Blog

Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.

Nell'articolo precedente, abbiamo visto le prime cinque delle dieci cose più importanti che devi sapere sul GDPR.

6) "Privacy by Design"

Con questa locuzione ci si intende che il diritto alla privacy deve essere al centro di tutte le attività aziendali, e non un risultato ottenuto in modo collaterale.

Le aziende devono attivare flussi di lavoro per trattare correttamente i dati personali fin dalla loro progettazione e a seguire in tutte le fasi, dalla prima attuazione alla rassicurazione continua che i dati personali siano trattati a norma di GDPR.

7) Valutazione dell'impatto della protezione dei dati

Questa punto è di particolare interesse per le realtà il cui core business è fortemente incentrato sul trattamento dei dati personali.

Prima di intraprendere ogni nuovo processo aziendale e prima di modificare un processo aziendale esistente, si rende necessario valutare se e come esso va a trattare dati personali.

In caso di processi particolarmente complessi, può addirittura rendersi necessaria la stesura di una relazione completa, detta Valutazione dell'impatto della protezione dei dati.

8) Trasferimento dei Dati Personali

I Titolari del trattamento dei dati sono responsabile del trattamento dei dati che viene eseguito da eventuali terze parti coinvolte, dette anche Responsabili del trattamento dei dati.

In altre parole, il trattamento dei dati deve essere fatto a norma di GDPR su tutta la "filiera" che parte dalla persona proprietaria dei dati e arriva, passando dai Titolari, a tutti i Responsabili.

I Titolari hanno quindi l'obbligo di assicurarsi che anche il trasferimento dei dati personali tra uno step e il successivo avvenga in maniera sicura, sia tra reparti interni all'azienda, sia verso terze parti. Restrizioni ancora più stringenti si applicano se il trasferimento dei dati prevede il passaggio (anche telematico) al di fuori dell'Unione Europea.

9) Data Protection Officer

Come per la Valutazione dell'impatto del trattamento dei dati, anche questo punto è di particolare interesse per quelle aziende in cui il trattamento dei dati personali è di pervasivo.

Quando il trattamento dei dati personali è particolarmente significativo, le aziende devono incaricare un Data Protection Officer, la cui responsbilità è quella di assicurarsi che l'azienda sia conforme con il GDPR.

10) Trattamento trasparente, corretto e legittimo

Tutte le aziende che trattano dati personali devono acquisire il consenso informato a un trattamento trasparente, corretto e legittimo.

Cosa significa esattamente questo?

  • Legittimo significa che il trattamento dei dati deve essere conforme al regolamento e supportato da una motivazione (ad esempio, il conseguimento dell'obiettivo sociale)
  • Corretto inteso come "fair play", nel senso che le aziende hanno la responsabilità di non trattare i dati personali in modo diverso da quello per cu il consenso informato è stato acquisito
  • Transparent in quanto le aziende informano con ciarezza sempre i proprietari dei dati sui trattamenti in corso, sulle modalità di ritiro del consenso, e sugli altri diritti di cui le persone godono per merito del GDPR.
La tua azienda è pronta per il GDPR?

Quale tra le dieci cose più importanti da sapere sul GDPR non ti è chiara? Hai già valutato l'impatto del GDPR sul tuo sito web, sulla tua newsletter e sul tuo marketing? I dati personali nel tuo CRM, nel tuo gestionale e nel tuo documentale sono trattati a norma di legge? Contattaci se vuoi sapere come possiamo aiutarti a scoprirlo.

Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.

Ormai ci siamo: venerdì prossimo sarà il 25 maggio 2018.

Tra una settimana esatta, il Regolamento Generale sulla Protezione dei Dati (RGDP, o anche GDPR) diventerà del tutto efficace.

È stato un lungo percorso, partito il 25 maggio 2016, ma che non terminerà tra una settimana: l'impegno per la protezione dei dati personali che le aziende hanno nei confronti dei cittadini europei varrà per sempre, come per termini di legge.

