Il nuovo regolamento generale sulla protezione dei dati sta per entrare in vigore. Non farti cogliere impreparato!

Il nuovo regolamento europeo sul trattamento dei dati personali – meglio conosciuto con l’acronimo GDPR dall’inglese General Data Protection Regulation entrerà in vigore il 25 maggio 2018.

Per startup e aziende che operano nel web incombe il dovere di conformarsi alle previsioni del GDPR. Questo passaggio potrebbe comportare non poche difficoltà nel mettersi in regola, ma niente paura: in questo articolo ti forniremo tutte le indicazioni utili per permetterti di destreggiarti in questa rivoluzione imminente.

GDPR cos'è e a cosa serveGDPR: cos’è e a cosa serve?

Il regolamento generale sulla protezione dei dati nasce dalle nuove esigenze non soltanto di privacy ma anche di sicurezza informatica – un problema sempre più avvertito in seguito ai cyber attacchi verificatesi nel corso del 2017. La volontà è anche quella di armonizzare e allo stesso tempo semplificare le norme che regolano il trasferimento dei dati personali dall’Ue verso altre parti del mondo.

È indubbio che gli sviluppi della tecnologia pongono sfide sempre più incalzanti e danno origine a nuovi modelli di crescita economica. In questo contesto, le esigenze di tutela dei dati personali sono sempre più avvertite dalle persone.

Si è resa pertanto necessaria una normativa che rispondesse a questo nuovo contesto. Il GDPR rappresenta un’evoluzione in tema di privacy e protezione dei dati personali: non riveste più un mero interesse giuridico ma assume anche un ruolo strategico nella nuova economia dei dati.

Ma perché i dati sono così importanti per le aziende?

Innanzitutto, partiamo dalla definizione di dati personali: tutte le informazioni ricollegabili a un individuo che siano raccolte o archiviate si considerano “dati personali”.

Ad esempio, il nostro sito web o e-commerce potrebbe prevedere la registrazione degli utenti o l’iscrizione alla newsletter. In entrambi i casi, dovendo richiedere un’informazione personale come l’email, stiamo raccogliendo dati personali.

Le aziende possono utilizzare i dati personali per:

  • Creare prodotti innovativi
  • Formulare offerte mirate ai consumatori, convertendo i visitatori in clienti fidelizzati
  • Garantire sicurezza e migliorare l’efficienza aziendale
  • Controllare, profilare e analizzare i dati

Senza garantire le condizioni per un uso uniforme dei dati tra i vari Stati Europei non sarà possibile creare una nuova economia basata sull’uso esteso dei dati. Il GDPR, quindi, nasce con l’obiettivo di definire le regole per un utilizzo dei dati legittimo al fine di estrarne prodotti e servizi innovativi.

GDPR privacy nuovo regolamentoGDPR e privacy: cosa cambierà?

Finora per le aziende il tema della privacy era visto come un obbligo, imposto dal legislatore, da adempiere con comportamenti formali, normalmente affidati alla supervisione di un legale.

Dal 25 maggio 2018 – data di entrata in vigore del nuovo regolamento europeo sul trattamento dei dati personali – la gestione della privacy dei clienti, dei prospect e dei fornitori diventa un processo aziendale da effettuare internamente in tutte le sue fasi. D’ora in poi, saranno i titolari d’azienda i diretti interessati che si occuperanno di gestire questo mutamento.

Cosa cambierà in concreto?

Il nuovo regolamento introduce alcune importanti novità in tema di trattamento dei dati, che riguardano l’informativa semplificata e il consenso consapevole.

Con il GDPR, l’informativa diventa uno strumento di informazione vero e proprio: dovrà essere breve, priva di riferimenti normativi, trasparente e scritta con un linguaggio semplice e chiaro. In questo modo, il diretto interessato sarà in grado di capire a colpo d’occhio dove vanno a finire i suoi dati e in quale modo saranno trattati. L’informativa dovrà inoltre specificare l’origine dei dati e il tempo di conservazione previsto (ovvero, dovrà essere indicata la data di scadenza dei dati raccolti). In più, l’informativa dovrà essere comprensibile anche ai soggetti minori.

La nuova normativa non vieta di fornire tutte le informazioni necessarie in modo graduale. Si parla infatti di informativa a strati (layered notice): gli interessati possono essere invitati ad approfondire ulteriori dettagli tramite link, o affiancando ai testi filmati o animazioni esplicativi del contenuto dell’informativa.

Un altro cambiamento riguarda la modalità di raccolta del consenso al trattamento.

