PECR: Tutto quello che c’è da sapere

In questo articolo vi illustreremo tutto quello che c’è da sapere sul PECR (Privacy and Electronic Communications Regulations) del Regno Unito.

Che cos’è il PECR?
Qual è la differenza tra GDPR e PECR?
Quali aree copre il PECR?
La PECR si applica a me?
Conseguenze della non conformità
E infine, come potete conformarvi al PECR oggi 🚀

Che cos’è il PECR?

Il Privacy and Electronic Communications Regulations (PECR) è un insieme di norme del Regno Unito che conferisce agli individui specifici diritti alla privacy in relazione alle comunicazioni di marketing elettronico. Il regolamento disciplina l’uso dei cookie e di tecnologie simili, le comunicazioni elettroniche non richieste (come lo spam) e il trattamento dei dati personali nel contesto dei servizi di comunicazione elettronica.

Il regolamento è attuato dall’ Information Commissioner’s Office (ICO) ed è concepito per integrare i principi di protezione dei dati stabiliti nel Regolamento generale sulla protezione dei dati (GDPR).

Il PECR (Privacy and Electronic Communications Regulations) è una normativa specifica del Regno Unito che riguarda le comunicazioni elettroniche di marketing e l’uso dei cookie. D’altra parte, il GDPR (General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina la protezione e la privacy dei dati personali per tutti gli individui all’interno dell’UE. Il GDPR stabilisce uno standard più elevato per la protezione dei dati e della privacy e si applica a tutte le organizzazioni che operano nell’UE, mentre il PECR si applica solo alle organizzazioni che operano nel Regno Unito.

La PECR integra il GDPR fornendo ulteriori tutele per specifiche attività di trattamento particolarmente rilevanti per i servizi di comunicazione elettronica, come l’uso di cookie e tecnologie simili, il marketing diretto e la privacy delle comunicazioni.

Nel complesso, il PECR e il GDPR collaborano per fornire un quadro completo per la protezione dei dati personali nel Regno Unito, con il PECR che colma eventuali lacune e fornisce ulteriori protezioni, ove necessario, nel contesto dei servizi di comunicazione elettronica.

Come si concilia il PECR con il GDPR del Regno Unito? Il PECR e il GDPR regolano entrambi il trattamento dei dati personali nel Regno Unito. Tuttavia, mentre il GDPR fornisce un quadro generale per la protezione dei dati personali, il PECR tratta specificamente il trattamento dei dati personali nel contesto dei servizi di comunicazione elettronica.

👉 Per maggiori informazioni sul GDPR del Regno Unito, vedere qui.

Quali sono le aree coperte dal PECR?

La PECR copre le seguenti 5 aree relative alle comunicazioni elettroniche:

Cookie e tecnologie simili – La PECR impone ai siti web di ottenere il consenso informato degli utenti prima di inserire cookie o tecnologie simili nei loro dispositivi.
Comunicazioni di marketing – La PECR stabilisce regole specifiche per l’invio di comunicazioni elettroniche di marketing, comprese le chiamate di telemarketing, i fax, le e-mail e gli SMS.
Dati di localizzazione – La PECR regolamenta l’uso dei dati di localizzazione, compresi i dati di posizionamento GPS e Wi-Fi, raccolti attraverso i servizi di comunicazione elettronica.
Dati sul traffico e sui dispositivi – La PECR richiede che i dati sul traffico e sui dispositivi raccolti nel corso della fornitura di servizi di comunicazione elettronica siano trattati in conformità ai principi di protezione dei dati.
Privacy delle comunicazioni – La PECR prevede specifiche protezioni per la privacy delle comunicazioni elettroniche, come la posta elettronica e la messaggistica istantanea, richiedendo che tali comunicazioni siano intercettate solo in conformità alla legge.

🔎 Per ulteriori informazioni su questo argomento, consultare il sito web dell’ICO →

La PECR si applica a me?

