OSSERVATORIO VECOMP

Marketing e legittimo interesse: solo per il Soft Spam
I trattamenti per finalità di marketing sono leciti unicamente dopo aver acquisito un valido consenso. Solo con il Soft Spam può essere invocata la base giuridica del legittimo interesse.
Tre provvedimenti del Garante (Provvedimenti del 25 novembre 2021 [9737185], [9736961], [9738356]) si occupano dell’uso di liste condensate nel marketing. Per tutti questi casi si richiama il principio per cui chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Solo in caso di invio di offerte commerciali riguardanti un bene o un servizio già acquistato (Soft Spam), è possibile invocare il legittimo interesse.
 
Data: 25 novembre 2021
Fonte: Garante
 

Pubblicato il Registro dei Codici di condotta
I codici di condotta rappresentano strumenti di grande importanza ai fini della corretta applicazione del GDPR. Ogni Autorità garante che approva un codice di condotta deve registrarlo e pubblicarlo.
Il Registro è disponibile alla pagina: www.gpdp.it/codici-di-condotta.
Raccoglie tutti i codici di condotta nazionali e transnazionali approvati, contiene gli elementi essenziali per rendere immediatamente visibile all’utente la tipologia dei trattamenti di dati personali regolati da tali codici e anche un link che rinvia al sito web dell’Organismo di monitoraggio, al quale gli utenti possono rivolgersi per la risoluzione di eventuali reclami.
 
Data: 21 gennaio 2022
Registro

Sono sanzionabili gli over 50 non vaccinati?
Il parere favorevole del Garante
Con Comunicato Stampa del 18 febbraio 2022, il Garante ha reso noto di avere emesso un parere favorevole relativamente allo schema di decreto concernente Modifiche al decreto del Presidente del Consiglio dei Ministri del 17 giugno 2021, recante Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, "Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”.
 
Data: 18 febbraio 2022
Fonte: Comunicato stampa
 

HISTORIES

Olanda: multa del Garante per eccesso di zelo!
La raccolta dei dati personali deve essere proporzionata, anche nei confronti dei dati dei clienti.
La scasa editrice olandese DPG Media, è stata sanzionata per € 525.000 in quanto adottava come procedura aziendale la richiesta della Carta di identità dei clienti come prova della veridicità dei dati rilasciati. Tale pratica aveva causato numerosi reclami pervenuti all’Autorità Garante Olandese tra maggio 2018 e gennaio 2019.
Il Garante ha giudicato questa procedura "impeditiva" e "sproporzionata rispetto alla natura e alla quantità di dati personali" raccolti, che peraltro, anche se fosse stata ritenuta lecita, avrebbe richiesto di attuare tutte le misure di sicurezza tecniche e organizzative necessarie per conformarsi all'articolo 32 del Regolamento Ue 2016/679. Per tali motivi è stata considerata e sanzionata come una “grave violazione” della privacy.

Data: 14 gennaio 2022
Fonti: Autoriteit Persoonsgegevens - Federprivacy
 

IL CASO

Cos'è il Disaster Recovery Plan e a cosa serve?
Con Disaster Recovery si intende un ripristino di emergenza che viene effettuato dopo che si è verificata una grave perdita di dati, ovvero il tempo e il lavoro necessari per ritornare attivi e operativi dopo una catastrofe di questo genere (che si tratti di un evento naturale o di un attacco con scopi criminali).
Per le aziende, quindi, il Disaster Recovery Plan è indispensabile per definire i possibili livelli di disastro, identificare le potenziali criticità di un sistema e individuare quali livelli sono cruciali per la salvaguardia del business. Il piano, inoltre, stabilisce le misure di sicurezza e le azioni da intraprendere in caso di incidente per ripristinare correttamente i sistemi.
La domanda più importante è: cosa succede alle aziende che sono colpite da un danno di questo tipo e quanto spesso accade? Secondo le più recenti statistiche disponibili, il 93% delle aziende senza disaster recovery, è fuori mercato entro un anno dopo aver subito il danno. Un solo attacco ransomware può eliminare anni di dati e mettere in pericolo un'azienda in breve tempo.
 

DOMANDE E RISPOSTE

È possibile che esistano dei “contitolari” dei dati?
Sì. La normativa prevede questa figura. In particolare, il GDPR dedica a questa tipologia di titolari del trattamento l’articolo 26.
 
Il double-opt in è ancora raccomandato?
Il double opt-in prevede un doppio step di conferma, da parte dell’utente, circa la volontà di ricevere le comunicazioni. Non è un meccanismo legalmente obbligatorio, ma è certamente un meccanismo virtuoso: assolutamente raccomandato.
 
I dati sensibili devono essere criptati?
Il GDPR non prevede un obbligo assoluto in tal senso. Le misure di sicurezza da adottare sono quelle previste dall’art. 32 del Regolamento 2016/679, 
 
Chi definisce la data di scadenza dei dati? E come stabilire se sono diventati obsoleti?
È obbligo del titolare del trattamento e dei suoi responsabili stabilire i tempi di conservazione dei dati. Non ci sono al momento indicazioni vincolanti. La normativa si limita a dire che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento.
Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi.
 
Cosa fare dei dati scaduti?
Vanno cancellati o in alternativa resi anonimi in modo irreversibile, per essere usati al fine di svolgere analisi aggregate.