Ad oggi, molte aziende stanno ancora cercando di orientarsi tra definizioni, concetti e azioni da attuare per essere in regola.

Vediamo quindi le dieci cose più importanti sul GDPR che tutte le aziende che hanno un sito internet, un profilo social o una newsletter devono ricordare.

1) Consapevolezza e Preparazione

In primo luogo, le aziende devono rendere consapevoli tutti i membri dell'organizzazione (titolari, dirigenti, dipendenti, ...) l'importanza del GDPR, evidenziando che la protezione dei dati personali, intesa come principio e non solo come dovere, possa essere conseguita solamente se ciascun membro dell'azienda prende sul serio il suo ruolo nel trattare i dati personali a cui accede, e nell'identificare potenziali violazioni dei dati personali quanto prima possibile.

Esempio di comportamento da non seguire? Stampare liste cartacee di nomi da consegnare alla rete commerciale, affinché la portino a casa propria per analizzarla nel corso del weekend.

2) Limitazione del Trattamento, Dati Personali e Conservazione

Il GDPR impone di trattare solo dati personali di cui hanno ottenuto il consenso informato (v. sotto), e -in particolare- di trattare solo quei dati necessari per compiere predeterminati fini legittimi, nonché di interrompere il trattamento dei dati una volta che i dati hanno esaurito il loro scopo. Questo si traduce nei seguenti requisiti per le aziende:

  • impedire il trattamento dei dati personali per fini diversi da quelli, legittimi, per cui sono stati raccolti previo consenso informato
  • impedire la raccolta di dati personali non necessari per i fini per i quali si richiede il consenso informato
  • assicurarsi che i dati siano cancellati (o, qualora sotto certe condizioni non siano cancellabili, non siano più processati) quando non non più processati.

Nella pratica: non serve chiedere dati quali numero di telefono o codice fiscale per l'iscrizione a una newsletter.

3) Diritti dei Titolari dei Dati

I proprietari dei dati personali (ossia, le persone) hanno il diritto di chiedere alle aziende se è in corso un trattamento dei dati personali, di quali dati personali sono in possesso, e come questi vengono trattati (e da chi). Inoltre, tra gli altri diritti, hanno anche il diritto all'aggiornamento, alla rettifica, all'opposizione al trattamento, di eventuali errori, oltre che alla cancellazione (ove possibile, altrimenti all'esclusione dal trattamento).

Tutte le richieste devono essere esaudite senza ingiustificato ritardo. Vale la pena notare che il GDPR tutela anche le aziende da eventuali richieste immotivate, troppo frequenti, che richiedano uno sforzo sproporzionato, o che mettano l'azienda in difetto di legge.

4) Consenso Informato

Quando un'azienda vuole trattare dei dati personali, deve prima raccogliere il consenso informato da parte del proprietario dei gli stessi.

Prima della raccolta del consenso, la persona deve essere informata con chiarezza prima che il trattamento abbia luogo, di quali dati saranno oggetto del trattamento, e in cosa consiste il trattamento. Dovrà inoltre essere informata di quali soggetti saranno coinvolti nel trattamento, di quanto tempo durerà il trattamento (e la conservazione dei dati), e delle possibilità e modalità di esercitare i propri diritti.

Il consenso dovrà essere raccolto in maniera esplicita e inequivocabile, con una cosiddetta "azione positiva" da parte della persona. Allo stesso modo, le modalità di revoca del consenso dovrà essere semplice ed efficace senza ingiustificato ritardo.

5) Violazioni dei Dati Personali

Le aziende e le organizzazioni sono responsabili di eventuali violazioni dei dati personali trattati, sia a seguito di attacchi informatici, che di errori di software o umani (es. viene rubato un PC che conteneva, inopportunamente, dati personali non criptati).

A seconda della gravità della violazione, avrà 72 ore di tempo per informare il Garante della Privacy dell'avvenuta violazione.

Questo articolo è diviso in due parti. Torna a trovarci lunedì 21 maggio per leggere la seconda parte.

Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.

A meno di 15 giorni dalla completa entrata in vigore del GDPR, il regolamento europeo generale sui dati personali, le Aziende sono in fermento per rifinire le privacy policy e flussi di lavoro in vista di questo importante cambiamento relativo al trattamento dei dati personali.

Abbiamo già parlato degli adempimenti che le aziende devono intraprendere per essere conformi al GDPR dal punto di vista del sito web, delle newsletter e dei software gestionali.

Vediamo ora alcuni preconcetti, i luoghi comuni e i miti da sfatare sul GDPR.
"Passato il 25 maggio 2018, non ci sarà più da preoccuparsi..."

Falso. Il 25 maggio 2018 è semplicemente la data in cui il regolamento diventa efficace.

Da quella data in avanti, tutte le realtà aziendali interessate dal GDPR dovranno essere in regola, con uno sforzo continuativo da parte di tutti i livelli dell'azienda

Alle aziende non basterà dire "noi rispettiamo il regolamento", ma dovranno essere in grado di dimostrare di aver messo in atto tutta una serie di procedure continuative per la corretta gestione dei dati personali.

"Non verranno fatti i controlli, né verranno comminate sanzioni..."

Falso. Una cosa deve essere chiara: il GDPR ha validità di legge, e il mancato adeguamento comporta sanzioni molto elevate.

Ciò detto, si potrebbe obiettare che in passato, almeno in Italia, i controlli per vedere l'attuazione di altre normative sul digitale (es. Partita Iva in homepage, Cookie Law, ...) non sono stati particolarmente frequenti.

Tuttavia, nel caso del GDPR ci si deve attendere un aumento della sensibilità da parte degli utenti finali che, quindi, risponderanno con fermezza quando vedranno lesi i propri diritti (ad esempio, quando riceveranno email di marketing non richieste...), ricorrendo anche al Garante della Privacy.

"Il GDPR è solo una scocciatura burocratica..."

Falso. È innegabile che l'adeguamento al GDPR  comporti uno sforzo considerevole per le aziende, soprattutto quelle che non hanno mai prestato particolare attenzione alle modalità con cui trattano i dati personali dei propri clienti/utenti.

Con troppa facilità le aziende hanno raccolto e collezionato per anni dati personali di ogni tipo (numeri di telefono, indirizzi email, profilazione delle preferenze d'acquisto, ...), alle volte anche per nulla necessari (a cosa serve il codice fiscale per una prenotazione al ristorante?). I dati si sono accumulati in archivi e liste che facilmente arrivano nelle migliaia o decine di migliaia di contatti che, tipicamente, non vengono nemmeno utilizzati attivamente dal reparto marketing.

L'adozione del GDPR rappresenta un nuovo punto di partenza per la realizzazione di liste composte esclusivamente da utenti che hanno prestato consapevolmente il consenso, e dimostrato un effettivo interesse nell'azienda.

Della serie: meglio pochi contatti interessanti, piuttosto che migliaia di contatti inutili.

Hai altre domande sul GDPR?

Hai sentito altri luoghi comuni sul Regolamento e non sei sicuro se siano veri o falsi? Contattaci se vuoi sapere come possiamo aiutarti a scoprirlo.

Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.

Il 25 maggio 2016 è entrato in vigore il GDPR - il regolamento europeo generale sui dati personali. Il 25 maggio 2018 il GDPR diventerà del tutto efficace, obbligando tutte le Aziende che trattano dati personali di cittadini europei a prendere provvedimenti.

Se anche la tua azienda ha un sito internet, oppure se ti capita di inviare comunicazioni ai tuoi clienti tramite email o WhatsApp, se hai attivato campagne di marketing su Google o Facebook, o anche se solamente hai un software gestionale su cui registri fatture e acquisti, sicuramente dovrai fare i conti con il GDPR. 

A meno di 20 giorni dalla fatidica data, vediamo tre cose da fare per non farsi trovare impreparati.

