Warning: Invalid argument supplied for foreach() in /home/www/www.workup.it/www/site-functions.php on line 45 GDPR: Facciamo chiarezza sul nuovo Regolamento Generale sulla Protezione dei Dati | Workup

GDPR: Facciamo chiarezza sul nuovo Regolamento Generale sulla Protezione dei Dati

28.05.2018

Il 25 maggio 2018 è entrato in vigore in tutti i 28 Stati Membri dell’Unione Europea il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, il cui acronimo inglese è GDPR).

Si tratta della prima grande riforma dopo l’approvazione della legge sulla privacy (la 675 del 31 dicembre 1996 confluita poi nel 2003 con il Decreto Legislativo n. 196 in vigore dal primo gennaio 2004).

Il principale intento del GDPR è conferire ai concittadini europei la consapevolezza (e la facoltà) di poter disporre di migliori condizioni nel trattamento di tutti i loro dati personali che, ogni giorno, tantissime aziende conservano ed utilizzano.

In pratica i cittadini europei devono avere il pieno controllo su raccolta, utilizzo e conservazione di tutte le informazioni che li riguardano. È un modo per “ridare” anche fiducia nei mezzi e nella sicurezza offertaci dalla tecnologia, spesso percepita come “invasiva” ma soprattutto “lesiva” delle libertà personali (ne abbiamo parlato a proposito dello scandalo di Facebook su Cambridge Analytica).

Oltre a tali implicazioni di natura sociale, il GDPR si afferma come standard cogente per tutte le aziende (all’interno ma anche al di fuori dell’UE se esse detengono informazioni di cittadini europei) per diffondere la mentalità (e la cultura) necessaria sul tema, integrando tramite procedure virtuose il trattamento per la privacy (esattamente come avviene in tutti gli altri processi aziendali).

Occorre ricordare che il GDPR nasce come “braccio operativo” di una più ampia e articolata riforma europea in tema “trattamento dati”: tra queste spiccano le due direttive UE 2016/680 e 2001/45, la cui “emanazione” diretta in Italia risiede nelle due leggi 163/2017 e 167/2017.

In questi giorni dalla sua entrata in vigore, ci siamo già accorti di quanto molte realtà aziendali siano ancora sostanzialmente impreparate a gestire questa vera e propria rivoluzione, soprattutto in merito agli aspetti web e digital. Facciamo chiarezza con questo piccolo articolo.

Attori deputati alla gestione del GDPR: i “titolari” e i “responsabili del trattamento”

Il GDPR ha ripercussioni su tutte le aziende e le Pubbliche Amministrazioni che conservano e utilizzano i dati personali di cittadini europei; i principali reparti aziendali implicati ad assolvere i compiti europei sono gli Uffici IT, gli Uffici Marketing e, ovviamente, gli Uffici Legali.

Più in generale, per noi che sviluppiamo siti web, è opportuno fare chiarezza su quali siano i nostri doveri (in quanto “responsabili del trattamento dei dati”) e i doveri delle aziende con cui lavoriamo (che sono le “titolari dei dati”).

È importante effettuare un audit approfondito di tutti i “luoghi” digitali di un’azienda in modo da capire se e dove occorre prendere precauzioni per non incappare nelle sanzioni imposte dall’inosservanza del GDPR (si parla infatti di multe che prevendono sanzioni pecuniarie fino al 4% del fatturato annuo o fino a 20 milioni di euro).

Se l’azienda dispone di vari siti web, piattaforme email marketing, dati a CRM su clienti e prospect, raccolta dati di comportamento online acquisiti tramite attività di remarketing, l’utente deve poter:

  • conoscere le modalità di come sono stati acquisiti questi dati
  • rinnovare (o revocare) il consenso alle attività di storage, utilizzo e profilazione
  • sapere dove vengono memorizzati i dati 
  • conoscere le modalità di cancellazione permanente dei dati (questo è il right to be forgotten, espresso nel concetto di “diritto all’oblio”).

Coloro che hanno realizzato l’infrastruttura digitale dell’azienda (la web agency o il reparto digital di un’azienda) hanno dei precisi doveri per proteggere i dati dei propri utenti.

È qui che diventa cruciale conoscere quale sia la differenza tra l’essere essere “titolare dei dati” ed essere “responsabile” del loro trattamento. In questa logica si identificano:

  • Il titolare dei dati, ovvero l’ente  o l'organizzazione che stabilisce quali dati vengono raccolti insieme al loro utilizzo. Parlando dal nostro punto di vista di creatori di siti web, il titolare dei dati è l’azienda-cliente.
  • Il responsabile del trattamento dei dati invece può essere un’azienda/team che si occupa di gestire i dati per conto del titolare. Può essere la web agency responsabile del sito, ma anche piattaforme di terze parti dove sono memorizzati i dati a fini di attività marketing (come ad esempio le piattaforme di Email Marketing come MailUp, MailChimp, Pardot ecc.).

Titolari dei dati e Responsabili del trattamento hanno entrambi l’obbligo di essere pienamente conformi al GDPR. Proprio per questo è opportuno che l’azienda effettui l’audit di tutti i dati in proprio possesso (oltre alla loro collocazione digitale).