La PECR si applica alle aziende, alle organizzazioni e agli individui che trattano dati personali nel contesto dei servizi di comunicazione elettronica, tra cui, a titolo esemplificativo e non esaustivo:

Siti web e servizi online che utilizzano cookie o tecnologie simili.
Società di marketing che inviano comunicazioni elettroniche di marketing, come chiamate di telemarketing, fax, e-mail e messaggi di testo.
Aziende che offrono servizi di localizzazione, come i servizi di posizionamento GPS e Wi-Fi.
Fornitori di servizi di comunicazione elettronica, come i fornitori di servizi Internet e gli operatori di rete mobile.
Le aziende che utilizzano sistemi di comunicazione elettronica, come la posta elettronica e la messaggistica istantanea, per trattare dati personali.

👉 Se operate in uno di questi settori o trattate dati personali nel contesto di servizi di comunicazione elettronica, è probabile che la PECR si applichi a voi.

Siete un’azienda non britannica che opera nel Regno Unito? Oppure offrite servizi di comunicazione elettronica a privati nel Regno Unito? Se avete risposto SÌ a una di queste domande, dovete rispettare la PECR in relazione al trattamento dei dati personali nel contesto di tali servizi. Allo stesso modo, se un’azienda con sede nel Regno Unito offre servizi di comunicazione elettronica a persone al di fuori del Regno Unito, deve comunque rispettare il PECR anche se i suoi utenti target si trovano al di fuori del Regno Unito.

Non conformità con il PECR

L’ICO ha una serie di poteri esecutivi per garantire che le imprese e le organizzazioni rispettino il PECR, tra cui:

Sanzioni pecuniarie: L’ICO può imporre sanzioni pecuniarie fino a 500.000 sterline per gravi violazioni della PECR, come l’invio di comunicazioni di marketing diretto non richieste o la mancata acquisizione del consenso per l’uso dei cookie.
Avvisi di esecuzione: L’ICO può emettere avvisi di applicazione che richiedono alle aziende e alle organizzazioni di intraprendere azioni specifiche per conformarsi al PECR, come ottenere il consenso per l’uso dei cookie o cessare di inviare comunicazioni di marketing diretto non richieste.
Accusa: In casi gravi, l’ICO può avviare procedimenti penali contro aziende e organizzazioni per violazioni della PECR, come l’invio di comunicazioni di marketing diretto non richieste.
Audit e indagini: L’ICO può effettuare audit e indagini per valutare la conformità alla PECR e può utilizzare queste informazioni per intraprendere azioni di contrasto, se necessario.

L’ICO adotta un approccio all’applicazione delle norme basato sul rischio e, in generale, concentra i propri sforzi sulle aree a più alto rischio per la privacy e dove vi sono prove di un danno significativo per le persone.

👉 L’ICO ha pubblicato un aggiornamento trimestrale sulle azioni intraprese per far rispettare il PECR.

Come conformarsi alla PECR?

Cosa serve	Come fare
Ottenere un consenso valido (con un banner sui cookie!)	👉 Preparatevi con un banner completamente personalizzabile
Disporre di una chiara politica sulla privacy e sui cookie in merito alle vostre pratiche di trattamento dei dati.	Genera Privacy e Cookie Policy
Rispettare il diritto delle persone di rinunciare al marketing diretto.	👉 Scoprite la nostra spiegazione passo dopo passo

*Nota bene: Le organizzazioni devono inoltre nominare un responsabile della protezione dei dati e implementare misure tecniche e organizzative adeguate per proteggere i dati personali trattati per le comunicazioni elettroniche. Potrebbero anche dover effettuare regolarmente valutazioni dell’impatto sulla privacy (PIA) e tenere registri dettagliati delle loro attività di trattamento dei dati.

Hai ancora domande?

Partecipa a uno dei nostri webinar gratuiti Scrivici via email Live chat

Documentazione