GDPR cosa fare e chi riguarda

GDPR cosa fare e chi riguarda

Aggiornamento agosto 2018 – Dal 25 maggio la comunicazione di aziende e professionisti in Italia e in Europa cambierà totalmente con l’entrata in vigore del GDPR – General Data Protection Regulation, cioè l’aggiornamento della normativa sulla Privacy che prevede multe salate per chi non la rispetterà.

Il cambiamento riguarda sia le aziende sia i professionisti che si promuovono online, ma anche il consumatore finale che lascia i propri dati per ricevere un servizio.

Disclaimer
Premetto di non essere un “tecnico” tanto meno un legale e non è mia intenzione dispensare consigli, visto che la normativa per certi aspetti è ancora poco chiara. Pertanto, se ci sono dubbi o richieste specifiche, la cosa migliore è rivolgersi a un professionista della materia.

Tuttavia, di seguito ho raccolto alcune informazioni sul Regolamento che credo aiutino a chiarire cos’è e come muovere i primi passi per mettersi in regola.

 

Cos’è la GDPR e chi riguarda

Il Regolamento Privacy Europeo è un aggiornamento dell’attuale vigente decreto legislativo 196/2003 “Il Codice Privacy”, redatto prima dell’avvento di Internet e quindi obsoleto.

Riguarda i dati delle persone come nome, cognome, età, sesso ma anche email, numero di telefono e simili, che in ambito digitale hanno un valore altissimo, in quanto considerati “moneta di scambio” per accedere a prodotti e servizi.
Il Regolamento si integra con la norma Cookie law introdotta alcuni anni fa.

Il GDPR riguarda le persone fisiche e non le aziende, ma non c’è distinzione tra B2B e B2C. Nel momento in cui la nostra attività richiede di raccogliere una o più di queste informazioni ne diventiamo titolari e quindi responsabili.

GDPR principi fondamentali introdotti

  • privacy by design, cioè il sistema di trattamento dei dati deve essere concepito sia a livello strutturale sia a livello concettuale alla base (by default) del progetto che si vuole mettere online. Dovrà quindi essere strutturato per prevenire e non per correggere eventuali falle nella riservatezza e protezione dei dati, potendo adottare liberamente le misure tecnologiche per farlo.
  • accountability, indica che l’intera responsabilità del dato ricade su chi lo richiede che pertanto dovrà progettare il sistema di trattamento in modo da garantire la conservazione dei dati, evitandone perdite, furti e altro.

GDPR figure principali introdotte:

  • titolare del dato, colui che richiede i dati
  • DPO – Data Protection Officer, colui che sovraintende il trattamento nel rispetto delle normative
  • incaricato, colui o coloro che “metteranno le mani” sul database.

 

 

Trattamento del consenso

Rispetto ad oggi, quando andiamo a chiedere questi dati concernenti la privacy delle persone tramite form online, dobbiamo fornire:

  • consenso informato
  • specifico
  • libero
  • revocabile
  • documentato per iscritto.

Vediamo uno alla volta questi aspetti.

 

La richiesta del consenso è obbligatoria per poter trattare i dati e deve essere espressa, dichiarata e non sottintesa. Quindi non solo andranno chiariti gli scopi della raccolta, consenso informato appunto, ma non saranno validi check box già spuntati nel caso in cui ci fossero più finalità.
In effetti, il consenso deve essere anche specifico, cioè non allargato ad altri consensi ma presentare una finalità alla volta.

Specifico che l’invio di DEM, quindi di comunicazione di marketing diretto è già legiferata dalle norme antispam per cui non è possibile inviare messaggi pubblicitari a chi non ne ha fatto richiesta.

Il consenso deve essere revocabile quindi l’iscritto non solo deve essere in grado di potersi cancellare ma, addirittura, di poter cancellare i propri dati in modo definitivo ricorrendo al diritto all’oblio in presenza di motivazioni “forti”. Anche se per motivi di legge, ad esempio amministrativi, sarà possibile continuare a gestire il dato fino all’estinzione dell’obbligo che ne vietava la cancellazione.

