REGOLAMENTO UE

Eventi e convention aziendali a norma GDPR: vademecum per il corretto trattamento dei dati personali

Anche sull’organizzazione di eventi e convention aziendali il GDPR ha un notevole impatto per quel che riguarda il corretto trattamento dei dati personali dei partecipanti. Ecco un utile vademecum per i titolari del trattamento e gli organizzatori di questi eventi

10 Dic 2019
I
Jenny Incardona

Team legal, MY DPO


Si avvicinano le festività natalizie e, con esse, anche l’organizzazione di eventi, fiere e convention aziendali. Si tratta di importanti momenti di incontro e di scambio, ma anche un modo per la direzione di mantenere o creare contatti con clienti e fornitori, nonché per divulgare ai diversi interlocutori i risultati raggiunti ed attesi e le strategie di sviluppo in programma. Spesso, però, pur avendo ben chiare le dette potenzialità, si procede senza tenere in debita considerazione le implicazioni derivanti dal trattamento dei dati personali dei partecipanti, quali nome, cognome e-mail, nonché – ormai sempre più di frequente – immagini e riprese video. È opportuno ribadire che, in linea con lo spirito generale del GDPR, la finalità avuta di mira dalla normativa è quella di fornire al titolare del trattamento gli strumenti per gestire con consapevolezza e prudenza questi trattamenti, non certo quella di inibirli.

In generale, tra le situazioni più comuni in cui un’azienda si trova a trattare dati personali di clienti, potenziali clienti o fornitori troviamo quella dello scambio dei biglietti da visita, della raccolta di adesioni, delle iscrizioni e delle richieste di preventivo tramite moduli cartacei o digitali.

Il titolare del trattamento raramente ha una visione completa di come questi dati, raccolti in occasione degli eventi, verranno utilizzati una volta acquisiti: nel tempo è molto probabile che emergano aspetti critici legati, ad esempio, alla gestione delle scadenze relative ai consensi espressi e al rispetto delle finalità per le quali i dati furono originariamente raccolti.

Il Regolamento UE 679/2016 (GDPR) risulta un’ottima cartina tornasole che, se letta con le lenti dell’accountability, permette al titolare del trattamento di tracciare i trattamenti operati, in questo modo controllandoli e limitandoli.

Eventi e convention aziendali a norma GDPR: privacy by design

Di grande importanza è l’attività di progettazione della raccolta corretta del dato già durante la fiera, l’evento o la convention. Una buona attività di progettazione, infatti, può davvero fare la differenza: il rimando è anzitutto al concetto di privacy by design, principio cardine dell’intera struttura del Regolamento.

È fondamentale – per intraprendere un’attività di trattamento conforme alla normativa nazionale ed europea sulla privacy – definire le finalità della raccolta in un momento antecedente alla stessa. L’aver ben chiaro l’obiettivo che si mira a raggiungere (invio di newsletter, mera finalità statistica, profilazione operata attraverso software di marketing automation ecc.) permetterà all’azienda titolare di meglio inventariare i futuri trattamenti, così da approntare una raccolta lecita.

In particolare, sarà necessario definire, oltre che le finalità della raccolta, tra le altre cose anche le modalità del trattamento (cartacee o digitali), il luogo del trattamento, il periodo di conservazione dei dati, il trasferimento a soggetti terzi o verso Paesi extra UE.

Definire con precisione il progetto di raccolta permetterà, peraltro, di individuare i contenuti minimi dell’informativa privacy destinata ai partecipanti.

Eventi e convention aziendali a norma GDPR: l’informativa

Chi partecipa all’evento – al più tardi nel momento della registrazione – dovrà ricevere una informativa privacy redatta con linguaggio semplice e chiaro, che includa esclusivamente le informazioni che interessano in ottica di fiera o di evento.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

È giusto il caso di precisare come, dunque, il titolare non dovrà utilizzare la privacy policy del proprio sito web o altra diversa generica informativa.

Una volta predisposta l’informativa, il titolare dovrà assicurarsi che la stessa venga letta dai soggetti interessati al trattamento: in alternativa alla raccolta cartacea, che comporta spesso la necessità di utilizzare informative nel medesimo formato, si potrà prevedere un tipo di raccolta digitale, attraverso la predisposizione di un apposito modulo online per la raccolta di dati e relativo consenso, ad esempio utilizzando un tablet allo stand o un QR code.

In questo modo sarà peraltro più semplice archiviare le informazioni e gestirle correttamente, memorizzando in tempo reale su database sempre aggiornati i dati sul consenso. Il consenso raccolto, lo si ricorda, deve essere granulare e specifico, con la possibilità di inserire – se necessario – più segni di spunta. La conservazione dei dati deve prevedere l’allegazione delle prove del consenso.

Si precisa come nel caso in cui, per circostanze documentate quali la breve durata dell’evento e la grande affluenza allo stesso, risulti estremamente difficile o anche solo eccessivamente oneroso per il titolare assicurarsi che ogni singolo partecipante esprima espresso consenso, sarà possibile servirsi di informative “diffuse” o “ambientali”: si tratta di materiale informativo fisico (roll up o cartellonistica) che garantisce, grazie alla sua dimensione ed al suo posizionamento strategico (ben ponderato in ottica di responsabilizzazione), il raggiungimento dell’obiettivo di informazione.

Eventi e convention aziendali a norma GDPR: foto e video

Nel corso dell’evento non è infrequente assistere all’acquisizione dell’immagine dei partecipanti attraverso foto o video: si tratta di dati personali il cui trattamento ha – nel caso specifico di fiere ed eventi – come base giuridica il consenso informato ed esplicito dell’interessato, espresso dallo stesso dopo aver visionato e compreso l’informativa.

Gestione dei dati acquisiti

Terminato l’evento, i dati verranno trattati per le finalità e nei modi indicati nell’informativa. L’aver organizzato i trattamenti in un momento antecedente a quello della raccolta permetterà di fare ordine e rendere la gestione dei dati meno complessa.

È questo il momento in cui:

  1. valutare se procedere ad una digitalizzazione dei dati nel caso in cui si siano utilizzate modalità cartacee nel corso dell’evento, procedendo ad una conservazione sicura con allegazione delle prove del consenso;
  2. pianificare l’uso dei sistemi di marketing automation per l’invio di newsletter sulla base dei consensi acquisiti, dal momento che dovranno essere inclusi esclusivamente i dati per cui si è raccolto il consenso specifico per l’attività di marketing. È consigliabile non affidarsi a metodi manuali. Se è vero che risulta facile definire in astratto il periodo di conservazione, è molto più difficile rispettarlo: gestire i casi in cui è necessario cancellare dati oggetto di duplicazione magari su supporti e software diversi può diventare proibitivo senza l’utilizzo di un software specifico per la gestione dei consensi.

Un’ultima raccomandazione prima degli auguri

Nell’informativa privacy dedicata all’evento è bene precisare in modo chiaro e completo quali sono i diritti dei partecipanti e le modalità del loro esercizio: sarà possibile predisporre dei moduli caricati sul sito web o inviare gli stessi moduli in risposta a specifiche richieste pervenute sull’indirizzo mail dedicato.

Eventi, fiere e convention rappresentano momenti di lavoro, ma anche di svago e socialità: sta al titolare cogliere tutte le opportunità di crescita per la propria azienda, senza mai perdere di vista il GDPR e le sue prescrizioni. Have fun and be… compliant!

@RIPRODUZIONE RISERVATA

Articolo 1 di 5