Come adeguarsi al GDPR (per chi non ha ancora provveduto)

Come adeguarsi al GDPR (per chi non ha ancora provveduto)

Il Regolamento Europeo sulla protezione dei dati è in vigore! Le sanzioni previste per chi non è in regola sono pesanti. Per chi non l’avesse ancora fatto, come adeguarsi al GDPR?

Oggi cercheremo di capire come fare per non incorrere in salate multe.

 

Cos’è il GDPR?

GDPR sta per “General Data Protection Regulation”.  È il regolamento europeo a tutela della privacy degli individui.
Se volete cercare una previsione in particolare o leggere il testo integrale, consultate il Testo del Regolamento in Gazzetta Ufficiale UE.

 

Quali sono le aziende interessate?

Oltre a incidere sulle aziende europee, il regolamento interessa ogni azienda che si relazioni a clienti europei. Insomma, pur trattandosi di un regolamento europeo, anche le aziende extra-europee hanno dovuto capire come adeguarsi al GDPR.

 

Per le sanzioni, di che cifre si parla?

L’inosservanza è sanzionata pesantemente. “Fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore“.

Ovviamente l’ammontare della sanzione dipende dal tipo di infrazione commessa. Ma in ogni caso, parliamo di cifre esorbitanti, motivo per cui vale la pena di capire subito come adeguarsi al GDPR.

 

Occorre consultare un legale?

Sì, ogni azienda dovrebbe consultare un legale. È l’unico modo per essere sicuri di uniformarsi al GDPR.

È proprio questo che suggerisce di fare l’imprenditore multimilionario Neil Patel, esperto di digital marketing e co-fondatore di Kiss Metrics e Crazy Egg.

In più Neil fornisce 3 consigli semplici, che voglio riportarvi.

 

I 3 consigli pratici di Neil Patel

In un suo recente video, Neil ha riepilogato in modo semplice e chiaro i principali punti che ha implementato per la sua azienda, semplificando l’approccio a una materia così complessa.

 

Guardate il video o leggete i 3 consigli di Neil qui sotto.

 

Consiglio n. 1

Se raccogliete gli indirizzi email — tramite la pagina di check-out, ebook o opt-in — non potete inviare a questi destinatari delle email pubblicitarie, neanche se hanno acquistato un prodotto da voi.

Quando gli utenti fanno il check-out per comprare da voi un prodotto, non significa che accettano di ricevere altre email da voi.

Se comprano un ebook, non significa che accettano di iscriversi alla vostra newsletter.

Guardando il sito di Neil Patel, noterete che le caselle da poter spuntare sono 2:

  • la prima è per accettare termini e condizioni, nonché privacy policy
  • la seconda per iscriversi alla newsletter e ricevere consigli di marketing

Inoltre, qualora Neil inviasse email pubblicitarie dovrebbe aggiungere una casella di spunta apposita per accettare le email a fini promozionali.

 

Consiglio n. 2

Riguardo i cookies, inserite un avviso in fondo al vostro sito. Es. “Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito” con il pulsante “accetto” e il pulsante “non accetto”, oppure “Leggi di più” e il rinvio alla Privacy Policy.

Nella privacy policy, informate gli utenti sulle soluzioni di monitoraggio e servizi di terze parti utilizzati.

Indicate agli utenti:

  • la durata dei cookie
  • se utilizzate Google Analytics
  • se utilizzate un servizio di email marketing
  • dove possono fare opt-out

 

Consiglio n. 3

Specificate che è possibile cancellare i dati, così gli utenti contrari al trattamento potranno liberamente fare opt-out.

Se vogliono che i loro dati siano cancellati tutti dal vostro sistema o database devono potervi inviare una richiesta all’email da voi specificata.

Grazie a questa richiesta devono essere in grado di vedere eliminati tutti i loro dati dal vostro sistema o database. Chiarite bene il vostro regolamento sul punto:

  • Come vengono cancellati i dati?
  • Qual è la procedura e come la documentate?
  • Come formate il vostro team perché conosca la procedura?

Dovete documentare tutto questo e far sapere agli utenti che ve ne occupate.

Afferma Neil che la sua percentuale di opt-in non è cambiata dopo che ha implementato queste modifiche per uniformarsi al GDPR.

 

Quali sono i punti salienti del GDPR?

Seguendo questi semplici consigli sarete in grado di conformarvi maggiormente al GDPR.

Ma sicuramente vi occorre saperne di più. Dunque ecco alcuni punti fondamentali richiamati dal Garante della Privacy.

 

1. Liceità del trattamento

Il trattamento dei dati dev’essere lecito, sulla base di un consenso esplicitospecifico, informato e inequivocabile.

Quindi, come adeguarsi al GDPR? Ecco alcuni punti importanti:

  • Innanzitutto, no al consenso tacito.
  • In secondo luogo sono vietate le caselle di spunta “cumulative” per più voci. Il consenso prestato dev’essere chiaramente distinguibile da altre richieste o dichiarazioni.
  • Inoltre sono vietate le caselle pre-spuntate, perché il consenso deve risultare da un’azione positiva.
  • Il consenso dei minori vale dai 16 anni.

Il consenso raccolto senza tali caratteristiche va raccolto nuovamente prima di continuare con il trattamento dei dati. (Ecco perché dopo il 25 maggio 2018 ogni azienda ha raccolto nuovamente il nostro consenso!).

Maggiori info sulla liceità del trattamento dal Garante della Privacy

 

2. Informativa

Per quanto riguarda l’informativa sulla privacy, come adeguarsi al GDPR?

  • L’informativa dev’essere scritta in modo semplice e comprensibile.
  • Deve indicare il responsabile della protezione dei dati e i suoi dati di contatto.
  • Inoltre deve specificare se i dati vengono trasferiti all’estero, il periodo di conservazione dei dati e anche se il trattamento comporta processi di profilazione.

Maggiori info sull’informativa dal Garante

 

3. Diritti degli interessati

Quali sono i diritti degli interessati?

  • Quando presenta una richiesta inerente il trattamento dei suoi dati, l’interessato ha diritto a una risposta. Il titolare del trattamento deve rispondere entro 1 mese. La risposta deve avvenire in forma scritta.
  • Poi è previsto il diritto di accesso, che comporta il diritto di ricevere una copia dei dati personali oggetto del trattamento; l’interessato deve essere informato sul periodo di conservazione dei dati e sulle garanzie applicate in caso di trasferimento verso paesi terzi.
  • Il diritto di cancellazione o diritto all’oblio è rafforzato, perché il titolare del trattamento che abbia reso pubblici i dati personali dell’interessato (ad esempio pubblicandoli sul sito web) deve informare della richiesta di cancellazione anche gli altri titolari che trattano i dati personali cancellati.
  • Inoltre l’interessato ha il diritto di limitazione o blocco del trattamento anche a prescindere dall’illiceità di utilizzo.
  • Infine è previsto il diritto alla portabilità dei dati.

Maggiori info sui diritti degli interessati dal Garante

 

4. Titolare e responsabile del trattamento

Il titolare del trattamento nomina un responsabile, tramite apposito contratto. Il responsabile tiene il registro dei trattamenti e adotta le misure per garantire la sicurezza dei trattamenti.

Maggiori info su titolare e responsabile del trattamento dal Garante

 

5. Responsabilizzazione e comunicazione in caso di violazioni dei dati

Il regolamento pone l’accento sulla responsabilizzazione. In sostanza, va dimostrata l’adozione di misure finalizzate ad applicare il GDPR.

Nel caso in cui avvenga la violazione dei dati personali, entro le 72 ore successive il titolare deve dare comunicazione agli interessati. Questo sempre che il titolare reputi che la violazione sia fonte di rischio per diritti e libertà degli interessati.

Maggiori info sulla responsabilizzazione dal Garante

 

6. Trasferimento internazionale dei dati

Al trasferimento internazionale dei dati sono previsti importanti limiti, salvo garanzie adeguate.

Maggiori info sul trasferimento dei dati dal Garante

 

Insomma come adeguarsi al GDPR?

Come ho detto, per sapere come adeguarsi al GDPR, ogni azienda dovrebbe consultare un legale. In definitiva è l’unica cosa saggia da fare. Le misure di adeguamento assunte da un’azienda possono essere inadeguate per un’altra. E le salate sanzioni convincono anche i più pigri ad attivarsi.

 

Conclusione

Ora sappiamo qualcosa in più su come adeguarsi al GDPR. A chi non avesse ancora provveduto, non resta che attivarsi!

Giacinto Elia