Le domande ricorrenti

Transcript

1

2 Le domande ricorrenti di chi sono i contenuti dei social media? posso salvare (e usare) dati presi dai social media? posso condividere i dati con store in franchising?

3 Di chi sono i contenuti dei social media? I miei dati non sono più (solo) miei Nella maggior parte dei casi, quello che pubblico sui social network non è più di mia proprietà esclusiva, ma diventa anche proprietà del gestore del social network, che può usare le informazioni, le foto e i video pubblicati per scopi commerciali e pubblicitari. ( Terms and conditions may apply )

4 Quindi i dati sono dell'interessato ma anche di Facebook? SI Ma, a certe condizioni, possono essere utilizzati anche da altri...

5 Posso salvare dati presi dai social media? (salvare dati = trattare dati) SI se li ho presi dalla mia pagina social se ho adeguatamente informato gli interessati per certe finalità, se gli interessati hanno dato (profilazione) o manifestato (marketing) il loro consenso

6 Posso condividere i dati con store in franchising? SI alle condizioni della slide precedente, ma solo se i franchisee sono miei contitolari del trattamento o sono stati da me nominati responsabili esterni (o se posso vendere loro i dati)

7 social e privacy sembrano termini antitetici

8 ma possiamo fare in modo che non lo siano VS.? La soluzione si chiama bilanciamento degli interessi

9 Il bilanciamento degli interessi La società ha diritto di trattare per fini aziendali i dati degli amici, dei followers, dei contatti, che ricava dalle proprie pagine sui social media? SI, PURCHE tale diritto/interesse aziendale sia bilanciato dai diritti/interessi della persona alla riservatezza. Il bilanciamento degli interessi si ottiene rispettando le regole poste dal Codice della privacy (informativa, consenso, eventuale notificazione, ecc.).

10 Cos è un dato personale? Capelli neri? Mario Rossi? Via dei glicini 29? Dato personale è qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione (Dal 2011 i dati relativi a persone giuridiche, enti e associazioni non sono più dati personali.)

11 Quanto valgono i dati personali che trattate? (1) Federico Zannier, Kickstarter, A Bite of Me

12 Quanto valgono i dati personali che trattate? (2)

13 Quanto valgono i dati personali che trattate? (3) Stefano Rodotà: nel 2020 i dati personali della UE varranno miliardi di euro I dati personali degli oltre 500 milioni di abitanti dei 27 Paesi dell Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai miliardi di euro, l 8% del Pil europeo. (Stefano Rodotà, illustrando i dati calcolati dal Boston Consulting Group marzo 2013)

14 Esperienza GDO italiana tessere fidelity (milioni) molti dati personali (chi compra, cosa compra, quanto compra, quando compra, e quindi anche perché e per chi compra) utilizzo ridotto dei dati ma spesso Perché? perché c è la privacy SBAGLIATO! Basta applicare le regole

15 Profiliamo? per profilazione si intende il trattamento volto a definire il profilo o la personalità dell interessato o ad analizzare abitudini e scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi stessi COOKIE (da due anni nuova disciplina!)

16 Se profiliamo 1. Lo dobbiamo dire agli interessati (informativa) 2. Dobbiamo chiedere loro il consenso, espresso e separato dalle altre finalità del trattamento 3. Dobbiamo comunicarlo al Garante (registro delle notificazioni)

17 Qualche domanda Cosa fate dei dati personali dei vostri amici, followers, ecc. che avete sui social media? Dite loro quello che fate coi loro dati? Dove e quando lo dite? Dite loro quello che fa, o può fare, il fornitore della piattaforma Social utilizzata?

18 In altre parole: l utilizzo dei Social Media da parte delle aziende è ormai una necessità, oltre che costituire un enorme potenziale, ma va gestita con cura la PRIVACY: dalla propria pagina del Social al sito aziendale nei rapporti con gli utenti e potenziali clienti nei rapporti con il Garante ma soprattutto nelle procedure gestionali dell azienda

19 Nelle procedure privacy aziendali l impianto «privacy» non può essere fatto solo di informativa, consenso ed eventuale notificazione, ma deve gestire anche: gli amministratori di sistema, le misure minime di sicurezza (+ data breach e disaster recovery), la formazione degli incaricati, la gestione dei RAEE, il trasferimento dei dati all estero e l utilizzo del cloud, Internet, app, social media, cookies, videosorveglianza, geolocalizzazione, RFID fidelizzazione, profilazione, direct mktg,

20 I rischi della privacy Non si rischia a fare, ma si rischia a non fare Rischio reputazionale Rischio sanzioni

21 Il rischio sanzioni Tra le sanzioni amministrative più comuni: omessa o inidonea informativa: da a euro mancato rispetto delle misure di sicurezza: da a euro Alcune violazioni delle norme sono sanzionate penalmente: mancata adozione misure minime di sicurezza: arresto fino a due anni trasferimenti all estero vietati, trattamenti illeciti di dati sensibili, ecc.: reclusione fino a tre anni

22 (tra parentesi ) ALCUNE DELLE COSE CHE FANNO ARRABBIARE IL GARANTE: più finalità e un solo consenso dati inutili eccessivi tempi di conservazione (cfr. profilazione)

23 Azienda e Social Media Torniamo al binomio iniziale, Social vs. Privacy Social Media importanti, ma vanno gestiti con una attenzione particolare alla privacy, in modo da bilanciare l interesse e il vantaggio aziendale con i diritti delle persone. L azienda che usa i Social Media dovrebbe adottare, internamente e verso l esterno, una Social Media Policy che la tuteli sotto diversi profili giuridicamente rilevanti, legati al rapporto tra l azienda e gli utenti dei vari profili social e web (Facebook & co., sito, apps, ecc.).

