Articoli e news
Violazione del GDPR, record di sanzioni: la vostra mailing list è in regola?
Il Diritto alla Privacy è un diritto fondamentale dell’individuo alla protezione dei dati personali sancito dalla Carta dei Diritti fondamentali dell’Unione europea (art. 8). Con questo si intende il diritto alla riservatezza e alla privacy sulla vita
privata di un individuo. Da quando esiste il World Wide Web, tale diritto è messo costantemente alla prova dalla messa in rete di dati di miliardi di utenti, per scopi professionali o per diletto. Siamo in regola o passibili di sanzioni?
Il 30 gennaio 2024 Il Sole 24 Ore intitolava: “Privacy, nel 2023 record di sanzioni dai Garante di tutta Europa”. Valeria Uva in questo articolo racconta che quello appena passato è stato un anno record per le sanzioni a tutela della privacy: 1,78 miliardi di euro, + 14% rispetto al 2022. Il podio spetta a Meta per violazioni sul trasferimento dei dati personali verso paesi terzi. Facciamo riferimento al valore assoluto delle sanzioni emesse in quanto il nostro paese, l’Italia, ha in realtà assegnato molte più multe che L’Irlanda e altri paesi in termini di quantità.
Per capire da dove arrivano tutte queste violazioni è il caso di riprendere in mano la funzione del GDPR, nato per l’appunto per tutelare la privacy degli utenti.
GDPR o General Data Protection Regulation è il regolamento dell’Unione Europea numero 679 del 2016 entrato in vigore il 25 maggio 2018 nell’ambito del regolamento comunitario: una norma immediatamente applicata su tutto il territorio dell’Unione Europea che in Italia è stato armonizzato al precedente decreto legislativo 196/2003 noto come Codice Privacy.
Legittimità del trattamento dei dati
Il GDPR dice che il trattamento dei dati di un utente privato è legittimo quando esiste una base giuridica, che rientra nelle condizioni indicate dal relativo articolo 6:
- L’individuo ha espresso il consenso libero, specifico, informato e inequivocabile a trattare i suoi dati per una o più specifiche finalità (invio newsletter, catalogo prodotti, informative promozionali etc.)
Per l’esecuzione di un contratto
Per un obbligo di legge
Per interesse vitale
Per interesse pubblico
Per legittimo interesse
Tali condizioni rendono obbligatoria un’informativa specifica, come minimo il banner di ogni sito per autorizzare l’uso dei famosi cookies.
Diritto alla Privacy: chi l’ha violata?
Ecco alcuni dei casi che negli ultimi mesi hanno sollevato maggiore clamore e che possono essere un monito per la cattiva gestione dei dati.
Multa di 200.000 euro a un sito di dating: violati i dati di 1 milione di iscritti
La registrazione alla piattaforma di incontri (5 milioni di iscritti in tutto il mondo), prevedeva l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e foto, senza che venisse fornita un’adeguata informativa sull’uso che di quegli stessi dati e materiali. L’informativa, presente sulla piattaforma, non indicava gli ulteriori trattamenti dei dati effettuati dalla piattaforma, né informazioni sulla possibilità di esercitare i diritti previsti dalla normativa Privacy, come ad esempio un reclamo al Garante.
Violazione delle norme sui cookie, la CNIL sanzione un’azienda di pagamenti online: cosa impariamo
(cybersecurity360.it, 12 gennaio 2024)
Questa volta è la Francia ad intervenire con la sua l’Autorità Garante Privacy francese (CNIL). La sanzione ammonta a 105 milioni di euro nei confronti della società “NS Cards France” che permette di fare pagamenti online. La società non ha rispettato del GDPR:
- il periodo di conservazione dei dati (data retention)
- delle informazioni personali
- la sicurezza dei dati
- a cui si aggiunge la violazione sulla normativa di cookie e tracker
Scopri il database dei giornalisti italiani ed internazionali più accurato al mondo!
La tua Mailing List è in regola con il GDPR?
Oltre a siti, cronaca e Social Network, è passibile di sanzioni per il trattamento dei dati non conforme al GDPR, anche lo strumento principe degli uffici stampa: la mailing list.
Non è raro che uffici stampa e agenzie di comunicazione sottovalutino la questione della privacy e la normativa GDPR. Come abbiamo appena visto, la questione è sotto i riflettori dei Garanti europei e può e può tramutare un una, la mailing list, da grande risorsa a danno economico e di immagine.
Per prima cosa dobbiamo chiederci: da dove viene la lista contatti che utilizziamo? Il consenso a ricevere comunicazioni è esplicito e documentabile? Ma soprattutto, questi dati sono protetti in modo idoneo?
Ecco che sistemi e partner fanno la differenza: la fiducia non può fondarsi su una stretta di mano, serve qualcosa di ben più solido, come una certificazione ISO.
Con lo scoppio della pandemia e l’esplosione della presenza online degli utenti, i cyber attacchi sono aumentati. Per questo Mediaddress ha reputato importante documentare la qualità dei suoi servizi con la certificazione ISO 27001. Questa certificazione si traduce in database sicuri e in una gestione puntuale delle informazioni che gli uffici stampa condividono con Mediaddress:
- informazioni amministrative
- dati personali
- contatti di testate e giornalisti
- note e informazioni
- liste salvate e campagne di invio
- report delle campagne
E se da una parte ci sono le sanzioni previste per chi non è conforme al GDPR, dall’altra c’è il rischio che le mailing list vadano perse, magari alla vigilia di un lancio importante, o vengano sottratte da pirati informatici.