Comprendere la portata del GDPR

Il Regolamento Generale sui Dati Personali nasce con l'idea di difendere il diritto dei Cittadini Europei di conoscere come le aziende e le amministrazioni pubbliche trattano i propri dati personali, dal momento del conferimento fino all'utilizzo finale (ricerche statistiche, contatti commerciali, ...).

Non quindi più possibile inviare comunicazioni commerciali senza che il ricevente non abbia prima dato il consenso alla ricezione, con un'azione attiva. Con un esempio pratico, non sarà possibile inviare comunicazioni promozionali all'intera rubrica di Outlook o di WhatsApp.

Sarà invece necessario raccogliere con precisione il consenso informato al trattamento dei dati, contatto per contatto, e costruire un'apposita lista da utilizzare solo per gli scopi autorizzati in fase di raccolta del consenso.

Il GDPR dovrà essere rispettato da tutte le aziende (anche extra-comunitarie) che trattano, anche solo in minima parte o in maniera marginale, dati personali di cittadini UE. L e sanzioni per chi non rispetta il GDPR sono molto elevate, e saranno eventualmente comminate con carattere di deterrenza. Esse arrivano fino a 20 mln di Euro, il fino al 4% del fatturato globale (a seconda del valore più alto).

Scegliere con attenzione i dati personali che si vuole trattare

Data l'entità e il carattere di deterrenza delle sanzioni, conformarsi al GDPR significa implicitamente evitare di raccogliere e di trattare dati non strettamente necessari allo scopo.

In altre parole, in caso di iscrizione alla newsletter aziendale, non è necessario richiedere l'indirizzo di residenza né il numero di telefono dell'utente, se l'obiettivo è quello di inviare email.

Ha senso richiedere indirizzo e numero di telefono solo nel caso in cui si voglia inviare materiale per posta, o comunicazioni via WhatsApp e SMS. In questo caso, il consenso informato a questo trattamento deve comunque essere raccolto separatamente in maniera esplicità

Assicurarsi che i propri fornitori siano conformi

Quasi sicuramente, nella gestione del sito web o del tuo software gestionale hai coinvolto diversi fornitori: dai programmatori del sito, ai fornitori di spazio web e servizi di hosting.

Dal momento che tu sei il Titolare del trattamento dei dati personali dei tuoi utenti e clienti, devi assicurarti che i tuoi fornitori siano coscienti di essere Responsabili del trattamento dei dati personali dei tuoi utenti e clienti.

Assicurati che siano conformi con quanto richiesto dal GDPR

Hai bisogno di una mano con queste tre cose da fare prima che il GDPR diventi efficace?

Non ti è ancora ben chiaro l'impatto del GDPR sulla tua realtà aziendale? Non sei sicuro di quali dati personali hai bisogno per le tue finalità promozionali? Non sei in grado di stabilire se i tuoi fornitori rispettano il GDPR?

Contattaci senza impegno per un aiuto da parte nostra.

Questo articolo fa parte di una serie di approfondimenti sul GDPR. Per saperne di più, consulta tutte le News sul GDPR oppure contattaci.

Il Garante Privacy smentisce la notizia di un possibile rinvio

L'Autorità per la protezione dei dati personali precisa che, in merito ad alcune notizie che in data odierna girano sulla rete, non si è (ancora) pronunciato su un ipotetico periodo di grazia sulla sospensione dei controlli (e delle sanzioni) alle imprese che, in buona fede, non hanno del tutto completato l'adeguamento al GDPR.

Si legge nella nota diffusa dal Garante:

“Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie né il provvedimento richiamato nei siti attiene a tale materia”.

“Nessun provvedimento del Garante, peraltro potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018”

La tua Azienda è pronta per il GDPR?

Hai già attuato le procedure richieste dal Regolamento Generale sui Dati Personali per rendere a norma il tuo sito web, la tua newsletter o il tuo software gestionale?  Contattaci se vuoi sapere come possiamo aiutarti a scoprirlo.