In Italia, il meccanismo attuale di raccolta del consenso prevede il consenso espresso, il cosiddetto Opt-in: all’utente è richiesto di barrare una casella per dare il suo consenso al trattamento dei dati. Il consenso implicito, desunto da comportamenti, non è valido.

Il nuovo GDPR introduce un nuovo approccio più chiaro e meno formalista. Secondo quanto stabilito dal nuovo regolamento europeo, “il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, o orale.”

Col nuovo regolamento al consenso espresso si sostituisce il nuovo concetto di consenso consapevole: il consenso al trattamento dei dati è ora desumibile e quindi inequivocabile in base al comportamento degli interessati. Il motivo è evidente: si è resa necessaria l’esigenza di armonizzare le regole in materia di raccolta del consenso tra i vari Paesi europei. In molti altri Paesi, infatti, il consenso si presume tramite Opt-out.

Nel caso in cui i dati personali vengano raccolti tramite la modalità elettronica, “la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso”.

Un esempio tipico di consenso non equivoco, manifestato con azioni positive, è quello reso quando, visualizzando un banner che ci informa che il sito che stiamo visitando utilizza cookies, continuiamo a navigare – di fatto accettando l’uso dei cookies.

In ogni caso, gli attuali meccanismi di consenso (Opt-in) restano formalmente validi. Le aziende che già li utilizzano non dovranno modificarli.

Il GDPR introduce poi il principio dell’accountability per tutte le fasi del trattamento dei dati personali. Per le aziende, questo implica adottare soluzioni e strumenti in grado di garantire non solo la protezione del dato raccolto ma anche il controllo, la verifica e l’analisi delle procedure.

Nel caso di una fuga di dati, che si può verificare per manomissione, attacco esterno o in modo accidentale, la norma prevede l’obbligo di darne avviso tempestivo (entro 72 ore) all’autorità garante. Si tratta di un provvedimento che mira a evitare il rischio – sempre più attuale – di una perdita di dati sensibili.

GDPR cosa fareGDPR: cosa devono fare le aziende per mettersi in regola?

Il GDPR rappresenta indubbiamente un grosso cambiamento per tutte le aziende che per varie finalità e con diverse modalità raccolgono i dati di clienti, prospect o fornitori.

La buona notizia è che sparisce l’obbligo di notificazione al Garante di specifici trattamenti dei dati. E, di conseguenza, diremo addio agli oneri amministrativi e finanziari che quest’obbligo comportava (spese, queste, che incidevano soprattutto per le piccole e medie imprese).

L’obbligo di notificazione non scompare del tutto, bensì viene sostituito da un altro documento, il registro del trattamento. Si tratta di un documento che, su richiesta, può essere messo a disposizione dell’autorità di controllo. L’obbligo di presentare questo registro non compete alle imprese e organizzazioni con meno di 250 dipendenti, “a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o i dati personali relativi a condanne penali e a reati”.

In sostanza, cosa devono fare le imprese per adeguarsi al nuovo GDPR?

Il GDPR del 2018 prevede la figura del Data Privacy Officer (DPO), ovvero del responsabile per la protezione dei dati personali. Parliamo di un vero manager dei database aziendali, e non di un semplice garante del legittimo trattamento dei dati.

È obbligatorio nominare un Data Privacy Officer in questi casi:

  • Chi tratta i dati è un soggetto pubblico
  • Si trattano rilevanti qualità di dati personali
  • Si trattano sistematicamente dati sensibili o giudiziari.

È prevista la possibilità di nominare come DPO un consulente esterno all’azienda. Egli avrà il compito di interfacciarsi con il titolare o il responsabile del trattamento per informarlo sugli obblighi derivanti dal regolamento europeo, dovrà vigilare e verificare l’attuazione e l’applicazione della nuova normativa da parte dei titolare o del responsabile del trattamento; inoltre, dovrà controllare che la documentazione relativa ai trattamenti effettuati sia opportunamente creata e conservata; infine, fungerà da punto di contatto per il Garante e ne raccoglierà le richieste.

