General Data Protection Regulation: di cosa si tratta?
Entrato in vigore il 25 maggio 2018, è il nuovo regolamento comunitario sul trattamento dei dati: la General Data Protection Regulation – reso con l’acronimo GDPR.
Questo documento, unico e identico per tutti i Paesi della Comunità Europea, è la nuova normativa che ha l’obiettivo di definire un nuovo quadro comune all’interno del territorio europeo in materia di tutela dei dati personali, e favorire la circolazione sicura dei dati personali.
Questo atto legislativo prevale sulle leggi degli Stati membri, eventualmente incompatibili o in contrasto con esso, in forza del principio del primato del diritto europeo su quello nazionale.
La particolarità di questo Regolamento è che non si concentra sulla privacy dell’utente, ma tratta la Data Protection, cioè la riservatezza e la conservazione corretta dei dati di persone fisiche – non di aziende ed enti.
Cambiano anche le figure legate alla gestione dei dati: oltre al Titolare e al Responsabile del trattamento dei dati, nascono il Data Protection Officer (DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti, e il Registro trattamento dati, dove devono essere registrati cronologicamente tutti i più importanti atti relativi a database aziendali e data protection.
GDPR: cosa cambia per chi organizza eventi?
Questa nuova normativa impone agli organizzatori di eventi un nuovo modo di gestire i dati necessari per le iscrizioni agli eventi, per la loro promozione e per le attività di marketing:
- Per le iscrizioni a congressi ed eventi non è più necessario avere un consenso espresso per la gestione dei dati del partecipante: il semplice fatto di iscriversi autonomamente e volontariamente è espressione di un segnale positivo e inequivocabile, e di conseguenza è l’autorizzazione implicita ad utilizzare i dati personali per l’iscrizione. Rimane necessario, però, che l’informativa sul trattamento dei dati sia disponibile e che ci sia un flag che confermi di aver preso visione della stessa.
- Per promuovere eventi futuri, invece – purché siano della stessa linea scientifica o commerciale – non è necessaria alcuna esplicita autorizzazione o consenso preventivo, ma sarà invece necessaria nel caso si voglia usare i dati dell’iscrizione per promuovere eventi di altri settori, eventi commerciali, o cedere i dati a terzi e/o aziende commerciali.
- Per gestire database già in nostro possesso, non bisogna fare nulla in particolare, se non inviare una mail con la nostra informativa aggiornata e conforme alle nuove norme.
- Se invece un’associazione o un cliente mette a disposizione un database da utilizzare per promuovere un evento, bisogna preventivamente confermare la correttezza e la legittimità dei dati acquisiti, essere poi nominati Responsabile del trattamento dei dati, e infine definire in un contratto le regole e i limiti di utilizzo.
Per quanto riguarda invece i dati disponibili su internet, nel caso in cui il soggetto individuato sia potenzialmente e professionalmente interessato alla comunicazione da inviare, l’uso è legittimo. Sarà però necessario allegare, o linkare, l’informativa per il trattamento dei dati e inserire un disclaimer in cui si comunica che il dato è stato recuperato da Internet, dando la possibilità di cancellare la propria iscrizione alla mail list e non ricevere più ulteriori comunicazioni via e-mail, unsubscribe.