Tutto sul GDPR: prepararsi alla nuova era di privacy sui dati

Mentre negli Stati Uniti la deregolamentazione è stata una tendenza nell’ultimo decennio, i 28 membri dell’Unione Europea si stanno preparando a un massiccio aumento delle normative sulla privacy dei dati con l’introduzione del regolamento generale sulla protezione dei dati (GDPR).

Il GDPR, che entrerà in vigore il 25 maggio 2018, è il prodotto di quattro anni di dibattiti e preparativi, ma le sue radici risalgono a più di due decennifa, all’infanzia di Internet, quando l’UE iniziò a proteggere i dati. Il GDPR sostituirà un regolamento del 1995 che è stato messo in atto quando Netscape dominava il web, ben prima che giganti di dati come Google e Amazon iniziassero a fare la voce grossa. Da allora, il panorama digitale è cambiato e anche il modo in cui le aziende utilizzano i dati. L’UE spera di tenere il passo con quei giganti dei dati e quei cambiamenti, assicurando che i suoi cittadini possano essere sicuri della loro privacy e sicurezza.

Come il suo predecessore, il GDPR è costruito sulla premessa che le informazioni private sono effettivamente, o dovrebbero essere, private e che gli individui hanno dei diritti su questi dati. In effetti, tra le prime parole del regolamento vi è “la protezione dei dati come diritto fondamentale”.

Per quanto riguarda i dati personali, il GDPR è molto specifico:

 

“Dati personali”: qualsiasi informazione relativa a una persona fisica identificata o identificabile (“interessato”); una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o uno o più fattori specifici per l’aspetto fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona naturale.

 

In che modo il GDPR è diverso da prima?

Per quanto riguarda le grandi differenze tra i precedenti standard sulla privacy dell’UE e il GDPR, ci sono tre aree principali di espansione:

  • Ambito territoriale. Questo è senza dubbio il più grande aggiornamento del GDPR, che avrà la giurisdizione su tutte le società che trattano i dati personali delle persone nell’UE, indipendentemente dal fatto che la società abbia sede in una nazione dell’UE o meno. Copre tutte le attività relative all’offerta di beni e servizi ai cittadini dell’UE e il monitoraggio dei comportamenti che si svolgono nell’UE. Pre-GDPR, le problematiche territoriali erano abbastanza ambigue, dando luogo a numerosi casi legali complessi.
  • Le imprese che desiderano utilizzare i dati dei cittadini dell’UE devono ottenere il consenso in modo chiaro e accessibile. Non è accettabile la richiesta del consenso tramite la controfirma di piccoli paragrafi quasi illeggibili a fondo contratto, tanto per citare un esempio pratico. Altrettanto importante, l’entità che vuole utilizzare i dati deve rendere facile la revoca del consenso come lo è il suo conferimento.
  • Ci sono vari gradi di sanzioni, alcune delle quali sono significative. Per le infrazioni gravi, inclusa la mancata acquisizione del consenso, le organizzazioni che violano il GDPR possono essere multate fino al 4% del loro fatturato globale annuale o 20 milioni di euro, a seconda di quale sia maggiore. Violazioni minori, come un’archiviazione insufficiente, possono affrontare una multa minore, ma comunque pesante, del 2%.

 

Il GDPR riguarda solo le aziende dell’UE?

Il GDPR non sarà applicabile solo alle società con sede nell’UE (o alle loro filiali nell’UE), ma anche a società extra-comunitarie (ad esempio quelle svizzere) che offrono beni o servizi a soggetti interessati dell’UE. Pertanto numerose organizzazioni che non hanno una presenza locale nell’UE rientreranno comunque nell’ambito della legislazione GDPR dell’UE.

Esempi di situazioni in cui un’organizzazione extra-UE potrebbe rientrare nell’ambito del GDPR:

  • un’impresa stabilita in Svizzera vende orologi a persone domiciliate in Francia,
    Belgio, Portogallo, Finlandia e Grecia mediante un negozio on line. Il GDPR è applicabile perché
    la società svizzera offre beni a persone che si trovano nell’Unione;
  • un albergatore della Valle Leventina crea dei profili dei suoi clienti italiani, svedesi,
    tedeschi e polacchi per proporre loro delle offerte per altri soggiorni; il GDPR è applicabile se
    il profilo è creato in base al comportamento all’interno dell’UE;
  • il gestore di un sito web che ricorre al web tracking per seguire le attività dei suoi
    visitatori o per osservare il loro comportamento di navigazione potrà risalire agli interessi, alle
    preferenze o alle abitudini degli internauti. Il GDPR è dunque senz’altro applicabile.

 

 

Come impatterà il GDPR sulle aziende?

Nella maggior parte dei casi, gli strumenti esistono già o esisteranno per mantenerti conforme, ma sta a te seguire le migliori pratiche. I professionisti del marketing devono essere consapevoli che i dati che raccolgono devono essere stati acquisiti con il consenso e devono essere pertinenti a uno scopo specifico. Se stai organizzando un concorso a premi, ad esempio, i dati che raccogli devono essere utilizzati per tale scopo e per quello scopo. Per mantenere la conformità GDPR, i database di marketing necessiteranno di scrubbing costante e/o consensi aggiuntivi – un campanello d’allarme per i marketer che hanno creato elenchi ampi e onnicomprensivi basati su tutti i dati di contatto.

