GDPR e i concorsi a premio in Italia.

Il 25/05/2018 entrerà in vigore il REGOLAMENTO (UE) 2016/679 in materia di protezione dei dati personali (GDPR)

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT  

La legge mira a rafforzare il diritto alla riservatezza dei dati di qualsiasi cittadino dell’UE, indipendentemente dal luogo in cui i dati vengono archiviati o trattati.

Le aziende e i brand per anni hanno utilizzato le manifestazioni a premio anche ai fini della raccolta dei dati e delle informazioni relativi ai propri clienti e prospect; quale prassi devono seguire e quali adempimenti devono attuare per dare corretta applicazione alla normativa?

Il regolamento pone con forza l’accento sulla “responsabilizzazione” ( “accountability”) dei titolari e dei responsabili del trattamento dati.

Nel caso dei concorsi a premio, il Promotore ha quindi il compito e la responsabilità di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali dei partecipanti alle proprie iniziative promozionali.

La scelta di quali misure adottare ai fini di assicurare l’applicazione del regolamento è rimandata al Promotore che dovrà essere in grado di dimostrare di avere scelto un fornitore in grado di garantire la sicurezza nel trattare i dati personali dei concorrenti.

Non è quindi sufficiente che l’azienda nomini un responsabile esterno al trattamento richiedendo degli standard minimi di sicurezza; il Promotore è tenuto anche verificare che il fornitore individuato

• sia concretamente in grado di garantire gli standard atti a prevenire i rischi noti o evidenziabili
• adotti specifiche misure tecniche e organizzative di sicurezza.

Nel caso di incidenti che coinvolgono il trattamento dei dati, il titolare è responsabile in solido con il responsabile del trattamento.

Il legislatore comunitario incoraggia lo sviluppo di meccanismi di certificazione specifica per la protezione dei dati che abbiano la potenzialità di dimostrare la conformità alla legge e che costituiscano un fattore attenuante in caso di sanzioni. Di fatto, però, la Commissione Europea non ha ancora emanato alcun atto al fine di precisare i requisiti di cui tener conto per i meccanismi di una certificazione specifica atta verificare la conformità al Regolamento Privacy.

La certificazione ISO 27001 (Standard internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni) ad oggi è la soluzione che meglio promuove la tutela dei dati personali ed indica le procedure adeguate per garantire questa protezione

Una piattaforma promozionale corredata di certificazione ISO 27001 offre sia al titolare che ai concorrenti di un concorso quegli standard di sicurezza adeguati a quanto richiesto dal legislatore comunitario: le procedure, le funzionalità e le coperture assicurative garantiscono la disponibilità, la riservatezza e l’integrità dei dati e delle informazioni.

In caso di incidente, la scelta da parte del promotore di piattaforme adeguatamente strutturate costituisce una importante attenuante nell’applicazione del regime sanzionatorio da parte del Garante.

https://www.agendadigitale.eu/sicurezza/gdpr-sanzioni-e-responsabilita-tutto-cio-che-ce-da-sapere/