La conformità al GDPR in pochi passi

1° passo: Scopri le basi del GDPR

Il regolamento generale dell’Unione europea sulla protezione dei dati personali (ingl. General Data Protection Regulation, conosciuto anche con le sigle GDPR) è un regolamento che è stato emesso il 27 aprile 2016 dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018.

Nella maggior parte dei casi, il Parlamento europeo adotta direttive che vengono poi introdotte dai membri dell’UE nelle loro legislazioni, ma in questo caso si tratta di un regolamento, il che vuol dire, che sarà valido direttamente e in modo uguale in tutti i paesi membri.

Data la legislazione (nazionale) già esistente, il nuovo regolamento apporta molte novità, da una parte sfide e agguati, dall’altra parte invece l’unificazione e anche (specialmente se si fanno affari in diversi paesi dell’UE) la semplificazione.

A chi si applica il GDPR

Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.

Significa che la sede dell’organizzazione non è rilevante e che il GDPR si applica anche alle aziende statunitensi, se queste trattano i dati degli europei.

L’organizzazione in questo contesto significa un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.

Il GDPR si applica anche a tutti i tuoi esecutori contrattuali (responsabili del trattamento), indipendentemente da dove si trovino (nell’UE o altrove). Ma la responsabilità che siano conformi al GDPR è (anche) tua.

Non è possibile, infatti, trasferire le responsabilità sui partner contrattuali, perciò è molto importante verificare che tutti i partner siano conformi al GDPR e stipulare con essi un contratto

A quali dati si applica il GDPR

Il GDPR si applica a tutti i dati personali, trattati dalla tua organizzazione. Questo include anche i dati dei tuoi clienti o acquirenti, e attenzione, anche i dati dei tuoi partner (fornitori) e dei tuoi dipendenti.

Questo significa che dovrai cambiare la tua mentalità riguardo il trattamento dei dati personali e cominciare a vedere le cose da un’altra prospettiva.

Tuttavia, è fondamentale distinguere tra i dati personali e i dati di carattere pubblico.

I dati di carattere pubblico non sono (necessariamente) i dati pubblicati! Se per esempio una persona rivela pubblicamente il suo indirizzo email (p.es. su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tantomeno inviar un messaggio email a questo indirizzo.

Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.

Anche l’indirizzo email professionale non è un dato pubblico, nonostante sia pubblicato sul sito web. Nome.cognome@certa-azienda.it è ritenuto come dato personale, che senza permesso non hai il diritto di trattare.

Tuttavia, gli indirizzi email generici sono dati di carattere pubblico. Info@certa-azienda.it non rientra sotto la giurisdizione del GDPR e per il trattamento di questi dati non hai bisogno di alcun consenso esplicito. Ma devi, se invii messaggi email a questi indirizzi, sempre dare e rispettare la possibilità di annullare l’iscrizione.

Un ulteriore esempio di raccolta legittima di dati è la raccolta di dati aggregati. Questi infatti non determinano nessuna persona fisica in particolare, perciò raccoglierli, secondo il GDPR, è consentito.

Ma, a questo riguardo, è necessario fare molta attenzione, visto che bisogna effettivamente garantire che i dati siano anonimizzati in modo che non sia più possibile ripristinare le informazioni sull’individuo a cui si riferiscono.

Bisogna poi evidenziare la differenza tra i dati obbligatori e quelli non obbligatori – e qui non si tratta di un obbligo determinato dal titolare (per esempio come campo obbligatorio all’iscrizione, perché così ha deciso e perché questi dati gli “faranno comodo”), ma di una necessità obiettiva di un dato personale.

Il GDPR precisa che è consentito raccogliere dati che sono appropriati, rilevanti e necessari per eseguire il servizio ordinato (adequate, relevant, and not excessive in relation to the purposes for which they are processed).

Esempio: Per ricevere una Newsletter è necessario che il titolare ottenga l’indirizzo email, ma non è necessario che il titolare ottenga anche i dati sulla data di nascita.

Per questo motivo il GDPR chiede ai titolari di raccogliere sempre il minor numero di dati necessari per ogni scopo.

In pratica questo significa che i dati su un determinato click, legato all’indirizzo email, sono dati personali.

Allo stesso tempo, la cronologia dei click per un destinatario non è necessariamente indispensabile per garantire il servizio primario (p.es. l’invio delle news). Perciò è necessario dare al destinatario la possibilità di cancellarsi solamente da questa sezione di dati e, di conseguenza, dalla profilazione – dove vengono create nuove liste e segmenti.

È molto importante anche la nuova richiesta, che dice che il GDPR si applica anche ai dati raccolti prima dell’introduzione del GDPR. In pratica questo significa che devi:

  1. Controllare innanzitutto quali sono i consensi che hai per i tuoi dati esistenti – se sono (già) in conformità al GDPR. Se la risposta è Sì, non hai bisogno di raccogliere ulteriori consensi.
  2. Se non è così, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati.

