Scroll Top

Il marketing online e il Regolamento generale sulla protezione dei dati 2016/279 (GDPR)

gdpr

Per i professionisti sanitari che fanno marketing è importante conoscere il GDPR, il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation), al fine di rispettare la privacy degli utenti e prevenire spiacevoli sanzioni. Entrato in vigore dal maggio 2018, il suo scopo è appunto quello di armonizzare la protezione dei dati in tutta Europa e rafforzare i diritti degli interessati nel mondo dei Big Data e delle applicazioni cloud.

Storia del GDPR

Il Regolamento sulla protezione dei dati è stata adottato nell’Unione Europea per la prima volta nel 1995 ed è ufficialmente noto come 95/46/CE. Prevedeva un quadro giuridico internazionale comune sulla base del quale i singoli Stati membri avrebbero dovuto dare vita a uno specifico diritto nazionale.

Tuttavia, a lungo andare le differenze nazionali si sono dimostrate talmente ampie da rendere obsoleta la direttiva sulla protezione dei dati:

In primo luogo, voci critiche hanno sostenuto che il regolamento non rispondeva abbastanza bene alle tecnologie più moderne come i Big Data e il cloud computing. Il motivo è che al momento dell’adozione della direttiva, nel 1995, queste tecnologie non esistevano.
Un ulteriore problema era che l’attuazione del GDPR in alcuni casi differiva in modo sostanziale da uno Stato membro all’altro.

Così, nel 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il nuovo Regolamento Generale sulla Protezione dei Dati EU 2016/279, aggiornato in modo tale da sopperire a tutte le criticità rilevate. La sua attuazione è avvenuta due anni dopo, a partire dal 25 maggio 2018.

Il cambiamento sostanziale e più rilevante è che, a differenza del precedente, il nuovo GDPR si applica direttamente come legge europea senza essere recepito nel diritto nazionale.

Comunque, il regolamento 2016/279 contiene una sessantina di clausole di apertura che conferiscono agli Stati membri la discrezionalità di introdurre disposizioni nazionali per concretizzare, approfondire o chiarire una norma particolare del regolamento. Per esempio, la Germania ha approvato una nuova legge federale sulla protezione dei dati che è entrata in vigore contestualmente al GDPR a maggio 2018.

Di nuovo, a causa del gran numero di clausole di apertura, il più recente regolamento è riuscito solo in parte a standardizzare la protezione dei dati europea, soprattutto perché esistono normative settoriali sia europee sia nazionali che integrano il GDPR, come il regolamento europeo E-Privacy per la privacy nelle comunicazioni elettroniche.

Le novità del GDPR 2016/279

Grazie ai suoi nuovi emendamenti, il Regolamento 2016/279 comporta una serie di cambiamenti, quali: il rafforzamento dei diritti dei consumatori e la protezione dei bambini; la normativa sulla privacy by design e by default; l’ambito di applicazione territoriale delle norme e, infine, sanzioni più elevate per le violazioni della protezione dei dati. Vediamo nel dettaglio ciascuno di questi cambiamenti.

Rafforzamento dei diritti dei consumatori

I consumatori, ovvero le persone fisiche i cui dati personali sono trattati da pubbliche autorità o società, hanno il diritto di avere un accesso facilitato ai propri dati. Ad esempio, hanno il diritto di apprendere in modo chiaro chi tratta i loro dati personali e per quale scopo. Inoltre, vengono rafforzati i diritti in materia di cancellazione dei dati personali e viene introdotto, per la prima volta, il cosiddetto diritto di portabilità dei dati, il quale consente all’interessato di spostare i propri dati personali da un portale internet all’altro.

Protezione speciale dei bambini

Tenendo conto del fatto che un gran numero di bambini e giovanissimi utilizzano internet, e che alla loro età le conseguenze dell’inserimento dei dati personali non possono essere valutate completamente, il nuovo GDPR prevede che fino all’età di 16 anni i dati personali richiesti possono essere forniti soltanto con il consenso dei tutori legali. Tuttavia, i singoli Stati membri sono liberi di ridurre l’età minima, fino a un limite di 13 anni.

Privacy by design e by default

Anche se gli strumenti della privacy by design e della privacy by default non sono del tutto nuovi, essi assumono una nuova natura giuridicamente vincolante. In particolare, la conformità ai requisiti del regolamento generale sulla protezione dei dati deve essere presa in considerazione già dallo sviluppo di nuovi prodotti e servizi, e devono essere attuate misure organizzative specifiche, come la pseudonimizzazione (ovvero sostituire i dati direttamente identificativi, come cognome e nome, con dati indirettamente identificativi). Inoltre, prodotti e servizi devono essere preimpostati in modo tale che il trattamento dei dati sia limitato nella misura richiesta.

Valutazione dell’impatto sulla protezione dei dati

Nel caso in cui il trattamento dei dati comporti un rischio particolarmente elevato per i diritti e le libertà degli interessati, la liceità del trattamento deve essere preventivamente valutata. Per questo scopo, è necessario valutare il rischio e adottare misure che possano eliminarlo o ridurlo al minimo.

Applicazione internazionale

Il Regolamento Generale sulla Protezione dei Dati non si applica solo alle società europee. Se le aziende con sede fuori dall’Europa offrono servizi sul mercato europeo o tengono traccia del comportamento degli utenti europei, il GDPR si applica a queste operazioni di trattamento dei dati. Questo è un grande passo avanti, poiché finora molte società internazionali hanno eluso le normative europee sulla protezione dei dati, a svantaggio dei cittadini europei.

Multe più alte

Oggi il GDPR prevede multe molto elevate per coloro che violano la legge riguardo al trattamento dei dati, le quali a seconda del tipo di violazione possono ammontare fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale di un’azienda, qualunque dei due sia il più grande. Si può quindi presumere che l’importo delle sanzioni avrà un effetto deterrente più forte rispetto al passato.

Conclusione

Quando si eseguono azioni di marketing online che prevedono il raccoglimento di dati personali di potenziali pazienti, è essenziale assicurarsi di rispettare la legge che regola la privacy. Per evitare sanzioni, il nuovo Regolamento Generale sulla Protezione dei Dati 2016/279 deve essere un punto di riferimento.

In sintesi, le norme che contiene sono valide per tutte le attività commerciali che operano nell’Unione Europea e prevedono che i cittadini possano accedere più facilmente ai propri dati per comprendere come vengono trattati. Rimane centrale il compito delle aziende di garantire che la privacy sia integrata allo sviluppo del prodotto o servizio, valutando eventuali rischi. Infine, particolare attenzione va posta al trattamento dei dati dei minori che possono essere raccolti solo previo consenso dei tutori legali.

La privacy online è una questione etica da affrontare con consapevolezza. Per chi agisce in modo superficiale, sono previste multe fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale della propria impresa.