Il famigerato e temuto GDPR, il regolamento europeo sul trattamento dei dati personali, sta seminando terrore e panico tra i professionisti del web e del mondo digital.
Noi ci domandiamo cos’è e come essere in regola per evitare le sanzioni.
Seguiamo poche semplici indicazioni per non sentirti impreparato.
Entrerà in vigore oggi, 25 maggio 2018, il GDPR (General Data Protection Regulation), il nuovo regolamento dell’Unione Europea per la raccolta e il trattamento dei dati. Sconti per nessuno, dai neofiti freelance ai professionisti del digital fino arrivare alle multinazionali, la normativa sarà applicata a tutti coloro che lavorano con dati, sopratutto per quanto riguarda la raccolta diretta di dati per uso promozionale.
Breve premessa si, arriviamo subito al nocciolo però e cerchiamo di capire quali sono i punti salienti da conoscere sul GDPR per non essere impreparati.
1. I diretti interessanti chi sono?
Il GDPR è riferito a tutte le aziende e professionisti che raccolgono e/o elaborano dati personali dei cittadini europei, sia in formato informatico che cartaceo. Le aziende che hanno sede fuori dall’UE ma raccolgono dati dei cittadini europei, sono ugualmente soggette alla normativa.
Esempio: se possiedi un database di contatti che utilizzi per l’invio della newsletter informative, devi prestare attenzione a quanto segue.
2. Quali sono i dati a cui si rivolge la nuova normativa e come dovremmo raccoglierli
La definizione di dato sensibile cambia veste; bisognerà considerarlo in maniera più ampia includendo non solo i classici dati sensibili come indirizzo o numero di telefono, ma anche gli identificativi online come cookie, indirizzi IP, geolocalizzazione ed email.
Cambia anche il metodo di raccolta dei dati che dal 25 maggio dovrà rispettare un iter diverso che ti elenchiamo qui:
A ) l’utente deve essere in grado di poter fornire il proprio consenso in modo esplicito e tracciabile: dare il consenso all’utilizzo dei dati resta invariato ma bisognerebbe offrirgli un doppio consenso attraverso cui l’utente conferma per ben due volte l’iscrizione al servizio con successiva mail di avvenuta registrazione e conferma.
B) i dati raccolti dovranno essere pertinenti, adeguati e limitati alle finalità per cui vengono richiesti e trattati.
C) l’informativa sul trattamento dei dati personali deve essere trasparente, semplice e accessibile a tutti. Niente più voci di menù nascoste o form con mini scritte, tutto deve essere chiaro, quindi niente più scrolloni con infinità di frasi incomprensibili. La nostra normativa deve essere chiara e ben visibile.
Dovete avere la capacità di conquistarvi la fiducia dell’utente che deve dirvi si. Altra cosa importante, non eccedete subito nella raccolta di dati sensibili chiedendone in quantità. Il processo di raccolta dati non deve risultare aggressivo ma graduale.
3. Trattamento e conservazione dei dati
Bisogna dimenticarsi la frase “ per ogni altra iniziativa…”. Dal 25 maggio i dati raccolti dovranno essere usati esclusivamente per gli scopri specificati dal consenso. Ogni volta che la tua attività presenta nuovi servizi e nuove forme di promozione bisogna renderlo esplicito attraverso la normativa affinché venga reso noto il motivo dell’utilizzo dei dati.
Ogni azienda è responsabile del proprio adeguamento al GDPR e le misure adottate devono garantire sicurezza dalla fase di raccolta fino a quella di elaborazione sempre e solo all’interno di server su territorio europeo, tuttavia in caso di esplicita autorizzazione è possibile conservare dati in server fuori l’UE.
4. Tirando le somme…
Per evitare sanzioni amministrative che possono raggiungere più del 3% del fatturato aziendale, ti consigliamo di:
• raccogliere tutta la documentazione per il trattamento dei dati personali realizzati dalla tua azienda, modificarla e rendendola esplicita così come ci siamo detti fin da ora
• non dimenticare di controllare frequentemente tutti che tutti gli aspetti del GDPR vengano rispettati e applicati, sopratutto alla luce di aggiornamenti o adeguamenti della normativa
• assicurati che i tuoi fornitori siano rispettosi della nuova normativa e preferisci partner che dimostrino di conoscere i nuovi adeguamenti e che posseggano la certificazione ePrivacy
• è importante che in qualsiasi momento tu sappia dire il motivo per cui hai quei dati, cosa fanno, chi ci accede e perché li utilizzi. Attraverso una vostra analisi di rischio dovrete essere in grado di dimostrare che i rischi residuali sono nulli.