Sicurezza (dati e privacy) di un concorso digitale nel 2021: come garantirla

COMPLIANCE

Sicurezza (dati e privacy) di un concorso digitale nel 2021: che cosa fare per garantirla



Quali sono gli accorgimenti che un’azienda dovrebbe avere nel momento in cui si trova a dover trattare le ingenti quantità di dati raccolti tramite un concorso a premi?

di Fiorenza Polverino

15 Feb 2021


I concorsi a premi digitali sono un efficace strumento per raccogliere dati sui consumatori. Le piattaforme che permettono la gestione dei concorsi in digitale, come quella sviluppata da Scratch & Screen, rendono possibile acquisire una mole di informazioni (dalle anagrafiche ai comportamenti di acquisto) impensabile utilizzando la vecchia modalità delle cartoline da spedire.

Ottenere, conservare e gestire tutti questi dati rappresenta però un ulteriore elemento di complessità con cui l’azienda deve confrontarsi. Per non andare incontro a spiacevoli incidenti, oltre che a multe salate, ci sono una serie di passaggi da osservare per tutelarsi, garantendo la sicurezza dei dati raccolti durante il concorso.

Raccolta dati: finalità del trattamento e consenso

L’utente che intende partecipare a un concorso è invitato a registrarsi attraverso la compilazione di un modulo in cui inserire i propri dati personali (generalità, indirizzo email…). Secondo quanto previsto dal GDPR, è necessario ottenere il suo espresso consenso all’utilizzo di queste informazioni per ciascuna delle finalità previste dalla manifestazione.

“Ci sono vari livelli di richiesta di autorizzazione” spiega Mariacarla Millone, co-fondatrice e direttrice operativa di Scratch & Screen. Il primo campo che il giocatore è chiamato ad approvare riguarda la partecipazione stessa al concorso: previa presa visione del regolamento, che per legge deve essere accessibile agli interessati e che quindi sarà raggiungibile attraverso un collegamento ad-hoc, l’utente dà il consenso all’utilizzo dei suoi dati ai fini dell’iscrizione al concorso. Senza spuntare questa voce, partecipare non gli sarà possibile.

Nel momento in cui il trattamento dei dati da parte dell’azienda a quanto sarebbe necessario per la semplice partecipazione al concorso, ovvero se i dati raccolti verranno utilizzati per analisi statistiche o per scopi di marketing, occorrerà richiedere ulteriori specifici consensi all’utente. Quest’ultimo dovrà essere messo a conoscenza delle finalità aggiuntive che l’azienda vorrà perseguire attraverso un’apposita documentazione (l’informativa privacy), che consentirà di esprimere un consenso informato. Al momento della creazione del form di partecipazione al concorso, si dovranno prevedere ulteriori campi da spuntare nel momento in cui l’intenzione è quella di utilizzare i dati dei partecipanti per:

  • analisi statistiche;
  • attività di marketing (ad esempio, l’iscrizione alla newsletter);
  • eventuale trasmissione dei dati a terze parti.

È importante ricordare che questi campi non possano né essere resi obbligatori, né pre-spuntati: il consenso al trattamento dei dati per queste finalità non può essere vincolante per la partecipazione al concorso. Inoltre, l’utente deve avere la possibilità di modificarlo o revocarlo (come di chiedere la rettifica dei propri dati) in qualsiasi momento.

Conservare i dati: la scelta del servizio di hosting

Una volta raccolti i dati, l’attenzione si sposta sulla scelta dello spazio virtuale dove conservarli. Ci sono due aspetti da considerare: da una parte, meritano certamente attenzione tutte le questioni relative alla sicurezza vera e propria. Se l’accesso al concorso avviene tramite un sito web, come nel caso di Scratch & Screen, occorrerà verificare con il proprio hosting provider che la soluzione scelta includa backup dei dati, firewall e monitoraggio di rete e traffico. Alla base è previsto un sistema di disaster recovery: questo deve tener conto da un lato della duplicazione automatica dei dati su dischi fisici differenti, in modo che se si dovesse rompere un disco, i dati non andrebbero persi; ma risulterebbero accessibili da un altro sito, localizzato questo in un luogo sufficientemente distante dal primo, per prevenire che una calamità qualsiasi, naturale o no, possa coinvolgere entrambe le strutture. Dall’altro anche il server deve poter essere duplicato, sempre in una località geograficamente distante, per evitare che un guasto qualunque possa bloccare il concorso stesso. Inoltre ovviamente è consigliato un sistema di load balancing: anche in questo caso, la presenza di forti carichi di lavoro sul server potrebbe far rallentare, anche di molto, le operazioni che avvengono in background e quindi meglio prevenire con una corretta distribuzione di carichi di lavoro su server differenti e geograficamente lontani.

Dall’altra, non bisogna trascurare tutta una serie di requisiti normativi che vanno ad interessare anche le modalità di conservazione dei dati raccolti attraverso un concorso a premi digitale. Primo fra tutti, quello della territorialità. Infatti, secondo quanto stabilito dal MISE, i data center che ospitano questo tipo di materiale dovranno necessariamente essere localizzati fisicamente sul territorio italiano. Si tratta dello stesso motivo per cui non è possibile gestire contest o operazioni a premi esclusivamente tramite social media come Facebook o Instagram, ma è necessario attivare un sistema di mirroring che trasmetta in tempo reale i dati raccolti su server italiani.

Cosa succede a concorso concluso?

Anche se non si volessero utilizzare in alcun modo i dati raccolti durante il concorso a premi, la legge italiana prevede che il soggetto promotore del contest sia tenuto a conservarli per eventuali controlli a campione o per verifiche in caso di contestazioni. Il periodo di tempo per cui è necessario mantenere in archivio la documentazione fiscale relativa al concorso concluso è di 5 anni. Di questo deve occuparsi in prima persona l’azienda che ha promosso l’iniziativa, oppure, dietro sua richiesta, la società che ha materialmente ha gestito concorso e dati.

“Scratch & Screen rimane comunque un detentore temporaneo delle informazioni ottenute” chiarisce Mariacarla Millone. “I dati raccolti durante lo svolgimento del concorso a premi appartengono al nostro cliente”. Infatti, alla chiusura della campagna, l’intero database dei dati ottenuti viene immediatamente ceduto al soggetto promotore dell’iniziativa, che potrà gestirlo come meglio ritiene (sempre rispettando i consensi espressi dagli utenti al momento della registrazione). Dopo questo passaggio, Scratch & Screen tratterà i dati per anonimizzarli in modo irreversibile, così da poterli poi utilizzare esclusivamente per fini statistici. Nel caso in cui il cliente non desideri che queste informazioni rimangano nei database, Scratch & Screen provvederà alla completa e definitiva cancellazione del materiale raccolto.

CLICCA QUI per scaricare il White Paper: "Profilare è un gioco Oltre la promozione: il valore dei dati e della loro analisi"

 

Fiorenza Polverino