GDPR: il nuovo consenso informato in Editoria

di Noemi Ricci

scritto il

Entrata in vigore del GDPR anche per imprese dell'editoria: linee guida USPI per adeguarsi al nuovo Regolamento UE sulla privacy online.

Entra in vigore il 25 maggio 2018 il General Data Protection Regulation (GDPR), ovvero il nuovo Regolamento UE 2016/679 sulla protezione della privacy online. Si tratta di nuove regole che vedono coinvolti professionisti ed imprese anche del settore dell’editoria. Queste ultime utilizzano infatti strumenti e ospitano pubblicità che servono a raccogliere dati sui lettori.

GDPR in Editoria

A richiamare l’attenzione del settore dell’editoria sul Regolamento europeo in materia di protezione dei dati personali è stata l’USPI (Unione Periodica Stampa Italiana), ricordando che esso riguarda anche gli editori, i quali dovranno quindi adeguarsi alla nuova normativa entro il 25 maggio.

La nuova normativa stabilisce che sia il gestore dei dati ad individuare le misure che possano in maniera adeguata tutelare gli interessati al trattamento (gestione abbonamenti, diritto all’oblio, marketing online…). L’USPI ricorda poi che è prevista la revisione della documentazione predisposta per l’acquisizione del consenso informato. L’USPI fornisce quindi agli editori le linee guida da seguire per adeguarsi alle nuove norme e non rischiare l’applicazione di pesanti sanzioni.

Consenso informato

In caso di dati sensibili, soprattutto se si utilizzano trattamenti automatizzati e orientati alla profilazione, il consenso deve essere esplicito, libero, specifico, informato ed inequivocabile. I

n caso di trattamento automatizzato l’informativa deve specificarlo, indicando la logica di tali processi e le eventuali conseguenze per l’interessato. Non è ammesso il consenso tacito, presunto o l’uso di caselle spuntate su modulo, mentre è ammessa l’informativa “stratificata”.

Marketing online

Le imprese dell’editoria dovranno prestare particolare attenzione alle attività di marketing online, ritenute particolarmente a rischio per la tutela dell’interessato, tanto da rendere necessari interventi sotto il profilo della sicurezza del trattamento e della revisione della documentazione predisposta per l’acquisizione del consenso.

Accountability

Si ricorda poi che il nuovo Regolamento si basa sul principio fondamentale dell’accountability che sposta il regime delle responsabilità a carico del titolare del trattamento. Questo spiega l’USPI:

“Da un lato, può individuare, in base al tipo di trattamento eseguito e alla sua struttura, le migliori modalità per l’esecuzione del trattamento e la raccolta del dato, dall’altro, deve preoccuparsi di dimostrare di aver adottato misure sufficienti sotto il profilo tecnico ed organizzativo, adeguate a consentire il rispetto dei diritti dell’interessato.

Un supporto significativo, in tal senso, viene offerto dal responsabile del trattamento il quale dovrà essere incaricato dal titolare che dovrà darsi carico di specificare, in maniera chiara, i compiti specifici attribuitigli.

Per agevolare il compito non semplice del titolare del trattamento e del suo responsabile di dare atto di aver adottato misure adeguate, il Regolamento prevede l’adesione a codici deontologici, ovvero, l’adesione a schemi di certificazione che possano aiutare il responsabile del trattamento a dimostrare di aver adottato le cautele per eseguire, in sicurezza, il trattamento affidatogli.

Allo stato attuale, il Garante sta valutando la diffusività dei codici, già attualmente vigenti per alcune tipologie di trattamento, rivisti alla luce dei requisiti fissati dal Regolamento, mentre, non vi sono ancora “schemi di certificazione” (Art. 42) per i quali occorre l’intervento del legislatore che dovrà stabilire le modalità di accreditamento dei soggetti certificatori.”

Diritto all’oblio

Di particolare interesse per le imprese dell’editoria l’articolo 17 del GDPR che rafforza il cosiddetto “diritto all’oblio”, cioè il diritto alla cancellazione dei propri dati personali da parte dei titolari del trattamento che hanno reso pubblici i dati dell’interessato. Questo sono inoltre chiamati ad informare della richiesta di cancellazione pervenuta dall’interessato gli altri titolari che trattano i medesimi dati personali cancellati, compresi qualsiasi link, copia o riproduzione. Il tutto, specifica l’USPI, fatto salvo il bilanciamento con altri diritti ed interessi, come il diritto di cronaca, il diritto alla conservazione per finalità di ricerca e così via.

Portabilità del dato

Tra le novità del Regolamento si evidenzia inoltre la portabilità del dato, ovvero il diritto dell’interessato e consente all’interessato di mantenere il consenso, così come prestato, rispetto al dato trattato anche verso altri interlocutori, ma solo con riferimento ai trattamenti automatizzati (la previsione non è dunque applicabile agli archivi o ai registri cartacei).

DPO

Anche le imprese editoriali dovranno inoltre nominare un “Data Protection Officer” (DPO), ovvero un Responsabile della protezione dei dati, nei casi previsti dal Regolamento.