Dati sensibili e non sensibili secondo il GDPR: una distinzione che fa la differenza

In Criteo, da sempre consideriamo coerenza, certezza e conformità riguardo la privacy e la protezione dei dati come vantaggi, sia per le aziende sia per i consumatori. Siamo entusiasti del Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR) che entra in vigore il 25 maggio 2018, in quanto la conformità ai dati sarà finalmente razionalizzata in tutta la UE. Criteo è pronta ad accogliere la sfida e i temi del GDPR e prevede, se mai ci sarà, un impatto ridotto della nuova normativa sulla capacità dei nostri clienti e partner di lavorare con noi. Il GDPR punta a modernizzare il sistema giuridico dell’UE riguardo alla protezione dei dati, a rafforzare i diritti dell’individuo e a migliorare la chiarezza e la coerenza delle regole dell’UE. Sappiamo che i nostri clienti, partner e investitori hanno molte domande sulle implicazioni del GDPR, specialmente quando si tratta dei diversi tipi di raccolta dati.Il GDPR stabilisce una chiara distinzione tra i dati personali sensibili e quelli non sensibili. Dal momento che Criteo raccoglie solo dati personali non sensibili sotto forma di cookie, questa distinzione ci è molto familiare. Ecco come tutti questi dati vengono categorizzati dal GDPR e tutto ciò che le aziende devono sapere quando si tratta di gestione dei dati.

Per prima cosa, che cosa sono i “Dati personali” così come definiti dal GDPR?

Innanzi tutto vediamo come le nuove leggi considerano i “Dati personali”. I dati personali sono qualsiasi cosa che contenga:

• Informazioni che identifichino direttamente un individuo, quali il nome e il cognome, i numeri di telefono, ecc.
• Dati pseudonimi o informazioni non direttamente identificanti, che non consentono di identificare gli utenti in modo diretto ma permettono di riconoscere comportamenti individuali (ad esempio per mostrare l’annuncio giusto all’utente giusto al momento giusto).

Il GDPR stabilisce una chiara distinzione tra informazioni direttamente identificanti e dati pseudonimi. Il GDPR incoraggia l’uso di informazioni pseudonime e prevede espressamente che “l’applicazione di pseudonimizzazione ai dati personali può ridurre i rischi per i soggetti interessati e può aiutare i controllori e i responsabili del trattamento a rispettare gli obblighi di tutela dei dati” (General Data Protection Regulation – Whereas (28)). Criteo raccoglie solo gli identificatori tecnici pseudonimi collegati a eventi di navigazione.

Che cosa sono i “Dati sensibili” così come definiti dal GDPR?

I dati sensibili sono tutti quei dati che rivelano:

• Origine razziale o etnica;
• Opinioni politiche;
• Credi religiosi o filosofici;
• Associazione a sindacati;
• Dati genetici;
• Dati biometrici con lo scopo di identificare in modo esclusivo una persona fisica;
• Dati che riguardano la salute o la vita sessuale e/o l’orientamento sessuale di una persona fisica.

I dati che i clienti e gli editori partner di Criteo raccolgono e trattano non possono essere qualificati come sensibili secondo la definizione del GDPR. Da parte sua, Criteo raccoglie unicamente identificatori tecnici pseudonimi collegati a eventi di navigazione.

Che tipo di dati personali, non sensibili raccoglie Criteo?

Lavorando con Criteo, i nostri clienti e partner necessitano di accedere unicamente a dati pseudonimi che non consentono la diretta identificazione degli utenti. Questi dati pseudonimi includono:

• ID di cookie;
• Indirizzi e-mail criptati;
• ID di pubblicità mobile;
• Qualsiasi altro identificatore tecnico che consenta a Criteo di individuare il comportamento personale senza identificare direttamente l’individuo.

Legittimo interesse e consenso non ambiguo

Riteniamo che, delle sei basi legali per la raccolta e l’elaborazione dei dati in Europa, quelle applicabili alle aziende di marketing, marketing digitale o a coloro che raccolgono dati a scopo di marketing siano due: (1) Il consenso non ambiguo dell’individuo e (2) l’interesse legittimo del controllore dei dati. Prima di tutto, l’interesse legittimo del controllore dei dati - i nostri clienti ed editori - può includere scopi di marketing diretto. E in secondo luogo, il consenso non ambiguo dell’individuo, che comprende chi continua a navigare in un sito web, può essere una base legale per la raccolta e l’elaborazione di dati personali non sensibili. Le nostre consolidate pratiche di privacy-by-design offrono un valido fondamento per affrontare immediatamente tutti i requisiti del GDPR. Mentre ai nostri clienti e partner spetta fornire informazioni complete ai loro utenti, i nostri servizi prevedono condivisione di responsabilità in tutto il nostro network. La competenza di lunga data di Criteo nella tutela dei dati e della privacy degli utenti prova che, con informazioni e strumenti di controllo appropriati, è possibile preparare efficacemente clienti e partner ad affrontare la sfida del GDPR.