Ecco le principali attività da svolgere prima del 25 maggio 2018:

  • Attribuire correttamente i ruoli e il modello organizzativo di gestione dei dati, designando un DPO quando necessario;
  • Effettuare la mappatura delle banche dati: dovrò analizzare quali dati sono presenti  e quali banche dati sono conservate in pc locali;
  • Sostituire le soluzioni di archiviazione locale con sistemi che centralizzino la gestione delle autorizzazioni e l’accesso ai dati, affidandomi a soluzioni di storage e backup più affidabili, come i sistemi cloud;
  • Realizzare la mappatura dei trattamenti: definire quali dati ho raccolto, la loro finalità e la provenienza, garantendo il principio della minimizzazione dei dati. Questo passaggio deve essere documentato lasciando un testo scritto coi dati mappati;
  • Procedere alla tutela dei dati mediante la crittografia, così da non renderli fruibili a soggetti non autorizzati e seguire delle procedure standard di protezione in grado di assicurare riservatezza, integrità e affidabilità dei sistemi e dei servizi di trattamento;
  • Creare i registri dei trattamenti in cui annoto gli elementi essenziali delle banche dati: chi usa i dati come titolare, se ci sono delle categorie di soggetti che possono accedervi, per quanto tempo intendo conservare questi dati;
  • Fare un’analisi dei rischi: valutare se utilizzando i dati per le finalità descritte faccio correre dei rischi ai soggetti interessati, con l’obiettivo di garantire un utilizzo controllato dei dati;
  • Definire le liste di criticità (gap) che devo colmare per essere conforme alla normativa (ad esempio, la mia normativa va aggiornata perché non è abbastanza chiara? Devo modificare gli avvisi che mostro agli utenti così da semplificare il processo?);
  • Attuare un piano d’azione (Privacy Program), ovvero un processo strutturato di gestione dei dati.

Tutte queste attività dovranno essere compiute quanto prima, poiché si renderà necessario un periodo di prova in cui testare le nuove normative, anche per valutare quali siano le più efficaci sul piano della comunicazione.

Quali saranno gli impatti sulle attività di marketing?

GDPR quali gli impatti sulle attività di marketing

Le nuove modalità di raccolta del consenso del trattamento sono rilevanti per le aziende che usano i dati ai fini della profilazione commerciale e di marketing. In sostanza, si apre una nuova strada per chi usa il web per raccogliere i dati.

L’intero processo di raccolta dei dati diventa fluido e anche l’esperienza dell’utente cambia. La nuova normativa sulla privacy dà importanza alla customer experience e, di fatto, si allontana dall’ambito giuridico per avvicinarsi agli interessi delle aziende.

Il GDPR mira a creare un’informativa breve, di facile lettura, che come abbiamo visto può essere strutturata e letta su più livelli, prevedendo link di approfondimento, animazioni o filmati. Le aziende possono sfruttare questo strumento in chiave di comunicazione di marketing: creare un’informativa chiara, in grado di specificare i vantaggi che la persona ottiene nel fornire i suoi dati per finalità di marketing, contribuisce a distinguersi dalla concorrenza.

Anche dal punto di vista della gestione dei database dei dati, il nuovo GDPR offre nuove opportunità: le aziende, infatti, ora sono tenute a porre dei limiti nell’utilizzo dei dati, comunicando in modo esplicito che questi dati sono raccolti con una data di scadenza. Inoltre, sapendo che fin dall’inizio avranno un periodo di tempo limitato per utilizzare i dati, le aziende si impegneranno per non renderli obsoleti (ad esempio inviando una comunicazione ai clienti prima della scadenza). Avranno così a disposizione dati sempre aggiornati e quindi spendibili per le proprie finalità di marketing.

La data protection sarà sempre di più un fattore competitivo e favorirà le aziende che capiranno che non si tratta semplicemente di una serie di adempimenti da gestire, bensì di un processo organizzativo aziendale che ha natura produttiva e di comunicazione.

Quando una persona naviga su un sito web o e-commerce, mette un prodotto nel carrello, compara i prodotti o effettua altri tipi di attività, fornisce – spesso in maniera inconsapevole – tutta una serie di informazioni preziose per le aziende. Si tratta di comportamenti che, se ben gestiti, determinano il successo di un sito e-commerce. Raccogliendo questi dati, si potrà ottenere una maggiore conoscenza sui visitatori, favorendo una più efficace definizione del target e una migliore pianificazione del proprio business.

In realtà, non è tutto oro quel che luccica. Il GDPR, infatti, mira a tutelare anzitutto la persona fisica: d’ora in poi, il titolare dei dati potrà esercitare il diritto all’accesso, alla rettifica e alla cancellazione dei dati che lo riguardano, il diritto alla limitazione del trattamento e il diritto all’opposizione. Indubbiamente, una piccola grande rivoluzione in materia di privacy e trattamento dei dati personali.

Vuoi essere sicuro che il tuo sito web sia conforme alle nuove disposizioni previste dal GDPR? Contattaci subito per saperne di più! Ti risponderemo senza indugio 🙂

Valeria Olivato
Written by Valeria Olivato