Il rinnovo delle privacy policy dei siti

Le norme sull’osservanza della privacy online (già espresse all’interno della “Direttiva Europea sui cookie”) e, ad oggi, lo stesso GDPR impongono che il consenso dei visitatori all’utilizzo dei propri dati personali sia “chiaro e conciso”, privo di espressioni ambigue. Un esempio sono i form contatti per attività di Lead Generation, i quali devono essere assolutamente conformi alle nuove direttive.

È doveroso inoltre raggruppare all’interno del sito web:

  • Le nuove norme sulla privacy
  • Le preferenze degli utenti in merito al consenso (o meno) a ricevere comunicazioni di tipo informativo/commerciale
  • Le informazioni di contatto dell’azienda, in modo da favorire gli utenti a interagire con i Titolari dei dati a fronte di modifica o revoca dei propri dati personali

Cosa si deve fare per adempiere agli obblighi del GDPR

Proteggere i dispositivi e le reti aziendali

Si dovranno deve mettere in atto procedure per proteggere i dati di tutti i clienti di un’azienda, siano essi contenuti in PC, server fisici e in cloud, ma anche smartphone e tablet. In caso di smarrimento o furti di tali dispositivi, i problemi possono essere molteplici. È opportuno adeguarsi per ridurre il rischio di perdita, anche solo inserendo opportune password di autenticazione.

È necessario che l’Ufficio IT dell’azienda renda i device dei propri dipendenti assolutamente inattaccabili e protetti da procedure criptate onde evitare che i dati contenuti finiscano “in mani sbagliate”.

Coordinare i flussi di dati e la loro corretta conservazione

Sarà necessario creare e gestire gli “spazi” entro i quali i dati dei clienti saranno conservati. Se l’azienda dispone di un “Responsabile della protezione dei dati” (DPO secondo l’acronimo inglese, ovvero Data Protection Officer) occorre che questo e l'azienda siano entrambi allineati a riguardo. Il DPO è una figura professionale (esperta in materie giurisprudenziali) tenuta a sovrintendere tutte le attività stabilite per proteggere i dati, in linea con le direttive espresse nel GDPR.

Attuare misure tecniche e organizzative appropriate

Con l’entrata in vigore del GDPR, gli obblighi delle aziende diventano più stringenti non solo il per il consenso e la conservazione dei dati degli utenti, ma anche per la loro anonimizzazione e, ultimo aspetto ma non meno importante, il cosiddetto data breach, la notifica di eventuali violazioni e/o furto degli stessi.

Occorre quindi che il reparto IT attui una valutazione completa di tutte le misure tecniche e operative interne riguardo a tali aspetti in modo da assicurarsi che software anti-malware e anti-virus siano correttamente utilizzati.

Elencare le tipologie di software di analisi dei dati, i nomi dei “responsabili al trattamento” e le modalità di utilizzo

Ai fini della raccolta e dell’utilizzo dei dati bisognerà indicare esplicitamente (all’interno delle comunicazioni e della privacy policy) tali informazioni:

  • I software utilizzati per la raccolta e l’utilizzo dei dati dei clienti e dei prospect
  • Dove sono conservati i dati dei clienti e dei prospect
  • Se vengono utilizzati programmi e applicazioni di terze parti per la raccolta e l’analisi di tali dati

Quindi, il reparto Marketing deve fornire al management aziendale:

  • Tutti i software, gli strumenti e le applicazioni, oltre a spiegarne funzioni ed ambiti di applicazione
  • I nomi dei dipendenti deputati a raccogliere ed utilizzare i dati (in qualunque formato, fisici e online)

Eventuali fornitori terzi non sono ovviamente esclusi da questo processo. Anche coloro che realizzano attività di marketing e digital marketing per conto di un’azienda cliente sono tenuti a regolamentarsi in quanto “responsabili del trattamento dei dati”. Come per il reparto IT, anche per il marketing occorre descrivere in apposita documentazione come i dati vengono gestiti.

In particolare, occorre informare in modo chiaro:

  • Come i dati vengono trasferiti all’interno dell’azienda e se sono gestiti da soggetti terzi
  • Dove risiedono i dati: inserire anche la collocazione geografica è fondamentale, in quanto non tutti gli Stati membri dell’UE hanno lo stesso livello riguardo alla sicurezza delle loro infrastrutture tecniche per la conservazione stessa dei dati.
  • Per quanto tempo e per quale motivo i dati vengono conservati; ciò si rende necessario perché, se non sussistono i motivi di utilizzo e conservazione, i dati devono essere cancellati
  • Come i dati vengono cancellati

Consenso dei clienti ad essere contattati a fini di operazioni di marketing e profilazione

Riguardo al consenso dei clienti ad inviare comunicazioni, gli utenti hanno il diritto di modificare le loro preferenze a riguardo, e possono richiedere anche di cancellarli.

Ai sensi del GDPR, il consenso dovrebbe essere volontario, specifico, informato e non ambiguo, vale a dire che all’interno del sito devono essere chiaramente esplicitate le modalità per il trattamento.

Per essere conforme al GDPR, si deve infine poter fornire la prova che, ai fini di attività di marketing, gli utenti abbiano dato il loro consenso.

Collaborare con i reparti IT e Legale contro il Data Breach

Se dovesse verificarsi un caso di “Data Breach”, la normativa del GDPR prevede che le aziende notifichino le autorità competenti entro e non oltre 72 ore dall’evento.

Occorre quindi assicurare la collaborazione tra il reparto marketing e il reparto IT affiché si creino dei piani di intervento appositi.

News correlate
Top