Un evento con 300 partecipanti significa 300 moduli di iscrizione, liste di presenza, scansioni dei badge, e-mail di conferma, foto e magari una newsletter di follow-up. Tutti questi sono punti di raccolta di dati personali e comportano altrettanti obblighi previsti dal GDPR. In qualità di organizzatore, siete davvero in regola? La domanda merita di essere posta senza mezzi termini. Questo articolo passa in rassegna gli obblighi concreti che si applicano alla vostra attività — dalla raccolta dei dati dei partecipanti alla sicurezza della piattaforma che utilizzate — per permettervi di agire, e non di subire.
GDPR: un regolamento europeo che si applica anche agli eventi
Entrato in vigore il 25 maggio 2018, il Regolamento generale sulla protezione dei dati si applica a qualsiasi organizzazione che tratti dati personali di residenti in Europa, indipendentemente dalle sue dimensioni. Per un organizzatore di eventi, ciò significa concretamente che ogni raccolta di dati — compresa una lista di presenza cartacea o la scansione di un badge — costituisce un trattamento ai sensi del GDPR e comporta una serie di obblighi. Le sanzioni della CNIL sono concrete: nel 2024, l’autorità ha emesso 87 sanzioni per un totale di oltre 55 milioni di euro di multe (fonte: CNIL, rapporto di attività 2024). Non è un motivo per farsi prendere dal panico, ma per agire.
I due soggetti chiave: il titolare del trattamento e il responsabile del trattamento
Il GDPR si basa su una distinzione fondamentale: il titolare del trattamento (Data Controller) e il responsabile del trattamento (Data Processor). In qualità di organizzatore, Lei è il titolare del trattamento: è Lei a decidere perché e come vengono raccolti i dati. La piattaforma per eventi che utilizzi è il tuo responsabile del trattamento: tratta i dati per tuo conto, secondo le tue istruzioni. Questa distinzione ha una conseguenza diretta: anche se deleghi a una piattaforma, rimani responsabile ai sensi della legge delle pratiche di tale responsabile del trattamento. Torneremo su questo punto cruciale nell'ultima sezione.
Da ricordare
In qualità di organizzatore, lei è il titolare del trattamento.
La piattaforma che sceglie è il suo responsabile del trattamento.
Lei è responsabile delle sue pratiche dinanzi alla legge.
Eventi B2B: obblighi spesso sottovalutati
Un luogo comune diffuso: «I dati professionali non rientrano nell’ambito di applicazione del GDPR». Ciò non è esatto. I dati di contatto di un dipendente — il suo nome, la sua e-mail aziendale, la sua qualifica — sono dati personali ai sensi del regolamento. Conferenze di settore, fiere professionali, seminari per i clienti: tutti questi eventi sono interessati. La base giuridica del «legittimo interesse» è spesso applicabile nel B2B per l’invio di inviti o il follow-up commerciale, ma deve essere obbligatoriamente documentata nel vostro registro dei trattamenti. Non esonera dall’obbligo di informare le persone.
Eventi B2C: standard ancora più elevati
Nel settore B2C, il consenso esplicito è spesso richiesto, in particolare quando il trattamento dei dati va oltre l’organizzazione logistica dell’evento. Foto e video dell’evento diffusi pubblicamente, raccolta di dati sanitari per un evento sportivo, trattamento dei dati di minori: tutti casi delicati che richiedono un’attenzione particolare. Un aspetto viene spesso trascurato: la comunicazione post-evento — invio di un replay, questionario di soddisfazione, newsletter di follow-up — richiede una base giuridica distinta dalla semplice iscrizione. Il consenso ottenuto per l’iscrizione non vale come consenso per comunicazioni successive.
Evento B2B2C
Alcuni eventi B2B possono coinvolgere anche accompagnatori, come i coniugi o persino i figli. Ad esempio, in occasione di eventi del tipo“family days”, in cui l’azienda, lo stabilimento o la fabbrica aprono le porte ai familiari per far scoprire il lavoro di un genitore che vi lavora.
Alcune aziende che fanno parte del patrimonio industriale possono anche aprire le loro porte in occasione delle Giornate del Patrimonio.
Si crea così un mix di partecipanti tra dipendenti e visitatori o ospiti del “grande pubblico”
Cosa deve contenere un foglietto illustrativo conforme?
L'articolo 13 del RGPD impone che ogni informativa contenga precise indicazioni: l'identità e i recapiti del responsabile del trattamento, le finalità e la base giuridica di ciascun trattamento, i destinatari o le categorie di destinatari dei dati, il periodo di conservazione, i diritti degli interessati e le modalità per esercitarli, i recapiti del responsabile della protezione dei dati (DPO) se la vostra organizzazione ne ha designato uno, e l'esistenza di eventuali trasferimenti al di fuori dell'Unione europea. Tale informativa deve essere redatta in un linguaggio chiaro e comprensibile: il gergo giuridico non è un alibi, ma un ostacolo.
Quando devono essere fornite le informazioni?
Il principio è semplice ma imprescindibile: l’informazione deve precedere la raccolta dei dati. In pratica, ciò significa renderla accessibile nel modulo di registrazione online (prima dell’invio), nell’e-mail di conferma della registrazione, nell’applicazione di gestione delle credenziali e al banco di registrazione in loco. Inserire un link alla politica sulla privacy a piè di pagina di un'e-mail non è sufficiente. L'informazione deve essere visibile, accessibile e presentata prima che la persona fornisca i propri dati.
Individuare la base giuridica corretta in base al tipo di evento
Ogni trattamento deve fondarsi su una delle basi giuridiche previste dal GDPR.
Le basi giuridiche più comuni nel settore degli eventi sono le seguenti:
• Consenso: utilizzato in particolare per l’invio di una newsletter post-evento, nonché per l’utilizzo di foto e video. Deve essere libero, specifico, informato e revocabile in qualsiasi momento.
• Interesse legittimo: spesso utilizzato per l’invio del programma, i solleciti commerciali B2B o alcune comunicazioni legate all’evento. Il suo utilizzo richiede una valutazione documentata degli interessi tra le esigenze dell’organizzatore e i diritti delle persone interessate.
• Esecuzione del contratto: riguarda, ad esempio, un'iscrizione a pagamento o la consegna di un badge necessario per la partecipazione. Questa base giuridica deve limitarsi ai dati strettamente necessari all'esecuzione del servizio richiesto.
L'errore più comune è quello di ricorrere al consenso come base giuridica predefinita, mentre l'esecuzione del contratto o il legittimo interesse sono spesso più adeguati — e meno complessi da gestire. L'importante è definire la base giuridica in anticipo e documentarla.
Riduzione al minimo dei dati: raccogliere solo ciò che è necessario
Il principio di minimizzazione è uno dei fondamenti del GDPR: si raccolgono solo i dati strettamente necessari alle finalità dichiarate. Applicato al settore degli eventi, porta a porsi domande concrete: la data di nascita è davvero necessaria per una conferenza di settore? Il numero di telefono è indispensabile se tutta la comunicazione avviene via e-mail? Rispondere a queste domande prima di ogni evento è più efficace di un audit annuale.
Modulo di iscrizione: le buone pratiche
La conformità si gioca anche nei dettagli del modulo. Caselle di selezione non preselezionate, testi di consenso chiari e distinti per finalità (una casella per la registrazione, un’altra per la newsletter), link alla politica sulla privacy visibile prima dell’invio, assenza di campi obbligatori non giustificati: ogni elemento conta. Una piattaforma per eventi conforme deve consentirvi di configurare questi parametri senza ricorrere a espedienti tecnici. Se il vostro strumento non lo permette, è un segnale d'allarme.
