Come già accaduto nel 2021, l'IPTT - Italian Privacy Think Tank ha realizzato per il 2022 un survey per valutare il livello di compliance alla normativa privacy delle aziende che operano in Italia, analizzando le problematiche che sono al momento più calde sull'argomento. Per celebrare un altro anno di GDPR, abbiamo organizzato un webinar in cui analizzeremo i risultati del survey con - Serena Condu di Plenitude - Marco Montesano di Amazon - Marco Ancora di ING Italia - Giorgio Presepio del Gruppo San Donato e - Luca Angelini di Admiral Group moderati da Giulio Coraggio dello studio legale DLA Piper. Il panel è stato anticipato da un intervento di Deborah Paracchini e Maria Chiara Meneghetti dello studio legale DLA Piper che illustreranno i risultati del survey e le criticità emerse.

1. 07 giugno 2022
Un altro anno di GDPR: analizziamolo sulla base
del survey dell'IPTT sulla compliance privacy

2. www.dlapiper.com
Vecchie e nuove tematiche di interesse
2
Indice degli argomenti
Gestione
attività di
marketing
Gestione siti
web e utilizzo
dei cookie
Legal design
Modello
organizzativo
Trasferimenti
extra-UE
Data Breach
&
Cybersecurity
Attività
ispettiva

3. www.dlapiper.com 3
Quale è la base legale che utilizzate per i trattamenti di direct marketing via email e
altri strumenti di comunicazione elettronica?
66%
Due consensi separati per
l'invio di comunicazioni di
marketing del titolare del
trattamento e per la
profilazione
24%
Due consensi separati per
l'invio di comunicazioni di
marketing del titolare del
trattamento e per la
profilazione e il legittimo
interesse per la profilazione
light
4%
Un unico consenso per
l'invio di comunicazioni di
marketing del titolare del
trattamento e per la
profilazione
2%
Il consenso per l'invio di
comunicazioni di marketing
e il legittimo interesse per la
profilazione
2%
Il legittimo interesse per
l'invio di comunicazioni di
marketing del titolare del
trattamento e per la
profilazione
2%
L'articolo 130, comma 4, del
Codice Privacy per l'invio di
comunicazioni di marketing
e il legittimo interesse per la
profilazione
0%
Altro

4. www.dlapiper.com 4
Per quanto tempo conservate i dati raccolti per l'invio di comunicazioni di marketing
e profilazione?
55%
Non più di 24 mesi dalla
raccolta o dall'ultima
interazione con l'interessato
sia per marketing che per
profilazione
2%
Non più di 24 mesi dalla
raccolta o dall'ultima
interazione con l'interessato
per la profilazione, mentre
teniamo i dati per finalità di
marketing a tempo
indeterminato
23%
Più di 24 mesi dalla raccolta
o dall'ultima interazione con
l'interessato, ma entro un
termine indicato
nell'informativa privacy
4%
Finché l'interessato non
esercita l'opt-out
14%
Fino alla scadenza di un
termine adeguato alle finalità
del trattamento, ma senza
specificare il termine
nell'informativa privacy
0%
A tempo indeterminato
2%
Altro

5. www.dlapiper.com
Bisogna conoscere i propri clienti per fissare la giusta scadenza dei consensi
5
Tendenziale allineamento delle aziende a quanto
previsto nei provvedimenti o linee guida del Garante
Invio di comunicazioni di marketing
• Ottenere un chiaro e specifico consenso per l’invio
di comunicazioni commerciali
• Chiedere un consenso specifico per la
comunicazione e/o cessione a soggetti terzi a fini di
marketing
• Il consenso deve essere documentato per iscritto
• Utilizzare l’eccezione del "soft spam" per l´invio di
posta elettronica promozionale, senza dover
ottenere il previo consenso dei clienti
• Il telemarketing e la gestione del registro delle
opposizioni
Effettuare la profilazione degli interessati
• Individuare l’attività di trattamento effettuata:
profilazione o segmentazione?
• Raccogliere il previo e specifico consenso degli
interessati: un unico consenso per inviare
comunicazioni commerciali profilate è sufficiente?
• Utilizzare la profilazione «light» come eccezione al
consenso: quando il legittimo interesse dell’azienda
è bilanciato con quello degli interessati

6. www.dlapiper.com 6
Come gestite la conformità con le nuove linee guida del Garante sui cookie?
0%
Abbiamo un cookie banner che
obbliga ad accettare i cookie,
compresi quelli di marketing,
perché funzionali al
funzionamento del sito
30%
Abbiamo un cookie banner che
consente di accettare tutti i
cookie o di selezionare i
cookie/le categorie di cookie che
si intendono accettare
68%
Abbiamo un cookie banner che
consente di accettare tutti i
cookie, continuare la navigazione
senza accettare i cookie e
selezionare i cookie/le categorie
di cookie che si intendono
accettare
2%
Stiamo ancora valutando la
soluzione migliore
0%
Non abbiamo un cookie banner
0%
Altro

7. www.dlapiper.com
Quali sono le novità principali?
7
Adottate dal Garante per la protezione dei dati personali il 10 giugno 2021
Linee guida cookie e altri strumenti di tracciamento
Il Banner Cookie
La Cookie
Management
Platform
Il cookie wall
La raccolta del
consenso e lo
scrolling
Reiterazione del
consenso
Non solo cookie,
ma anche altri
strumenti di
tracciamento