Indipendentemente da un piccolo lavoro in più, la ragion d’essere del GDPR rimane solida: un’economia fiorente in questo nuovo mondo digitale basato sui dati richiede partecipanti sicuri della loro privacy, che sentano che i loro dati personali appartengono a loro e si fidano delle aziende con cui interagiscono. Questa ha tutta l’aria di essere una notizia positiva per l’industria nel suo insieme: il GDPR ci sta allontanando dall’acquisto di liste e da altre pratiche di spam e verso una migliore esperienza del cliente, che dovrebbe essere l’obiettivo finale di ogni marketer.

Il nuovo regolamento impone alle società di implementare processi e procedure interamente nuovi intorno alla raccolta e all’archiviazione di informazioni personali identificabili (PII) e passa a definire le PII come qualsiasi informazione relativa alla vita privata, professionale o pubblica di un residente dell’UE (indirizzo IP, banca informazioni, indirizzi email, post sui social media e così via). Gran parte del nuovo regolamento prevede che questa PII sia archiviata con il permesso di una persona, utilizzata per lo scopo specifico per il quale è stata ottenuta e per una durata che abbia un senso, dato il motivo iniziale per ottenere i dati.

A differenza delle precedenti norme sulla privacy, ci si aspetta che il GDPR sia applicato sin dal primo giorno senza alcun periodo “di grazia”. È bene dunque avere ben chiaro il suo ambito di applicazione, che possiamo distinguere in 4 momenti:

 

1. Raccolta dei dati

Il regolamento si applicherà a tutti i dati, che siano stati raccolti online o offline. Devi fornire una notifica sui dati che intendi raccogliere e su come verranno utilizzati, e devi ottenere il consenso PRIMA che i dati vengano raccolti. Questo può essere piuttosto problematico, perchè sono disponibili pochissime soluzioni in grado di bloccare la raccolta dei dati durante la visita della prima pagina, senza richiedere importanti lavorazioni sul sito Web.

Il consenso deve anche essere chiaro e conciso ed essere fornito in una forma facilmente accessibile che i residenti dell’UE possano anche revocare in un secondo momento. Vale la pena notare che il GDPR evidenzia esplicitamente che l’inazione non può essere considerata un consenso. Per mantenere la conformità, è necessario assicurarsi che i clienti abbiano dato il loro consenso prima di passare informazioni su di loro con un servizio che inserisce cookie di identificazione sulle loro macchine.

 

2. Archiviazione dati

Le soluzioni di archiviazione devono essere progettate per proteggere i dati e mantenerne la riservatezza (privacy in base alla progettazione). Devono essere messe in atto misure di sicurezza per proteggere i dati, comprese regole univoche relative all’accesso e autenticazione appropriata per accedere ai dati sensibili. Le autorizzazioni devono essere tenute aggiornate per garantire i diritti di accesso corretti e tutti i dati devono essere controllati. Per soddisfare questi requisiti, avrai bisogno di un’infrastruttura che:

  • riconosce i dati sensibili ispezionando regolarmente i contenuti.
  • automatizza i processi di accesso ai dati, compresi quelli per concedere, rivedere e revocare l’accesso.
  • valuta e monitora l’accesso ai dati.

Le organizzazioni devono poter cancellare facilmente i dati personali, rispettare il diritto all’oblio e creare soluzioni per gestire il diritto dell’interessato di accedere ai propri dati (sai che puoi scaricare tutti i tuoi dati di cui Facebook è in possesso?).

 

3. Trasferimento dati

Il GDPR impone restrizioni al trasferimento di dati personali al di fuori dell’Unione Europea ad altri paesi o organizzazioni internazionali. È possibile trasferire dati personali qualora l’organizzazione che riceve i dati personali abbia fornito garanzie sufficienti. I diritti degli individui devono essere applicabili e i rimedi legali devono essere disponibili dopo il trasferimento. I dati personali possono essere trasferiti solo al di fuori dell’UE in conformità con le disposizioni specificate nel Capitolo V del GDPR.

 

4. Sorveglianza interna ed esterna

Le aziende con più di 250 dipendenti dovranno nominare un responsabile della protezione dei dati (DPO) dedicato, i cui ruoli e responsabilità non devono causare un conflitto di interessi correlato alla protezione delle informazioni dell’utente finale.

Inoltre, le aziende devono essere in grado di dimostrare la conformità quando sottoposte a verifica da parte di un’autorità di vigilanza, che include la capacità di dimostrare che il consenso è stato ricevuto per le informazioni raccolte. Come accennato in precedenza, avrete bisogno di una soluzione in grado di fornire un registro di controllo a livello di evento per dimostrare la conformità.

 

L’orologio corre veloce

Le aziende spenderanno molto per raggiungere la conformità al GDPR. Alcuni dei punti di raccolta dati più visibili sono i nostri siti web pubblici e questi saranno quindi una delle aree più facili per un consumatore (soggetto interessato) o per l’autorità di vigilanza per dimostrare la non conformità.

Fortunatamente, può essere semplice rendere conforme il tuo sito web utilizzando una soluzione che aggiunge controlli di consenso a centinaia di tag di marketing attraverso una singola riga di codice e saltando la necessità di ricodificare tutto il sito. Assicurati di selezionarne uno che ti renda compliant bloccando la raccolta di dati non autorizzati già nella visita della prima pagina, e che ti consenta di adattare facilmente le regole di raccolta dati per regione o tipo di dati.

Se non lo hai già fatto, ti suggerirei caldamente di iniziare a pianificare il GDPR oggi e di dare alla tua azienda un tempo adeguato per esaminare e iniziare a implementare tutti i processi e le modifiche organizzative necessarie prima che arrivi il prossimo 25 maggio.

Condividi: