GDPR FAQ

Che cos’è il GDPR?

Il regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea è una normativa completa sulla privacy, destinata a sostituire l’attuale Direttiva 95/46/EC sulla protezione dei dati, che entrerà in vigore il 25 maggio 2018. L’Unione Europea ha approvato il GDPR nell’aprile 2016, dopo più di quattro anni di trattative, con l’intenzione di rafforzare e armonizzare le normative sulla protezione dei dati per le persone fisiche in tutta la UE e di potenziare l’economia digitale nell’Unione Europea. Il GDPR può essere applicato direttamente in tutti gli stati membri, senza richiedere l’implementazione di una legislazione nazionale.


Quando entrerà in vigore il GDPR?

Il GDPR sarà applicabile a partire dal 25 maggio 2018.


A chi si applica il GDPR?

Il GDPR viene applicato a tutte le aziende, incluse quelle con sede al di fuori della UE, che trattano i dati personali dei cittadini della UE. Il GDPR si applica a tali aziende anche se offrono prodotti e servizi gratuitamente.

If you’re a publisher, and would like to see the potential impact of GDPR on your advertising revenue stream, check out our online calculator.


Perché le autorità hanno sentito l’esigenza di implementare il GDPR?

Oggi i consumatori stanno iniziando a capire che per ottenere i servizi offerti da alcune aziende, come i contenuti gratuiti dei siti Web, devono fornire alcuni dati personali. Uno degli obiettivi principali della Commissione Europea è restituire ai cittadini della UE il controllo dei propri dati personali.

La Commissione desidera inoltre semplificare il quadro normativo per il commercio internazionale, unificando le leggi all’interno dell’Unione Europea. Attraverso l’armonizzazione delle normative sulla protezione dei dati, il GDPR intende semplificarne l’applicazione da parte delle aziende.


Come cambierà la definizione del concetto di dati personali in seguito all’introduzione del GDPR?

La definizione di dati personali fornita dal GDPR è ampia e volutamente generica. In particolare, i dati pseudoanonimi sono definiti come una sottocategoria dei dati personali, che richiede comunque l’applicazione della normativa. I dati pseudoanonimi includono i cookie e altri identificativi online (alcuni indirizzi IP, IDFA, AAID e così via) che possono essere utilizzati per identificare una persona, anche senza conoscerne l’identità specifica (ad esempio senza conoscerne il nome o l’indirizzo). Nel GDPR gli identificatori online vengono esplicitamente riportati come esempi di dati personali.

Vista l’ampia portata della definizione del concetto di dati personali, è molto probabile che i dati elaborati nell’ecosistema della pubblicità online rientrino in tale categoria e siano regolamentati dal GDPR. Quantcast ha collaborato con IAB Europe e altri esperti di settore un documento IAB Europe sulla definizione del concetto di dati personali. Consigliamo di leggerlo per comprenderla più a fondo.


Quali obblighi introduce il GDPR in relazione al diritto degli utenti a consultare ed eliminare i dati che li riguardano?

Il GDPR consente alle persone di richiedere l’accesso a “intervalli ragionevoli” e i sovrintendenti devono in genere rispondere entro un mese. Il GDPR impone a sovrintendenti e responsabili del trattamento dati la massima trasparenza in merito alle modalità di raccolta, utilizzo e trattamento dei dati, che devono essere spiegate chiaramente (utilizzando un linguaggio comune) agli utenti.

Gli individui hanno diritto ad accedere a tutte le informazioni che li riguardano in possesso delle aziende, a conoscere il motivo per cui tali dati vengono trattati, per quanto tempo vengono conservati e chi può visualizzarli.

Il GDPR concede inoltre alle persone il “diritto all’oblio” ossia il diritto a richiedere l’eliminazione tempestiva dei propri dati personali, “senza indebito ritardo”.


Il GDPR e il Regolamento ePrivacy porranno fine all’uso dei cookie?

No, il Regolamento ePrivacy proposto non proibisce i cookie. Si prevedere che il nuovo Regolamento ePrivacy permetterà alle persone di acconsentire all’impostazione dei cookie sui propri computer, anche se i requisiti del consenso saranno probabilmente diversi da quelli previsti dall’attuale Direttiva ePrivacy. Quantcast è impegnata nel settore e prevede di garantire la conformità al Regolamento ePrivacy appena verrà finalizzato ed entrerà in vigore.


Cosa devono fare le aziende per ottenere il consenso per fini pubblicitari?

Il GDPR introduce un nuovo standard per il consenso. Per le aziende che dipendono dal consenso dei consumatori al trattamento dei dati personali, la procedura seguita per ottenere il consenso deve rispettare gli standard elevati della normativa.

Le attuali indicazioni provvisorie dell’ICO del Regno Unito illustrano i requisiti del consenso previsti dal GDPR, inclusi i seguenti:

  • Il consenso deve essere fornito liberamente, ovvero la persona deve avere effettivamente la possibilità di scegliere e controllare come verranno utilizzati i loro dati.
  • Nel consenso devono essere espressamente indicati il nome del sovrintendente, le finalità del trattamento e il tipo di attività di trattamento.
  • La richiesta di consenso deve essere esplicita, non vincolata ad altri termini e condizioni, concisa, facilmente comprensibile e intuitiva.
  • Il consenso deve essere evidente e richiedere un’azione positiva per il rilascio.
  • Non è previsto alcun periodo limite per il consenso. La sua durata dipende dal contesto. È necessario rivedere e aggiornare il consenso come appropriato.

La prova di rilascio del consenso deve essere verbalizzata e le aziende che non hanno rapporti diretti con la persona dovranno richiedere ai partner di ottenere il consenso per proprio conto. Nel caso di Quantcast, questo comporta il ricorso a partner di misurazione e pubblicità, che interagiscono direttamente con le persone tramite i propri siti Web, per ottenere il consenso per conto di Quantcast.

Ovviamente Quantcast intende collaborare con i propri clienti (inserzionisti ed editori) per creare una customer experience semplice e lineare per il rilascio del consenso.


How does Quantcast Choice, or a Consent Management Provider (CMP) solution work?

Quantcast, or any other IAB approved Consent Management Provider (CMP), provides publishers and advertisers with a mechanism to obtain consent, and then control which third-party vendors can request consent to track users of their websites and apps. Read this white paper outlining the function of a CMP and the Quantcast Consent implementation.


Quali misure occorre adottare in caso di violazione dei dati?

Se si subisce una violazione dei dati che rischia di compromettere i diritti e le libertà delle persone, è necessario informare un’autorità preposta alla protezione dei dati (ad esempio, nel Regno Unito è l’Information Commissioner’s Office) entro 72 ore dal rilevamento della violazione.

Anche se non è necessario illustrare nel dettaglio ogni singolo aspetto della violazione dei dati appena viene rilevata, occorre comunicare all’autorità di protezione dei dati la natura dei dati colpiti e il numero approssimativo di persone interessate. È inoltre necessario illustrare in dettaglio le possibili conseguenze per queste persone e le misure che sono state adottate o si prevede di adottare.


What happens if you don’t comply?

Entities that do not comply with GDPR requirements may be fined up to $20mm or 4% of their worldwide turnover (revenue), whichever is greater. You may also be subject to lawsuits by affected data subjects.


Risorse consigliate