Il condizionamento dei servizi con il consenso per il trattamento dei dati personali non è (più) consentito.

In pratica questo significa che bisognerà modificare le campagne di email marketing, dove, per esempio, proponi al destinatario un e-book chiedendogli di registrarsi per il trasferimento del libro e di iscriversi automaticamente alle tue e-news.

L’iscrizione alle e-news deve essere proposta come opzione indipendente (essere indicata con un segno di spunta) e non deve essere implicita (già selezionata).

Gli obblighi del titolare

Il GDPR richiede al titolare di garantire ai destinatari, in maniera semplicetrasparente e sicura, determinati diritti, che fin ora erano garantiti solo parzialmente o non lo erano affatto. Questi diritti sono i seguenti:

  1. Il titolare deve definire la base giuridica sulla quale gli è consentito il trattamento dei dati personali. Degli esempi di basi giuridiche sono i consensi, interessi legittimi, base legale, obblighi contrattuali, … Fornire dei servizi ai clienti è sicuramente una base giuridica di questo tipo, ma bisogna fare attenzione a raccogliere la quantità minima di dati personali necessaria.
  2. Il titolare deve garantire un consenso volontario e trasparente del destinatario sul trattamento dei dati. Se ti occupi del trattamento dei dati personali dei bambini, dovrai chiedere il consenso ai loro genitori. Per l’email marketing, una decisione trasparente e volontaria significa, che devi includere all’inizio del modulo di iscrizione una casella vuota, quindi senza segno di spunta, per il consenso allo scopo del trattamento.
  3. Il titolare deve garantire al destinatario il diritto di informazione. Questo significa che:
    1. I dati personali si ottengono direttamente dal destinatario o esiste un consenso esplicito, ottenuto da uno dei nostri partner, che ha raccolto questi dati direttamente, e che permette al titolare di utilizzarli
    2. Le informazioni sui quali dati si raccolgono, perché si raccolgono e quanto tempo verranno custoditi devono essere chiare, concise, trasparenti, comprensibili, facilmente accessibili e gratuite. Quest’ultimo non va definito nelle condizioni generali di contratto in una lingua legale e difficile da capire né occultato in altro modo. Il modo giusto è presentarlo in maniera chiara ed esplicita nel momento in cui il destinatario consegna i suoi dati personali al titolare.
    3. Il titolare deve garantire al destinatario il diritto di accesso ai propri dati personali. Questo significa che deve esserci un modo semplice e sicuro per il destinatario di informarsi sui dati che sono stati raccolti e quelli che si stanno ancora raccogliendo.
    4. Il titolare deve garantire al destinatario il diritto di rettifica dei propri dati personali. Questo significa che deve esserci una procedura semplice e sicura, sulla cui base il destinatario può modificare i propri dati personali a sua libera scelta.
    5. Il titolare deve garantire al destinatario il diritto di cancellare (dimenticare) i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario può richiedere la cancellazione di tutti i suoi dati personali.Bisogna sottolineare che il GDPR non ha una precedenza “assoluta” rispetto alle altre leggi e il titolare può anche respingere questo tipo di richiesta o soddisfarla solo parzialmente, se ha altre basi giuridiche per custodire tali informazioni.Un bell’esempio sono i dati degli acquirenti nel negozio online: L’azienda è tenuta a conservare i dati degli account e, di conseguenza, degli acquirenti anche diversi anni dopo l’acquisto, perciò si potrà soddisfare la richiesta di cancellazione solo in parte.
    6. Il titolare deve garantire al destinatario il diritto di trasferire i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario ottiene i suoi dati personali in un formato leggibile (che possano essere elaborati facilmente con il computer – per esempio in formato XML o CVS). Il destinatario potrebbe poi trasferire questi dati, per esempio, da un altro fornitore di servizi.
    7. Il titolare deve garantire al destinatario il diritto di obiezione. Questo significa che il titolare deve dare al destinatario la possibilità di revocare qualsiasi consenso, che abbia mai dato al titolare. Questo include sia i consensi per scopi diretti (p.es. invio delle Newsletter), come anche per scopi indiretti (p.es. la possibilità di profilazione).
    8. Il titolare deve garantire una traccia di audit delle operazioni con i dati personali. Questo significa che ogni dato in caso di accessomodifica e cancellazione, viene anche registrato.Si tratta dei così detti metadati (i dati sui dati) che devono essere memorizzati per poter ricostruire in modo semplice il ciclo di vita dei dati.È necessario sottolineare che bisogna fornire anche i dati su chi e quando ha avuto accesso ai dati e che questo vale sia per i destinatari che per i dipendenti del titolare o del titolare del trattamento.Il titolare deve avere facile accesso alla traccia di audit, perciò è necessario che il titolare si assicuri che tutti i titolari del trattamento abbiano una traccia di audit e che questa sia a disposizione del titolare.Oltre a quello che abbiamo elencato sopra, il titolare deve, in caso di trattamento di maggiori quantità di dati, o in caso abbia oltre 250 dipendenti, determinare anche il c.d. DPO – Data protection officerÈ una persona che garantisce la conformità della sicurezza dei dati personali relativa al GDPR. Questa persona può essere assunta dall’azienda, ma non deve avere conflitti di interesse.Non può esserlo chi lavora nel campo del marketing, dell’amministrazione, delle risorse umane o dell’IT. La cosa più sensata è assumere qualcuno da fuori che si prenda carico di questo ruolo.La maggior parte dei titolari non avrà bisogno di un DPO, ma sarà invece d’obbligo per quelli che trattano grandi quantità di dati o trattano dati sensibili.

