Articoli e news

Violazione del GDPR, record di sanzioni: la vostra mailing list è in regola?

Il Diritto alla Privacy è un diritto fondamentale dell’individuo alla protezione dei dati personali sancito dalla Carta dei Diritti fondamentali dell’Unione europea (art. 8). Con questo si intende il diritto alla riservatezza e alla privacy sulla vita

privata di un individuo. Da quando esiste il World Wide Web, tale diritto è messo costantemente alla prova dalla messa in rete di dati di miliardi di utenti, per scopi professionali o per diletto. Siamo in regola o passibili di sanzioni?

Il 30 gennaio 2024 Il Sole 24 Ore intitolava: “Privacy, nel 2023 record di sanzioni dai Garante di tutta Europa”. Valeria Uva in questo articolo racconta che quello appena passato è stato un anno record per le sanzioni a tutela della privacy: 1,78 miliardi di euro, + 14% rispetto al 2022. Il podio spetta a Meta per violazioni sul trasferimento dei dati personali verso paesi terzi. Facciamo riferimento al valore assoluto delle sanzioni emesse in quanto il nostro paese, l’Italia, ha in realtà assegnato molte più multe che L’Irlanda e altri paesi in termini di quantità.

Per capire da dove arrivano tutte queste violazioni è il caso di riprendere in mano la funzione del GDPR, nato per l’appunto per tutelare la privacy degli utenti.

GDPR o General Data Protection Regulation è il regolamento dell’Unione Europea numero 679 del 2016 entrato in vigore il 25 maggio 2018 nell’ambito del regolamento comunitario: una norma immediatamente applicata su tutto il territorio dell’Unione Europea che in Italia è stato armonizzato al precedente decreto legislativo 196/2003 noto come Codice Privacy.

Legittimità del trattamento dei dati

Il GDPR dice che il trattamento dei dati di un utente privato è legittimo quando esiste una base giuridica, che rientra nelle condizioni indicate dal relativo articolo 6:

L’individuo ha espresso il consenso libero, specifico, informato e inequivocabile a trattare i suoi dati per una o più specifiche finalità (invio newsletter, catalogo prodotti, informative promozionali etc.)
Per l’esecuzione di un contratto
Per un obbligo di legge
Per interesse vitale
Per interesse pubblico
Per legittimo interesse

Tali condizioni rendono obbligatoria un’informativa specifica, come minimo il banner di ogni sito per autorizzare l’uso dei famosi cookies.

Diritto alla Privacy: chi l’ha violata?

Ecco alcuni dei casi che negli ultimi mesi hanno sollevato maggiore clamore e che possono essere un monito per la cattiva gestione dei dati.

Multa di 200.000 euro a un sito di dating: violati i dati di 1 milione di iscritti

(gpdp.it, 14 febbraio 2024)

La registrazione alla piattaforma di incontri (5 milioni di iscritti in tutto il mondo), prevedeva l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e foto, senza che venisse fornita un’adeguata informativa sull’uso che di quegli stessi dati e materiali. L’informativa, presente sulla piattaforma, non indicava gli ulteriori trattamenti dei dati effettuati dalla piattaforma, né informazioni sulla possibilità di esercitare i diritti previsti dalla normativa Privacy, come ad esempio un reclamo al Garante.

Violazione delle norme sui cookie, la CNIL sanzione un’azienda di pagamenti online: cosa impariamo

(cybersecurity360.it, 12 gennaio 2024)

Questa volta è la Francia ad intervenire con la sua l’Autorità Garante Privacy francese (CNIL). La sanzione ammonta a 105 milioni di euro nei confronti della società “NS Cards France” che permette di fare pagamenti online. La società non ha rispettato del GDPR:

il periodo di conservazione dei dati (data retention)
delle informazioni personali
la sicurezza dei dati
a cui si aggiunge la violazione sulla normativa di cookie e tracker

Scopri il database dei giornalisti italiani ed internazionali più accurato al mondo!

Usa solo contatti sempre aggiornati e in regola col GDPR

Scegli i giornalisti che vuoi raggiungere e salva le tue liste

Invia con facilità i tuoi comunicati e ottieni più attenzione!

La tua Mailing List è in regola con il GDPR?

Oltre a siti, cronaca e Social Network, è passibile di sanzioni per il trattamento dei dati non conforme al GDPR, anche lo strumento principe degli uffici stampa: la mailing list.

Non è raro che uffici stampa e agenzie di comunicazione sottovalutino la questione della privacy e la normativa GDPR. Come abbiamo appena visto, la questione è sotto i riflettori dei Garanti europei e può e può tramutare un una, la mailing list, da grande risorsa a danno economico e di immagine.

Per prima cosa dobbiamo chiederci: da dove viene la lista contatti che utilizziamo? Il consenso a ricevere comunicazioni è esplicito e documentabile? Ma soprattutto, questi dati sono protetti in modo idoneo?

