In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Artificial intelligence - Not the evil, but the New Electricity
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
1. IAPP Milan
KnowledgeNet
18 Nov 2020
Marketing, CRM and Social Media After the
Recent Decisions of the Garante and the
Guidelines of the EDPB
2. Your local
KnowledgeNet
Chapter Chairs
• Christian Bernieri,
CIPP/E, Principal consultant,
Bernieri Consulting, IAPP
KnowledgeNet Chapter Chair
• Anna Cataleta, Senior
Partner, P4I-
Partners4Innovation IAPP
KnowledgeNet Chapter Chair
• Giulio Coraggio,
Partner, DLA Piper, IAPP
KnowledgeNet Chapter Chair
• Alessandra Boghi,
Data Protection Manager
South Europe, Beiersdorf,
Young Privacy Professional
Leader
3. Presentation: An outline of the recent
decisions of the Garante and the guidelines
of the EDPB on marketing, CRM and social
media
Christina Bernieri, CIPP/E, Principal Consultant, Bernieri Consulting
Maria Chiara Meneghetti, Associate, DLA Piper
5. Regole corretto uso dei
sistemi automatizzati e
l'invio di comunicazioni
elettroniche
Provvedimento
programmi fidelizzazione
Linee guida in materia di
attività promozionale e
contrasto allo spam
29 maggio 2003
24 febbraio 2005
4 luglio 2013
6. Dopo il GDPR
I provvedimenti più
recenti
ENI.. (11/12/19)
TIM (15/1/20)
Wind tre (9/7/20)
Iliad (9/7/20)
Provvedimenti
verso i provider
Vodafone (12/11/20)
7. Focus del
Garante
Base di legittimazione
Consenso/Legittimo Int.
Principi art. 5
Modalità di raccolta del
consenso
Modalità di condivisione
Registro delle opposizioni
8. Provvedimento del
12/11/2020
Vodafone
a) Controllo della filiera di
raccolta dei dati
b) Acquisto ed uso di liste -
consenso – titolarità del
trattamento
c) Errori umani e disguidi
d) Misure proporzionata
efficacia – accountability di
riservatezza ed integrità
dei dati, stress test
e) Notifica data breach
f) Riscontro all’interessato
9. Provvedimento
del 12/11/2020
Vodafone
a) Controllo della filiera di raccolta dei dati
Assicurare che non possano essere perfezionati
contratti da attività promozionali e fonti non
gestite e preordinate.
Preciso obbligo di non procedure alle attivazioni
Verificabilità (accountability)
GP suggerisce tracciamento dei partner, delle
utenze (ROC), liste utilizzate, script,
informative.
Insufficienza dei richiami e penali o querele.
GP suggerisce inutilizzabilità dei dati fuori dalla
filiera
DIALOGO tra CRM per verifica e validazione
dell’operato
10. Provvedimento
del 12/11/2020
Vodafone
b) Acquisto ed uso di liste - consenso –
titolarità del trattamento
Cessione tra titolari autonomi possibile solo con
consenso, che si esaurisce al primo passaggio.
Titolare-Titolare
Titolare-Responsabile
(non pare accettato uno schema ibrido)
c) Errori umani e disguidi
Non idonei ad escludere la responsabilità del
titolare, anche se numericamente esigui.
11. Provvedimento
del 12/11/2020
Vodafone
d) Misure proporzionata efficacia –
accountability di riservatezza ed integrità
dei dati, stress test
e) Notifica data breach
Accessi non consentiti al CRM, già noti,
richiedono azioni correttive, non mera
valutazione
Misure proporzionate per assicurare in via
permanente la riservatezza
Ma soprattutto le procedure per TESTARE
VERIFICARE E VALUTARE l’efficacia.
ed IMMEDIATA RISOLUZIONE
f) Riscontro all’interessato
Pec differente da quella ufficiale qualifica
comunque la validità della notifica.
Ittilevanza della esiguità del numero
12. Provvedimento
del 12/11/2020
Vodafone
PRESCRIZIONI.