Come inviare un comunicato stampa in modo sicuro
Il primo passaggio è stabilire l’area di competenza della Pubblica Amministrazione o dell’azienda, per accertarsi che il consenso all’invio di comunicati stampa sia in linea con quello dichiarato nell’informativa fornita al momento della raccolta dei dati.
La comunicazione da inoltrare alla lista di contatti di giornalisti nel proprio database è legittimata dal tipo di consenso ricevuto dai singoli giornalisti? Non è più necessario da tempo il consenso scritto, ma va dimostrato di aver ricevuto il contatto mail del giornalista con il suo consenso, documentando ad esempio la data in cui lo stesso ha fornito il proprio biglietto da visita.
Un’altra modalità per tutelare la PA in merito al rispetto della privacy così come richiesto dall’Unione Europea, è avvalersi di realtà esterne che abbiano un database aggiornato e in regola con il GDPR.
Scegliere una banca dati: verificare che sia in regola
La prima cosa da verificare per capire se una banca dati è in regola con il GDPR, è controllare il sito della stessa. Il fatto che l’informativa sia pubblicata in chiaro sul sito dell’azienda-database a cui ci rivolgiamo, è indice di attenzione e maturità nei confronti delle regole del regolamento europeo: questo perché mette in condizione l’azienda di fare le dovute verifiche sulla messa in regola del database a cui attinge, e al singolo giornalista di verificare a che scopo vengono utilizzati i propri dati.
Da ricordare che il GDPR tutela la persona fisica e non l’azienda. Questa specifica è importante per mettere a fuoco quali sono i dati da trattare con attenzione.
Chi è responsabile dei dati raccolti?
Chi raccoglie i dati è anche responsabile dei dati stessi. Molto importante è anche il sistema informatico dove viene conservato il dato, che deve essere sicuro, ovvero protetto da eventuali violazioni.
L’aggiornamento dei dati
Il responsabile dei dati deve inoltre garantire l’aggiornamento degli stessi: i dati devono essere corretti, e se un giornalista chiede di essere eliminato da tale lista, deve essere tempestivamente rimosso.
Le sanzioni
Le sanzioni sono molto alte per chi viola le il GDPR: dai 10 milioni di euro al 2% del fatturato dell’anno precedente, oppure dai 20 milioni di euro al 4% del fatturato dell’anno precedente. Le sanzioni amministrative vengono applicate al responsabile dei dati stessi, nell’eventualità che sia stato un ufficio stampa interno a utilizzare in maniera non corretta i dati, sarà poi il responsabile dei dati ad avanzare una rivalsa su questo.
Quando un’azienda si appoggia a un’agenzia di comunicazione, ha comunque l’obbligo di vigilare sul fatto che la mailing list messa a disposizione risponda alle richieste fatte dall’azienda (ad esempio inviare un comunicato ai giornalisti sportivi), e che gli indirizzi nel database abbiano dato consenso esattamente per ricevere quel tipo di comunicazione.
Il consenso: marketing vs comunicazione
Le comunicazioni di marketing sono diverse dai comunicati stampa e non sono intercambiabili a livello di consenso: le prime necessitano sempre del consenso. Alla luce di ciò, si devono inoltre creare le condizioni per la cancellazione dal database con la stessa facilità con cui l’utente si è iscritto: ogni newsletter deve contenere l’unsubscribe. Anche nel caso dei comunicati stampa, che non devono contenere messaggi commerciali o promozionali, l’utente deve comunque potersi disiscrivere dalla mailing list.
In conclusione
Dati e contatti sono un patrimonio, e lo sono per ogni singola azienda o ufficio stampa, piccolo o grande, per monitorare utenti e giornalisti, e calibrare le strategie nel mare magnum della concorrenza.
La tutela dei dati è oggi conditio sine qua non e il GDPR definisce i binari su cui muoversi per l’utilizzo dei contatti raccolti.
Una mailing list non in regola, è inutilizzabile e potenziale causa di gravi sanzioni pecuniarie. Ecco perché affidarsi a una banca dati aggiornata e 100% in regola con il GDPR è imprescindibile.
Barbara Amoroso Donatti
Risorse correlate:
Mediaddress è l’applicazione all in one per la tua attività di ufficio stampa!
Crea le tue liste, componi i comunicati, distribuiscili via email e sull’aggregatore Windpress!
Cecilia Zanasi di Zedcomm: essere trasversali premia il racconto del vino
Intervista a Cecilia Zanasi di Zedcomm: Ispirarsi ad altri settori? Fondamentale per emergere sul mercato del vino.
Scopri Windpress, l’aggregatore di comunicati stampa!
1000 nuovi comunicati ogni giorno e i contatti di 30k protagonisti delle media relations!
Prova gratuitamente Mediaddress!
Accedi a oltre 600k contatti, crea le tue liste, componi e invia i comunicati: provala subito!
- Settimana gratuita
- Demo delle funzionalità
- Listino prezzi
- Consulente dedicato