Come procedere in caso di violazioni

La novità, introdotta dal GDPR, è anche un modo più chiaro e rigoroso di agire in caso di violazioni.

In caso di abuso (irruzione nel sistema informatico, violazione da parte dei dipendenti, violazione da parte dei soci, …) è necessario informare in meno di 72 ore gli organi competenti – il titolare delle informazioni o la polizia se sei stato vittima di un reato, che come conseguenza ha compromesso la sicurezza dei dati personali.

Non denunciando il fatto potresti essere sanzionato, il che vuol dire che avrai subito danni due volte.

In caso di violazioni gravi (il GDPR definisce come violazione grave la violazione “dei diritti e delle libertà” del destinatario) bisogna informare anche il destinatario – nel contesto dell’email marketing è necessario informarlo solo in caso qualcuno abbia fatto irruzione nel sistema informatico (nel tuo o in quello del responsabile del trattamento contrattuale) e abbia rubato i dati personali dei destinatari).

Responsabilità in caso di violazione

È importante sapere che per la gestione dei dati è sempre responsabile il titolare.

Questo significa che il titolare non potrà pronunciarsi sui contratti che ha stipulato con i suoi partner o responsabili del trattamento (eccetto, ovviamente, in casi evidenti).

In pratica questo significa che i servizi di ispezione continueranno a esercitare la vigilanza sui titolari e solo successivamente sui responsabili del trattamento.

Ci sarà invece meno sorveglianza dei responsabili del trattamento al di fuori dell’UE. Il GDPR afferma che per loro valgono le stesse regole, ma è chiaro che metterle in atto in pratica sarà più difficile. Di conseguenza i servizi di ispezione si concentreranno ancora di più sui titolari.

Sanzioni in caso di violazioni

Le sanzioni per i responsabili del trattamento, gli ricevente, ma soprattutto per i titolari sono molto alte! Il GDPR prevede multe fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per la maggior parte delle infrazioni. Per gli abusi gravi invece fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente o 20 milioni di euro.

Bisogna anche sottolineare che saranno sotto sorveglianza e verranno sancite tutte le aziende – sia quelle minuscole e piccole he quelle medie e grandi.

Non contare sul fatto che la tua azienda sia troppo piccola per poter essere sotto sorveglianza o per essere sancita.

Quando inizia a valere il GDPR

Le normative GDPR iniziano formalmente a valere il 25 Maggio 2018.

Bisogna capire che l’applicazione delle normative, nel senso pratico, NON avverrà da un giorno all’altro, ma sarà graduale.

Devi comprendere, che tantissimi paesi dell’Unione europea non hanno ancora approvato le leggi necessarie, che danno una base per permettere l’applicazione del GDPR.

Con l’introduzione del GDPR ti consigliamo di seguire il seguente ordine dei passi:

  1. Nella prima fase, assicurati che i tuoi processi e sistemi siano compatibili con il GDPR. Questo lo devi fare assolutamente prima del 25 di Maggio.
    Nella seconda fase, assicurati che tutti i dati personali ottenuti dopo il 25 di Maggio siano raccolti rispettando il GDPR
  2. Nella terza fase, assicurati di ottenere tutti i consensi dei tuoi contatti di prima. Qui si suppone che le istituzioni di controllo permetteranno un periodo di passaggio, dove i titolari potranno finalizzare al 100% la loro compatibilità.
  3. Allo stesso modo, guardando dal punto di vista legale, restano aperte alcune domande sulla retroattività prevista dal GDPR. Queste probabilmente verranno esaminate e risposte con delle situazioni più pratiche.
  4. Alle fine, elimina tutti i dati personali, per i quali non hai ottenuto il consenso di trattamento. Così come menzionato prima, anche qui ti consigliamo di non avere fretta.

Con i dati e con le conclusioni sovrastanti abbiamo presentato un’analisi completa del GDPR. Da sottolineare è, tuttavia, che questo non rappresenta in alcun modo tutto ciò che comprende il GDPR, soprattutto se stiamo parlando in un contesto dell’azienda più grande, e non solo nel contesto dell’email marketing.