8. www.dlapiper.com 8
Avete adottato soluzioni di legal design per la vostra informativa privacy?
20%
Sì e abbiamo incaricato un
designer di occuparsene
10%
Sì e abbiamo incaricato uno
studio legale di occuparsene
10%
Sì e abbiamo dato un incarico
ad uno studio legale e un
designer di occuparsene
congiuntamente
30%
Non ancora, ma pensiamo di
farlo a breve
22%
No e non riteniamo sia
necessario per il nostro
business
8%
Altro

9. www.dlapiper.com 9
Il Legal Design è l'applicazione del design al mondo legale al fine di rendere i sistemi
e i servizi legali umano centrici. Non si tratta di redigere o ridisegnare documenti
legali, ma di empatizzare con il proprio audience, utilizzando il giusto mezzo e tone of
voice per comunicare un contenuto legale.
Perché è importante il Legal Design?
Grazie all’utilizzo di documenti facilmente comprensibili ed utilizzabili, è possibile
instaurare migliori relazioni di business e ad incrementare la fiducia nei propri clienti
finali, anche riducendo la durata dei cicli di negoziazione ed evitando molte
controversie grazie all'uso di un linguaggio semplice.
Anche il Garante
per la protezione
dei dati personali
ha riconosciuto il
valore e
l’importanza
della materia,
patrocinando il
primo hackathon
italiano di Legal
Design

10. www.dlapiper.com 10
A chi riporta il DPO della vostra azienda?
22%
14%
14%
26%
10%
10%
4%
Abbiamo un DPO esterno
Altro
Non abbiamo un DPO
Abbiamo un DPO interno che riporta al
responsabile dell'ufficio legale o compliance
Abbiamo un DPO interno che è responsabile
dell'ufficio legale o compliance
Abbiamo un DPO interno che riporta al consiglio di
amministrazione
Abbiamo un DPO interno che riporta a un
dirigente dell'azienda diverso dal responsabile
dell'ufficio legale (e.g., IT, internal audit,
finance, AD)

11. www.dlapiper.com 11
Eseguite una valutazione dei trasferimenti di dati personali fuori dello SEE dopo la
sentenza Schrems II?
46%
18%
16%
0%
2%
6%
12%
No, perché non sappiamo come svolgerla, ma
sappiamo che dobbiamo svolgerla
No, riteniamo che sia improbabile una
sanzione
Sì, ma solo sui trasferimenti di dati personali più
rilevanti
Altro
No, sarebbe troppo oneroso
No, ma sappiamo che dovremo iniziare a farlo
presto
Sì, la stiamo svolgendo su tutti i trasferimenti
di dati personali

12. www.dlapiper.com 12
Ritenete che la vostra azienda sia pronta a gestire un data breach derivante da un
attacco ransomware?
22%
16%
46%
2%
8%
6%
Non riteniamo che la nostra azienda sia a rischio di
diventare vittima di un attacco ransomware, le nostre
misure di sicurezza sono sufficientemente robuste
Si, il dipartimento legale/privacy e IT/cybersecurity
hanno realizzato una procedura di data breach e
abbiamo svolto una simulazione di attacco
ransomware per testarne l’affidabilità
Si, è un aspetto di competenza del
dipartimento IT/cybersecurity
Altro
Pensiamo di svolgere una simulazione di
data breach derivante da ransomware
Si, abbiamo una procedura interna per la
gestione dei data breach, ma non l’abbiamo mai
testata

13. www.dlapiper.com 13
40%
36%
0%
22%
0%
2%
Altro
Non c’è nessuna compliance in materia di cybersecurity,
si tratta di aspetti solo tecnici
Abbiamo mappato tutti i requisiti di compliance
normativa che sono rilevanti ai fini della
cybersecurity e abbiamo svolto una analisi di
compliance che ha coinvolto il dipartimento legale,
privacy, e IT/cybersecurity
È un’analisi che viene eseguita congiuntamente dal
dipartimento privacy con il dipartimento
IT/cybersecurity con i rispettivi consulenti
La compliance in materia di cybersecurity non
viene valutata, pensiamo di non averne bisogno
È un’analisi di competenza del nostro
dipartimento IT/cybersecurity con i loro consulenti
tecnici
Come valutate la compliance in materia di cybersecurity dell'azienda?

14. www.dlapiper.com 14
22%
Abbiamo una procedura
interna per gestire le ispezioni
e abbiamo eseguito una
simulazione di ispezione
24%
Abbiamo una procedura
interna per gestire le ispezioni
ma non l'abbiamo mai testata
12%
Non abbiamo una procedura
per gestire le ispezioni,
pensiamo non sia necessaria
0%
Vista la tipologia di mercato in
cui operiamo, non pensiamo
che subiremo mai un'ispezione
del Garante
32%
Non abbiamo una procedura
per gestire le ispezioni, ma
stiamo pensando di adottarla
8%
Abbiamo già subito delle
ispezioni del Garante e
sappiamo come gestirle
2%
Altro
Come gestite un’ispezione del Garante per la protezione dei dati personali?

15. www.dlapiper.com
Grazie!
15