24 Aziende e Social Media (+ apps, + Web 2.0) I principali aspetti legali da curare

25 Una prima guida? La sicurezza nei Social Media Guida all utilizzo sicuro dei Social Media per le aziende del Made in Italy Oracle Community for Security marzo 2013 ( e naturalmente Studio Legale SIB

26 Privacy - Il nuovo Regolamento Europeo (1) Proposta della Commissione Europea del Dopo oltre (!) proposte di emendamento, il 21 ottobre scorso è stato approvato un nuovo testo Dovrebbe essere approvato nel 2014 ed entrare in vigore a inizio 2015

27 Privacy - Il nuovo Regolamento Europeo (2) E un Regolamento, non una Direttiva Immediatamente applicabile in tutti i 28 paesi membri

28 Privacy - Il nuovo Regolamento Europeo (3) La Privacy non sarà più la stessa: 1) estensione extraterritoriale La Privacy si applicherà ai cittadini UE sempre, a prescindere dal fatto che il Titolare sia localizzato in Italia, ad Antigua o su una piattaforma in mezzo al mare

29 Privacy - Il nuovo Regolamento Europeo (4) La Privacy non sarà più la stessa: 2) accountability dei titolari del trattamento Responsabilità verificabile: obbligo generalizzato e preventivo di garantire e dimostrare documentalmente la propria conformità al Regolamento in relazione ad ogni singolo trattamento svolto.

30 Privacy - Il nuovo Regolamento Europeo (5) La Privacy non sarà più la stessa: 3) informativa più immediata anche per immagini, che dovrà contraddistinguersi per facilità di consultazione e chiarezza di forma

31 Privacy - Il nuovo Regolamento Europeo (6) La Privacy non sarà più la stessa: 4) diritto di cancellazione e rettifica Potere concesso all interessato di veder correggere o aggiornare le proprie informazioni personali, o cancellarle quando le stesse non siano strettamente necessarie in relazione alle finalità per cui sono state raccolte (recente sentenza Google)

32 Privacy - Il nuovo Regolamento Europeo (7) La Privacy non sarà più la stessa: 5) privacy by-design Garantire, sin dalla progettazione del prodotto, del servizio, di hardware, di software, di procedure, la conformità alle disposizioni previste nel Regolamento.

33 Privacy - Il nuovo Regolamento Europeo (8) La Privacy non sarà più la stessa: 6) Obbligo notificazione data breach al Garante e, in taluni casi, agli interessati oggi solo per taluni titolari (es.: telecomunicazioni e Internet), domani esteso a tutti

34 Privacy - Il nuovo Regolamento Europeo (9) La Privacy non sarà più la stessa: 7) Bollino di qualità European Data Protection Seal: certificazione dell Autorità Garante o di terze parti, che comporterà facilitazioni e incentivi

35 Privacy - Il nuovo Regolamento Europeo (10) La Privacy non sarà più la stessa: 8) Sanzioni potenziate rafforzati gli strumenti sanzionatori previsti per chi violerà le regole, con multe che potranno arrivare fino a 100 milioni di euro, o al 5% del fatturato mondiale annuo dell'azienda giudicata 'colpevole'.

36 Privacy - Il nuovo Regolamento Europeo (11) La Privacy non sarà più la stessa: 9) Data Protection Officer Obbligatorio se > interessati. Soggetto interno o esterno alla struttura aziendale, appositamente incaricato del coordinamento e dell implementazione dell intera gestione della privacy. 4 anni se interno, 2 anni se esterno, destituibile solo se non soddisfa le condizioni richieste per l esercizio delle sue funzioni.

37 Privacy - Il nuovo Regolamento Europeo (12) Il Data Protection Officer - 1 alter ego del titolare per tutto quanto riguarda la privacy punto di riferimento per l autorità Garante le aziende dovranno permettergli di svolgere al meglio l incarico attribuendogli uffici, attrezzature, personale relazionerà direttamente al Cda

38 Privacy - Il nuovo Regolamento Europeo (13) Il Data Protection Officer - 2 Non si potrà più, come spesso si è fatto fino ad oggi, affidare la privacy al proprio commercialista, o, se andava bene, al proprio legale interno Che il DPO sia un dipendente dell azienda o un soggetto esterno, dovrà essere una figura altamente specializzata, competente, professionalizzata e affidabile Scegliete chi vi pare, ma che sia un Privacy Officer di sicura preparazione ed esperienza (es.: certificato ISO 17024:2004)

39 Lui NON E un Data Protection Officer

40 Per materiali, confronti, consigli: Studio Legale SIB Grazie per l attenzione!