Entro 30 giorni
Completo riscontro agli interessati
Adeguare i trattamenti per documentare la
filiera che porta alle attivazioni
Adeguare le misure di sicurezza per ridurre gli
accessi non autorizzati
Divieto di ogni ulteriore trattamento e uso di
liste acquisite da titolari se non corredate di
specifico consenso alla comunicazione a
Vodafone.
Sanzione amministrativa
13. Provvedimento
del 12/11/2020
Vodafone
Criterio di quantificazione delle sanzioni.
5% del Massimo edittale
Aggravanti:
-Durata
-Numero dei soggetti coinvolti
-Negligenza
Attenuanti:
-Misure di mitigazione
-Cooperazione con l’autorità
Grace period.
15. • Non si presuppone che ciascuno di essi abbia accesso ai dati personali di
cui trattasi.
• Corresponsabilità non si traduce necessariamente in una responsabilità
equivalente dei diversi operatori nell’ambito di un trattamento di dati
personali.
Template slide
16. • Operazioni di trattamento sono effettuate nell’interesse economico tanto
della Fashion ID quanto della Facebook Ireland.
• Tale responsabilità è tuttavia limitata alla raccolta e la comunicazione
mediante trasmissione dei dati di cui trattasi.
Template slide
17. Template
slide
Linee Guida
08/2020
Social media
targeting
Cosa dicono
Meccanismi di targeting
data provided by users,
observed data and
inferred data
Attori
social media e “targeter”
Ruoli
co-responsabili
Basi giuridiche
consenso e legittimo
interesse
Altri adempimenti
accordo di contitolarità,
informativa, DPIA
18. Template
slide
Linee Guida
08/2020
Social media
targeting
Cosa dicono di loro
Meccanismi di targeting
panorama complesso
Attori
ecosistema di diversi attori
Ruoli
interpretazione
eccessivamente ampia
Basi giuridiche
analisi case-by-case v.
consenso only
Altri adempimenti
squilibrio di poteri
19. • Codice di condotta ex. Art. 40 GDPR
• Trattamenti effettuati nell’ambito di attività pubblicitarie
• Meccanismo extra-giudiziale di risoluzione delle controversie
20. Panel
The approach from
the industry on
marketing, CRM
and social media
Ada Fiaschi,
Responsabile Funzione
Privacy, Alitalia
Alessandra Boghi,
CIPP/E, Data Protection
Manager Southern
Europe, Beiersdorf
Alessia Zeppieri, DPO,
Gruppo Acea
Anna Paola Lenzi,
Head of Compliance and
Group DPO,
Teamsystem
Dalia Pizzochero,
CIPP/E, Manager of the
Privacy Advisory Unit,
Grouppo Generali
21. Stay in Touch!
► Virtual Meet-Up
► Quando la situazione ritornerà al normale,
organizzeremo anche degli eventi, meet-up e
aperitivi fisici
Notes de l'éditeur
Welcome to the IAPP [City or Chapter name] KnowledgeNet Chapter meeting.
[Introduce yourself and other co-chairs present]
We are one of over 140 IAPP KnowledgeNet Chapters. If this is your first meeting, we hold several throughout the year and you can find all upcoming meetings on the IAPP website. Invitations get emailed to members when a new meeting is announced. Guests and nonmembers are welcome to attend as space allows. If you would like to invite a colleague who may be interested next time, please still have them register through the IAPP. We are always looking for volunteer speakers and donated meeting space, so if you would like to get involved please let one of the co-chairs know or contact the IAPP directly. Please be sure to sign in before you leave today.
[Thank host for providing meetings space (and refreshments/breakfast or lunch if applicable). Thank all speaker(s) for their time and expertise.]
[Introduce and thank the Speakers/Moderators and include a brief excerpt from their bio if desired. Also describe the Topic and format of meeting]
[To close, thank everyone for coming and remind all attendees to sign in. Let them know the IAPP will send a follow-up email where there will be an opportunity to give feedback.]