Stabilire durate adeguate a ciascuna finalità
Non esiste un periodo di conservazione universale: esso dipende dalla finalità di ciascun trattamento. Alcuni punti di riferimento ragionevoli: i dati di fatturazione devono essere conservati per 10 anni in ottemperanza agli obblighi contabili previsti dalla legge; i dati di contatto per la promozione commerciale, per 3 anni a partire dall’ultimo contatto secondo la raccomandazione della CNIL; i dati relativi alla partecipazione a un evento, per un massimo di 12 mesi a fini statistici. Questi periodi devono essere obbligatoriamente documentati nel vostro registro dei trattamenti. Molti organizzatori conservano i dati a tempo indeterminato per mancanza di una procedura: si tratta di una non conformità di per sé.
Noi di Appcraft consigliamo di conservare i dati per 3 mesi dopo l'evento. Nel 90% dei casi, questo periodo è più che sufficiente.
Accreditamenti, badge e dati di presenza: il caso specifico
I dati raccolti durante la scansione dei badge meritano un'attenzione particolare. L'ora di ingresso, le sessioni visitate, le interazioni con gli espositori: si tratta di dati comportamentali a tutti gli effetti. Devono essere coperti da una base giuridica esplicita, menzionati nell'informativa e cancellati entro un termine definito. Questo aspetto viene spesso ignorato durante gli eventi professionali, anche da parte di organizzazioni che per il resto ritengono di avere una buona padronanza della conformità al GDPR.
Diritto di accesso, rettifica e cancellazione
Gli articoli 15, 16 e 17 del GDPR garantiscono ai partecipanti il diritto di accedere ai propri dati, di farli rettificare e di richiederne la cancellazione. In linea di principio, avete un mese di tempo per rispondere a una richiesta (prorogabile a 3 mesi per le richieste complesse). Caso concreto: un partecipante richiede la cancellazione dei propri dati dopo l'evento. Dovete essere in grado di cancellare il suo profilo dalla vostra piattaforma, dalle mailing list associate e da qualsiasi database di terzi a cui avreste trasmesso le sue informazioni. Se la vostra piattaforma non consente questa cancellazione su richiesta, si tratta di un problema.
Diritto di opposizione e revoca del consenso
Il diritto di opposizione si applica ai trattamenti basati sull’interesse legittimo: il partecipante può opporsi in qualsiasi momento e voi dovete interrompere tale trattamento, salvo che sussista un motivo imperativo. La revoca del consenso riguarda i trattamenti basati sul consenso: deve essere semplice quanto la sua concessione. Un link di cancellazione in ogni e-mail non è sufficiente se sono in corso altri trattamenti basati sul consenso. L'esercizio di questi diritti deve applicarsi a tutti i trattamenti interessati, non solo all'invio di e-mail.
Come organizzare concretamente la gestione di queste richieste?
Non è necessario un responsabile della protezione dei dati (DPO) a tempo pieno per gestire efficacemente le richieste relative ai diritti. Nella maggior parte dei casi è sufficiente una governance snella: nominare un referente interno per il GDPR (anche a tempo parziale), creare un indirizzo e-mail dedicato alle richieste (del tipo privacy@votreentreprise.fr), documentare ogni richiesta e la relativa risposta in un registro semplice e assicurarsi che la vostra piattaforma consenta l’esportazione e la cancellazione dei dati su richiesta. Per le organizzazioni di medie dimensioni, un DPO esterno può fornire la consulenza legale necessaria senza i vincoli di un'assunzione dedicata.
Il DPA (Accordo sul trattamento dei dati): il primo documento da richiedere
L'articolo 28 del RGPD impone la stipula di un contratto di subappalto (Data Processing Agreement, o DPA) tra l'organizzatore e qualsiasi piattaforma che tratti dati personali per suo conto. Tale documento deve specificare l’oggetto e la durata del trattamento, la sua natura e finalità, il tipo di dati trattati, gli obblighi del responsabile del trattamento in materia di sicurezza e riservatezza, le condizioni di subappalto e le modalità di audit. L’assenza di un DPA costituisce di per sé una non conformità — espone a rischi in caso di controllo, indipendentemente dalla qualità delle misure tecniche in atto. Una piattaforma che non offre un DPA non può essere considerata conforme.