Ecco che sistemi e partner fanno la differenza: la fiducia non può fondarsi su una stretta di mano, serve qualcosa di ben più solido, come una certificazione ISO.

Con lo scoppio della pandemia e l’esplosione della presenza online degli utenti, i cyber attacchi sono aumentati. Per questo Mediaddress ha reputato importante documentare la qualità dei suoi servizi con la certificazione ISO 27001. Questa certificazione si traduce in database sicuri e in una gestione puntuale delle informazioni che gli uffici stampa condividono con Mediaddress:

informazioni amministrative
dati personali
contatti di testate e giornalisti
note e informazioni
liste salvate e campagne di invio
report delle campagne

E se da una parte ci sono le sanzioni previste per chi non è conforme al GDPR, dall’altra c’è il rischio che le mailing list vadano perse, magari alla vigilia di un lancio importante, o vengano sottratte da pirati informatici.

Come inviare un comunicato stampa in modo sicuro

Il primo passaggio è stabilire l’area di competenza della Pubblica Amministrazione o dell’azienda, per accertarsi che il consenso all’invio di comunicati stampa sia in linea con quello dichiarato nell’informativa fornita al momento della raccolta dei dati.

La comunicazione da inoltrare alla lista di contatti di giornalisti nel proprio database è legittimata dal tipo di consenso ricevuto dai singoli giornalisti? Non è più necessario da tempo il consenso scritto, ma va dimostrato di aver ricevuto il contatto mail del giornalista con il suo consenso, documentando ad esempio la data in cui lo stesso ha fornito il proprio biglietto da visita.

Un’altra modalità per tutelare la PA in merito al rispetto della privacy così come richiesto dall’Unione Europea, è avvalersi di realtà esterne che abbiano un database aggiornato e in regola con il GDPR.

Scegliere una banca dati: verificare che sia in regola

La prima cosa da verificare per capire se una banca dati è in regola con il GDPR, è controllare il sito della stessa. Il fatto che l’informativa sia pubblicata in chiaro sul sito dell’azienda-database a cui ci rivolgiamo, è indice di attenzione e maturità nei confronti delle regole del regolamento europeo: questo perché mette in condizione l’azienda di fare le dovute verifiche sulla messa in regola del database a cui attinge, e al singolo giornalista di verificare a che scopo vengono utilizzati i propri dati.

Da ricordare che il GDPR tutela la persona fisica e non l’azienda. Questa specifica è importante per mettere a fuoco quali sono i dati da trattare con attenzione.

Chi è responsabile dei dati raccolti?

Chi raccoglie i dati è anche responsabile dei dati stessi. Molto importante è anche il sistema informatico dove viene conservato il dato, che deve essere sicuro, ovvero protetto da eventuali violazioni.

L’aggiornamento dei dati

Il responsabile dei dati deve inoltre garantire l’aggiornamento degli stessi: i dati devono essere corretti, e se un giornalista chiede di essere eliminato da tale lista, deve essere tempestivamente rimosso.

Le sanzioni

Le sanzioni sono molto alte per chi viola le il GDPR: dai 10 milioni di euro al 2% del fatturato dell’anno precedente, oppure dai 20 milioni di euro al 4% del fatturato dell’anno precedente. Le sanzioni amministrative vengono applicate al responsabile dei dati stessi, nell’eventualità che sia stato un ufficio stampa interno a utilizzare in maniera non corretta i dati, sarà poi il responsabile dei dati ad avanzare una rivalsa su questo.

Quando un’azienda si appoggia a un’agenzia di comunicazione, ha comunque l’obbligo di vigilare sul fatto che la mailing list messa a disposizione risponda alle richieste fatte dall’azienda (ad esempio inviare un comunicato ai giornalisti sportivi), e che gli indirizzi nel database abbiano dato consenso esattamente per ricevere quel tipo di comunicazione.

Il consenso: marketing vs comunicazione

Le comunicazioni di marketing sono diverse dai comunicati stampa e non sono intercambiabili a livello di consenso: le prime necessitano sempre del consenso. Alla luce di ciò, si devono inoltre creare le condizioni per la cancellazione dal database con la stessa facilità con cui l’utente si è iscritto: ogni newsletter deve contenere l’unsubscribe. Anche nel caso dei comunicati stampa, che non devono contenere messaggi commerciali o promozionali, l’utente deve comunque potersi disiscrivere dalla mailing list.

In conclusione

Dati e contatti sono un patrimonio, e lo sono per ogni singola azienda o ufficio stampa, piccolo o grande, per monitorare utenti e giornalisti, e calibrare le strategie nel mare magnum della concorrenza.

La tutela dei dati è oggi conditio sine qua non e il GDPR definisce i binari su cui muoversi per l’utilizzo dei contatti raccolti.

Una mailing list non in regola, è inutilizzabile e potenziale causa di gravi sanzioni pecuniarie. Ecco perché affidarsi a una banca dati aggiornata e 100% in regola con il GDPR è imprescindibile.

Tags:

PR (18)

Condividi l’articolo: