oggetto di un nuovo approfondimento a beneficio di tutti i colleghi del settore.

* Il presente articolo non costituisce in alcun modo consulenza legale.