Hosting europeo e sicurezza tecnica: i criteri imprescindibili
Oltre al DPA, occorre verificare diversi criteri tecnici. L’hosting dei dati su server situati nell’Unione europea è un requisito imprescindibile. I trasferimenti al di fuori dell’UE — in particolare verso subappaltatori statunitensi soggetti al Cloud Act — comportano rischi giuridici concreti che devono essere disciplinati da clausole contrattuali tipo (CCT) o da altri meccanismi.
In questo senso, l'hosting su server situati in Europa o addirittura in Francia presso un operatore statunitense come AWS (Amazon) o Azure (Microsoft) espone l'utente al Cloud Act statunitense. La crittografia dei dati in transito e inattivi, la gestione dei diritti di accesso, la tracciabilità tramite registri di audit, un piano di risposta agli incidenti (con notifica alla CNIL entro 72 ore in caso di violazione) e certificazioni riconosciute come l'ISO 27001 sono indicatori significativi di maturità in materia di sicurezza.
Da AppCraft, questi requisiti sono integrati nell'architettura della piattaforma: hosting in Francia su server OVH (azienda francese), dati dei partecipanti inaccessibili al motore di IA, anonimizzazione garantita dall'architettura e DPA disponibile per ogni cliente.
Lista di controllo per scegliere una piattaforma realmente conforme al GDPR
Prima di firmare un contratto con un fornitore, verificate ogni singolo punto:
1. Il fornitore offre un DPA (accordo di subappalto ai sensi del GDPR) firmato e aggiornato?
2. I dati sono ospitati esclusivamente all’interno dell’Unione Europea?
3. La società di hosting è soggetta a una legislazione incompatibile con quella europea, come ad esempio il Cloud Act statunitense?
4. La crittografia dei dati è garantita sia in transito (TLS) che in fase di archiviazione?
5. La piattaforma offre registri di audit e tracciabilità degli accessi?
6. Dispone di una procedura di notifica in caso di violazione dei dati (72 ore CNIL)?
7. Il modulo di registrazione è configurabile per rispettare i principi di minimizzazione e consenso?
8. La cancellazione dei dati di un partecipante può essere effettuata su richiesta, in tempi rapidi?
9. La piattaforma dispone di una certificazione riconosciuta (ISO 27001 o equivalente)?
10. I subappaltatori della piattaforma sono identificati e coperti da garanzie contrattuali?
11. Il team commerciale o legale è in grado di rispondere alle vostre domande sul GDPR senza ritardi eccessivi?
La conformità al GDPR nel settore degli eventi non è una questione che riguarda solo i giuristi: è una questione che riguarda gli organizzatori. Gli obblighi sono concreti, i rischi reali e le soluzioni esistono — anche per le organizzazioni che non dispongono di un responsabile della protezione dei dati (DPO) dedicato. L'importante è strutturare il proprio approccio: documentare i trattamenti, scegliere una piattaforma realmente conforme, informare i partecipanti e dotarsi dei mezzi necessari per garantire il rispetto dei loro diritti.
Al di là della semplice conformità, la protezione dei dati è anche un fattore chiave per instaurare un rapporto di fiducia. I partecipanti che sanno che i loro dati vengono trattati con serietà si iscrivono più facilmente, condividono informazioni più pertinenti e tornano alle edizioni successive. Il rigoroso rispetto del GDPR, se applicato correttamente, rappresenta un vantaggio competitivo oltre che un obbligo di legge.
Per approfondire: la conformità al GDPR solleva naturalmente altre questioni correlate, come la gestione dei cookie sul vostro sito dedicato agli eventi, la politica di conservazione dei dati CRM tra due edizioni dello stesso evento, o ancora le sfide specifiche degli eventi ibridi, in cui i partecipanti online e quelli in presenza non sono soggetti allo stesso trattamento dei dati. Tutti argomenti che continueremo ad approfondire.