Il GDPR prevede che l’utente possa procedere alla consultazione e/o alla cancellazione del dato. Non è previsto però un obbligo di accesso diretto a queste informazioni. Tuttavia, il titolare non dovrà disattendere la richiesta dell’interessato e quindi dovrà munirsi di strumenti atti ad accoglierla.

Il consenso deve essere documentato, cioè il titolare deve essere in grado di provare che ha raccolto il consenso attraverso la tecnologia quindi, ove possibile, fornendo tramite un supporto digitale la chiamata al server con il consenso. In ogni caso, deve essere fornito in una forma leggibile e organizzata.

Chi è esonerato dal chiedere il consenso

Sono esonerati da queste procedure i titolari che trattano i dati ai fini del “legittimo interesse“. Ad esempio, per il normale svolgimento di attività di lavoro per cui devo comunicare con dipendenti, clienti e fornitori o nel caso in cui si debba emettere fatturazione o stipulare un contratto. In questo caso, i titolari sono esonerati dalla richiesta del consenso esplicito.
Ovviamente le comunicazioni commerciali, anche se saltuarie, non rientrano mai nel legittimo interesse. Di conseguenza è necessario ottenere il consenso per inviarle.

 

Diritti del titolare

La modifica alla Privacy prevede il diritto di portabilità quindi se cambiamo piattaforma siamo autorizzati a trasferire i dati da un gestore a un altro e continuarne l’uso.

Il GDPR consente, ad esempio alle aziende, di assegnare il ruolo del responsabile (DPO – Data Protection Officer) anche a una persona fisica o giuridica. La scelta non è vincolante e può ricadere anche su un individuo esterno all’azienda.

Oneri in breve

  • in tutti i casi di raccolta dati va chiesto il consenso
  • il consenso va documentato indipendentemente dai fini del trattamento dei dati
  • non vanno bene caselle prespuntate
  • non vanno bene consensi poco chiari
  • non si devono chiedere più dati del necessario

Tra i vari oneri, rientra il dovere di dichiarare eventuali fughe di dati. La notifica va fatta entro le 72 ore dalla violazione del database.

 

Da dove partire

Un buon punto per iniziare a mettersi in regola con il GDPR è redarre il documento di attestato di rischio del proprio sistema. Il Risk Assessment dovrà definire che tipo di dati trattiamo, per quanto tempo, con quale finalità, con quali mezzi (elettronici o cartacei) e altro. In base a quanto raccolto, si stabiliscono le misure di sicurezza da adottare.

Linee guida del GDPR per essere compliant

Posso dimostrare di essere in grado di gestire la privacy in modo adeguato utilizzando i dati anonimi e tramite la criptografia del database con la possibilità di risalire al dato, in modo da non essere soggetto a eventuali fughe di dati o furti. Inoltre, l’uso della criptografia eviterebbe l’obbligo di notifica di violazione.

Un altro modo è tenere il Registro delle attività del trattamento, obbligatorio per realtà aziendali superiori ai duecentocinquanta dipendenti e gli enti pubblici, ma anche per professionisti e PMI che trattano i dati in modo continuativo.

Ovvero, se conservi i dati dei tuoi clienti per analisi statistiche e/o per fatturare, sei tenuto ad avere un Registro del Trattamento, cioè un giornale fisico o virtuale dove annotare il tipo di dati raccolti, le finalità e, se comunicati a terzi parti, la loro destinazione.

 

GDPR se sei un blogger

Se fai blogging e tramite il tuo blog o sito fai raccolta di email per la newsletter il regolamento prevede che tu rispetti le stesse norme delle aziende anche se probabilmente non avrai bisogno di eleggere un DPO, che è facoltativo, né di iscriverti al registro del trattamento. Ma dovrai fornire la possibilità alle persone di accedere ai dati e cancellarsi secondo i punti descritti nel Trattamento del consenso.

GDPR se sei un’agenzia web

Nel caso di una web agency o professionista che gestisce il sito di un cliente, l’ente esterno è quello che tratta i dati. Quindi anche in questo caso il cliente resta il titolare del trattamento ma dovrà formalizzare tramite un contratto la modalità del trattamento dei dati. Il contratto di fornitura incarica il responsabile esterno, cioè l’agenzia web, del trattamento delimitando i confini di responsabilità e/o inserendo delle manleve.

 

GDPR in vigore il Decreto Italiano

Dopo lo slittamento di maggio del decreto di coordinamento da parte del governo italiano per armonizzare la disciplina della privacy italiana al Regolamento europeo, il Consiglio dei Ministri ha annunciato la versione finale del documento che verrà applicato dal 21 agosto 2018.

Nel decreto vengono espressi due concetti principali:

  • la gradualità ispettiva del Garante nei confronti di imprese e pubblica amministrazione. Non si effettueranno ispezioni per i prossimi 8 mesi
  • la semplificazione per le piccole e medie imprese degli adempimenti normativi che saranno alleggeriti rispetto alle società che trattano dati su larga scala.

Nel comunicato stampa dell’8 agosto si legge che:

Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.

A breve il testo sarà pubblicato su Gazzetta Ufficiale.

 

Conclusioni

In generale, credo che la GDPR sarà un’occasione per fare pulizia dei database e per rendere più chiari i messaggi sulle finalità del trattamento dei dati. Immagino che ulteriori chiarimenti sulla corretta gestione e le responsabilità dei diversi ruoli arriveranno nelle prossime settimane.

Tuttavia, molte piattaforme di email marketing hanno già iniziato a rilasciare il “pacchetto GDPR“, utile per mettersi in regola in tempo, come ad esempio MailChimp una delle prime a dare indicazioni precise su cosa fare.

E’ chiaro che per ottenere la fiducia e le preziose informazioni dai consumatori, le aziende e i professionisti devono mostrarsi generosi e disponibili. Offrire supporto, risposte in tempo reale e un’esperienza piacevole. Ed in questo rientra anche la possibilità di conoscere, modificare e cancellare i dati in modo agevole da parte degli utenti.

Ho parlato di come recuperare il consenso di parte dei nostri contatti in questo articolo mentre in questo video spiego come ripulire quelli non più attivi nel caso in cui usi MailChimp come piattaforma di email marketing.

 

 

Hai già iniziato a metterti in regola per il GDPR? Cosa ne pensi del Regolamento? Fammelo sapere nei commenti.

Hai già scelto la tua piattaforma per inviare newsletter e attivato una strategia di email marketing? Compila il questionario per ricevere un report gratuito e personalizzato.

 

20 commenti

  1. Guido 23 febbraio, 2018 Rispondi
    • Maura Cannaviello 24 febbraio, 2018 Rispondi
  2. Marco Panichi 12 aprile, 2018 Rispondi
  3. Paolo 20 aprile, 2018 Rispondi
    • Maura Cannaviello 21 aprile, 2018 Rispondi
  4. Fabrizio Melis 2 maggio, 2018 Rispondi
      • Fabrizio Melis 2 maggio, 2018 Rispondi
  5. Nicolò 15 maggio, 2018 Rispondi
    • Maura Cannaviello 15 maggio, 2018 Rispondi
  6. Alessandro 15 maggio, 2018 Rispondi
    • Maura Cannaviello 15 maggio, 2018 Rispondi
  7. Luca 23 maggio, 2018 Rispondi
    • Maura Cannaviello 23 maggio, 2018 Rispondi
  8. Gianni 23 maggio, 2018 Rispondi
    • Maura Cannaviello 23 maggio, 2018 Rispondi
  9. Gianni 24 maggio, 2018 Rispondi
    • Maura Cannaviello 30 maggio, 2018 Rispondi
  10. Gianni 3 giugno, 2018 Rispondi

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.