Prepariamoci al GDPR: ecco come cambia l’elaborazione dei dati personali in Unione Europea

Prepariamoci al GDPR: ecco come cambia l’elaborazione dei dati personali in Unione Europea cover

La tua attività ha sede in Unione Europea?
Oppure hai clienti o contatti europei?

Se la risposta è sì, probabilmente hai già sentito parlare del Regolamento Generale sulla Protezione dei Dati conosciuto con l’acronimo GDPR, dall’inglese General Data Protection Regulation.

Il GDPR è una legge europea sulla tutela della privacy che entrerà ufficialmente in vigore il 25 Maggio 2018 e che andrà a regolamentare il trattamento e l’utilizzo dei dati personali dei cittadini della UE.

Tutte le aziende con sede nell’Unione Europea che elaborano dati personali di cittadini UE potrebbero essere interessate dal GDPR. E con “elaborano dati” intendo i casi in cui vengano:

  • raccolti,
  • registrati,
  • memorizzati,
  • cancellati

dati personali.

Che cos’è il GDPR?

Senza dubbio, questa nuova legge avrà ripercussioni molto ampie e avrà un impatto significativo non solo per l’Europa ma a livello globale, dal momento che coinvolgerà:

  • Tutte le organizzazioni con sede nell’Unione Europea
  • Tutte le organizzazioni la cui attività preveda l’elaborazione dei dati personali di cittadini UE

Nello specifico, il GDPR verrà applicato a qualsiasi organizzazione tratti dati personali dei cittadini dell’UE – a prescindere da dove abbia sede e da dove si svolgano effettivamente le attività di elaborazione.

Cosa si intende per “dati personali”?

Secondo il GDPR, i dati personali sono “tutte le informazioni relative a un individuo identificato o identificabile”, ovvero tutti quegli elementi che potrebbero essere utilizzati, da soli o in combinazione con altri dati, per identificare un individuo.

E attenzione, i dati personali includono non solo le informazioni più comuni (come Nome, Indirizzo, E-mail e Codice fiscale), bensì anche:

  • Dati demografici – come Età, sesso, reddito
  • Dati comportamentali – Ricerche web, cronologia degli acquisti, ecc.
  • Indirizzi IP
  • Dati di posizione
  • Dati biometrici
  • User Generated Content – Video, foto, articoli, commenti generati dagli utenti

…e molto altro ancora.

Secondo il GDPR gran parte dei dati dei tuoi contatti (lead o clienti) saranno considerati come personali. Inoltre, per tutti quei dati sensibili quali lo stato di salute o l’origine etnica di una persona, è richiesta una protezione maggiore.

Il GDPR comunque riguarda solo la sfera dei dati riconducibili ad un individuo, il che significa che i dati anonimi sono fuori dal suo campo di applicazione. Eppure: se i dati, benché in forma anonima, possono in qualche modo essere collegati ad un individuo (per esempio combinando più sorgenti e deducendone l’identità), queste informazioni potrebbero essere considerate ugualmente personali.

Cosa significa “elaborazione” dei dati?

Citando il GDPR, per elaborazione si intende:

“qualsiasi operazione o serie di operazioni eseguite su dati personali, anche con mezzi automatizzati, quali la raccolta, la registrazione, l’organizzazione, l’archiviazione, l’adattamento o l’alterazione, il recupero, la consultazione, l’uso, la divulgazione mediante trasmissione, la diffusione o altrimenti rendendoli disponibili, l’allineamento o la combinazione, la restrizione, la cancellazione o la distruzione”.

In sintesi, si parla di elaborazione se stai raccogliendo, gestendo, utilizzando o memorizzando dati personali di cittadini UE. Hai una lista su una piattaforma di E-mail Marketing dove raccogli indirizzi di posta e nome dei tuoi iscritti? Ci sei dentro.

Tieni presente che anche se ritieni che la tua attività non possa essere influenzata dal GDPR in maniera diretta, ricorda che il Diritto Europeo detta le più importanti tendenze in materia di leggi internazionali sulla Privacy – una conoscenza approfondita della questione potrebbe significare un vantaggio competitivo o una cautela affatto scontata.

Email Marketing e GDPR: cosa cambia?

Il GDPR andrà di conseguenza a toccare diversi aspetti dell’Email Marketing, in particolare le modalità con cui vengono raccolti e registrati i consensi degli utenti per l’iscrizione alla Newsletter.

Doppio opt-in per il Direct Email Marketing

Il GDPR delinea standard elevati per ottenere i permessi di opt-in. Per iscriversi ad una lista, gli utenti devono inserire i propri dati e darne conferma in un’email di follow-up (metodo del Double Opt-in).

Alcuni provider di posta elettronica aiutano già le aziende a raccogliere i dati personali nel modo corretto. Tuttavia, alcuni dati potrebbero essere raccolti e memorizzati da altre fonti, ad esempio con biglietti da visita e networking. Occorre quindi controllare che tutte le pratiche offline e online soddisfino gli standard fissati dal GDPR.

Trasparenza sull’uso dei dati

Oggi è più importante che mai essere chiari e precisi su come la tua azienda intenda utilizzare i dati personali raccolti. Il modo più comune per fornire queste informazioni è con l’informativa sulla privacy.

Rivedi l’informativa normalmente usata ed eventualmente metti in atto un piano con tutte le modifiche necessarie. Mettendo il focus principalmente su questi punti:

  • Quali informazioni vengono raccolte?
  • Chi le raccoglie?
  • Come vengono raccolte?
  • Perché vengono raccolte?
  • Come verranno utilizzate?
  • Con chi verranno condivise?
  • Quale effetto avrà sugli interessati?
  • L’uso previsto può causare obiezioni o lamentele da parte degli interessati?

Anche se la legge vigente richiede già chiarezza da parte delle aziende per quanto riguarda l’utilizzo dei dati personali, il GDPR richiede ulteriori dettagli – ad esempio, una spiegazione sulla base legale per l’elaborazione dei dati e il periodo di conservazione dei dati.

Il diritto di opt-out

Il GDPR dà ai cittadini dell’UE un maggiore controllo sull’uso dei propri dati personali – ciò include ovviamente anche il diritto di rifiutare tale profilazione. Se la profilazione avviene esclusivamente tramite i Cookies, è probabile che i visitatori del sito siano già in grado di disiscriversi. Tuttavia dovresti avere la certezza che sia effettivamente questo il tuo caso.

Ricorda inoltre che le persone che hanno precedentemente dato il loro consenso hanno anche il diritto di cambiare idea. I clienti dovranno essere in grado di disiscriversi facilmente se non vogliono più essere contattati. Assicurati, quindi, che sia attivo un piano appropriato sul processo di rimozione dei dati dell’iscritto e comunicagli con affetto Goodbye.