gdpr

Normativa GDPR: cosa è e cosa cambia per le aziende

Guest post di Andrea Serventi, Content Editor per MailUp.

Che cos’è il GDPR

GDPR è, innanzitutto, l’acronimo di General Data Protection Regulation, e se ancora non ne hai sentito parlare, è ora che ti faccia un’idea piuttosto concreta dell’argomento.

Il GDPR è la nuova normativa pan-europea che promette di rivoluzionare il modo in cui vengono intesi e gestiti i dati personali sul web.

Approvato dall’Unione Europea nel 2016, il GDPR è formalmente già entrato in vigore, ma essendo un regolamento ad applicazione differita, diviene pienamente operativo due anni dopo la sua approvazione – il 25 maggio 2018. Data ormai imminente.

Si tratta di uno spartiacque che marcherà un prima e un dopo. Le implicazioni per le aziende sono profonde, dal momento che il GDPR riscrive le regole con cui startup, PMI, grandi imprese o liberi professionisti devono gestire dati e informazioni relative a utenti, clienti e prospect.

Prima di addentrarci tra le novità e i cambiamenti operativi, è bene sottolineare un punto, che riguarda la “filosofia” del nuovo testo di legge: il GDPR nasce per essere lo Statuto della Data Economy e definire le regole di utilizzo legale dei dati, che ai giorni nostri rappresentano la materia prima in grado di alimentare la crescita e lo sviluppo dell’impresa.

Dunque, oltre al carattere normativo, il GDPR si pone come strumento di competizione economica rilevante nella nuova economia dei dati.

In quest’ottica di doppio indirizzo – normativo e strategico – noi di MailUp abbiamo creato un hub che raccoglie un ampio ventaglio di contenuti dedicati al tema: approfondimenti, video-corsi, interviste, webinar e tutti i link alle normative ufficiali.

Si chiama MailUp Academy, ed è un progetto nato con l’obiettivo di offrire supporto ad aziende, liberi professionisti e PMI per prepararsi alla deadline del 25 maggio.Tra i vari formati di contenuto, troverai anche un white paper, che tocca tutti gli elementi di novità della normativa.

In questo post mi limiterò a una panoramica, per indicarti le novità strutturali del GDPR e i riflessi operativi sulle aziende.

I 4 principi del GDPR

La raccolta del consenso

Se attualmente in Italia vige il meccanismo del consenso espresso (o metodo opt-in), con il GDPR il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti-positivi. Non dovrà quindi essere necessariamente esplicitato con la spunta sulla casella checkbox.

Il modello più classico a cui si ispira il GDPR è quello del banner dei cookies, che in occasione della prima visita a un sito ci richiede il consenso senza che vi sia da parte nostra un’azione che confermi l’assenso.

Questo non vuol dire che verranno meno le forme di consenso tipicamente italiane (con caselle da barrare e moduli da firmare). Ma, anche per queste, si apriranno nuovi scenari e nuove possibilità.

Il criterio dell’accountability

Fino ad oggi gli adempimenti erano basati sulla logica dell’effettivo abuso dei dati raccolti. Si era sanzionati se gli adempimenti non erano stati applicati e se le autorità di controllo lo rilevavano e lo contestavano. Il GDPR rovescia la prospettiva: diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità.

Si chiama logica dell’accountability, cioè della corretta organizzazione e tracciabilità obbligatoria delle attività di trattamento. Chi non organizza bene la gestione dei dati che raccoglie è punibile per questo semplice fatto, a prescindere dall’abuso dei dati che ne possa derivare.

I diritti dell’interessato

Oggi per accedere, modificare, integrare e cancellare i propri dati personali, gli interessati devono superare ostacoli e difficoltà rilevanti. Il GDPR impone alle aziende di agevolare l’esercizio di questi diritti.

A proposito di tutele, ne nascono due nuove a favore dell’interessato:

  1. Diritto all’oblio, che permette di ottenere la cancellazione dei dati personali e la rinuncia a un’ulteriore diffusione
  2. Diritto alla portabilità, che riconosce sia il diritto a trasferire i dati (come quelli del “profilo utente”) da un sistema di trattamento elettronico (come il social network) a un altro, sia il diritto di ottenere gli stessi in un formato elettronico strutturato utilizzabile altrove.

Privacy by design, privacy by default

Sono due nuovi principi fondativi del GDPR: Privacy by design significa che la tutela dei dati personali deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni, rendendo obbligatori meccanismi di protezione fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita delle informazioni.

Privacy by default significa che occorrerà prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell’informativa. La protezione della privacy quindi diventa il presupposto delle attività di trattamento e cessa di essere un mero requisito legale.

Se ti sta piacendo questo post, clicca Mi Piace qui sotto!

GDPR cosa cambia per le aziende

Da queste novità “filosofiche” quali comportamenti discendono?

Conoscere il proprio business

Un punto solo apparentemente ovvio. Quali dati raccoglie la tua azienda? Di che genere sono e in quali contesti vengono conservati e utilizzati? La rivoluzione del GDPR consiste in una forte responsabilizzazione del titolare del trattamento.

Uno strumento utile a incentivare il rispetto dei parametri del GDPR è il registro delle attività di trattamento, il documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e clienti.

Qui vanno indicati le finalità del trattamento, le categorie dei dati e degli interessati, gli eventuali trasferimenti verso paesi terzi dei dati raccolti e le misure di sicurezza adottate. Pur non essendo obbligatorio per imprese e organizzazioni con meno di 250 dipendenti, il registro può rappresentare anche per le piccole imprese una risorsa per consentire una gestione efficace e ordinata della sicurezza.

Scrivere un’informativa chiara e concisa

L’informativa non sarà più uno strumento burocratico e formale. Deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

L’obiettivo del nuovo modello di informativa? Combattere il consenso dato per inerzia e puntare invece a una reale consapevolezza da parte dei soggetti, che devono essere informati anche sul tempo di conservazione dei dati trattati.

Stendere il Data Protection Impact Assessment (DPIA)

Se per anni siamo stati abituati a gestire il Documento Programmatico sulla Sicurezza (DPS) – una “fotografia” che documentasse l’adeguatezza delle misure di sicurezza adottate – con il GDPR dovremo destreggiarci con nuovo strumento: il Data Protection Impact Assessment (DPIA), ovvero il documento di valutazione di impatto nel trattamento dei dati.

Con approccio inverso al DPS, il DPIA ha l’obiettivo di produrre una vera e propria analisi dei rischi concreti generati dal trattamento dei dati aziendali.

Nominare il Data Privacy Officer (DPO)

Con il GDPR nasce una nuova figura professionale: il Data Privacy Officer (DPO) o Responsabile della protezione dei dati personali, una sorta di auditor interno dei processi di trattamento dei dati personali, il referente che il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni.

Gestire i casi di data breach

Se l’esame delle possibili fonti di rischio non è stato sufficiente a evitare una violazione dei dati personali, il titolare del trattamento ha ora il dovere di comunicare la violazione all’autorità di controllo (il Garante della privacy nazionale) entro 72 ore dal momento in cui ne è venuto a conoscenza.

Nel caso in cui la stessa violazione costituisca un pericolo per le libertà e i diritti degli interessati, anche a essi dovrà essere fornita adeguata comunicazione.

GDPR compliance, gli obblighi per chi fa Email Marketing

Invia solo a chi ha esplicitato il consenso

Un principio fondamentale, che si applica anche nelle occasioni in cui uno scambio di biglietti da visita potrebbe far pensare a una esplicita dichiarazione di consenso: tale non è, e non sarà possibile aggiungere il contatto in mailing list, a meno che non venga recapitata all’interessato un’email specifica nella quale gli si chiede il permesso a inserirlo nelle proprie liste di invio.

Non basterà il semplice invio, ma è necessario ricevere una risposta che certifichi il consenso esplicito.

Inserisci ovunque il consenso al trattamento dei dati

Nei form per scaricare un ebook, per partecipare a un webinar, in generale, in tutto quello che prevede l’inserimento in una mailing list.

È necessario avere un’autorizzazione per iscritto per non incorrere nelle sanzioni previste dal GDPR. Una forma di consenso che potremmo chiamare granulare. L’utente deve essere informato su tutto quello che viene fatto con i suoi dati; anche la semplice consultazione dei risultati di invio (tasso di apertura e clic) ai fini di profilazione: significa che in qualche modo stai controllando il loro modo di agire.

Comunica sempre il ​​nome di chi gestirà i dati

Una regola fondamentale, soprattutto nei casi in cui le informazioni sull’interessato potrebbero essere condivise con altre realtà o concessionari. Nell’informativa dovrà essere tutto chiaro e trasparente.

Conserva tutte le istanze di consenso

Un’accurata documentazione dovrà descrivere nel dettaglio tutto ciò a cui l’interessato ha acconsentito, così come le informazioni che gli sono state fornite.

Rendi semplice e immediata la cancellazione

Gli interessati devono essere in grado di ritirare – in modo rapido e agevole – il consenso e richiedere la cancellazione dei propri dati dal database dell’azienda.

Regolamento GDPR: cosa fare del database dopo il 25 maggio?

I dati già raccolti non vanno ritenuti persi, sia chiaro. Devono essere sottoposti a un’accurata analisi (definita assessment) per valutare se possono continuare a essere utilizzati anche alla luce della nuova normativa.

Non è consentito mantenere i dati nel database senza preoccuparsi di valutare come e quando sono stati raccolti. Non c’è una precisa data di scadenza: l’importante è che, alla data del 25 maggio 2018, ciascuna azienda abbia effettuato tale verifica e abbia definito un eventuale programma di raccolta aggiornato secondo le nuove regole.

Per rivitalizzare i dati sarà opportuno inviare una comunicazione chiara ed esplicita che tranquillizzi l’utente circa l’utilizzo e le finalità dei dati.

È un tema che abbiamo sviscerato, insieme ad altre questioni, nell’intervista all’Avvocato Marco Maglio, a cui abbiamo rivolto 22 domande puntuali sull’imminente entrata in vigore di questo (fondamentale) testo di legge.

Se ti è piaciuto questo post, clicca Mi Piace qui sotto!

Guest post di Andrea Serventi, Content Editor per MailUp.

Commenti

Chi Sono

Classe ‘84, Salernitano, cresciuto a camille e robottoni giapponesi! Sono un imprenditore digitale, blogger, public speaker e autore.
In segreto mi alleno per diventare Batman

Puoi seguirmi qui

La mia newsletter

Ricevi una volta a settimana una mia selezione di super contenuti sul mondo digital, marketing e business.
Libri, tool, video, post, eventi e tanto altro materiale interessante per il tuo lavoro.
Batman sarebbe fiero di te ;).

Risorse consigliate

Il mio libro

Acquista il mio libro sul Growth Hacking

Il mio corso

Acquista il mio corso sul Growth Hacking

La mia guida

Leggi la mia guida sul Growth Hacking

Ultimi post