GDPR 2018: quali novità?…il 25 Maggio sta arrivando

Il GDPR è il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation – Regolamento UE 2016/679) e entrerà in vigore il  25 maggio 2018. E’ un regolamento che detterà delle regole in materia di protezione di dati all’interno dell’Unione Europea. Verrà applicato a tutte le aziende che si occupano di trattamento di dati personali. Con “trattamento dei dati” ci riferiamo a qualsiasi azione legata ai dati personali, compresa la modalità di trattamento e gestione dei dati da parte di un’azienda, come ad esempio la raccolta, la conservazione, l’utilizzo e la distruzione dei dati.

Per orientarci meglio all’interno di questo regolamento e per capire quali requisiti bisogna soddisfare per essere in regola abbiamo contattato l’Avvocato Antonino Rallo di www.studiolegaleralle.it per chiarirci alcuni dubbi in materia.

Ma vediamo a cosa serve questo GDPR?

Innanzitutto è un regolamento serve quindi ad uniformare la normativa privacy a livello europeo, nonché a dotare l’Europa di un quadro normativo in linea con le esigenze della società odierna. Il Codice Privacy in vigore prima del GDPR era infatti basato su una direttiva del lontano 1995. In Europa dunque, chi acquisisce e conserva in qualche modo i dati di clienti e potenziali clienti (ad esempio le email) deve quindi sottostare a queste nuove regole.

Naturalmente questo va sicuramente a colpire il campo dell’email marketing in generale e sul web se ne parla tanto e noi di Stratega vogliamo fare un pò di chiarezza.

Quali sono i soggetti che devono adeguarsi al GDPR?

Sicuramente tutte le aziende/agenzie e freelance con base operativa nel territorio UE.

Quali sono le basi giuridiche principali?

In base al GDPR, esistono diversi motivi approvati (o “basi giuridiche”) per cui un’azienda può trattare in modo legittimo i dati di una persona. Di seguito, vediamo quali sono le principali basi giuridiche riconosciute dal GDPR.

Ad esempio:

  • consenso al trattamento : I dati trattati devono essere necessari per la fornitura del Servizio e devono essere chiaramente definiti nel contratto stipulato con l’utente.
  • consenso: È necessario ricevere un consenso libero, specifico, consapevole e non ambiguo da parte dell’utente mediante azione affermativa chiara. Le persone hanno il diritto di ritirare il proprio consenso e questa possibilità deve essere sottoposta alla loro attenzione.

Ma vediamo cosa deve fare il gestore di un sito web?

Prima di tutto sarà necessario mostrare agli utenti una precisa Privacy Policy, che sarà un documento che illustra:

  • le finalità e le modalità del trattamento dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • i soggetti ai quali i dati personali possono essere comunicati (incluse le terze parti che trattano dati degli utenti mediante delle tecnologie installate sul proprio sito o app, come Facebook o Google);
  • i diritti dell’interessato;
  • gli estremi identificativi del titolare del trattamento (cioè la persona fisica o giuridica che gestisce il sito/app).

Quali sono “le modalità” per la raccolta del consenso?

Tutti i siti web devono raccogliere il consenso, in particolare i siti e-commerce, devono prestare molta attenzione a come raccolgono questo consenso.

Ad esempio se un’azienda raccoglie dei dati personali dell’utente (mail, nome e cognome) attraverso il suo sito web per inviare delle comunicazioni via email cosa succede? In questo caso si parlerà di “privacy by design”, per cui secondo il DGPR il consenso deve essere informato, specifico, libero e revocabile. Un chiaro esempio potrebbe essere l’inserimento della dicitura: “iscrivendoti al nostro sito potrai ricevere email” oppure si può inserire il check box spuntabile SI o NO. L’utente deve accettare manualmente, spuntando il si/acconsento così il consenso sarà consapevole.

Quindi ricapitoliamo:

  • Il check box per il consenso al trattamento
  • Il check box relativo alla ricezione di newsletter
  • il check box per la ricezione di informazioni commerciali

Se invece si svolgono attività di direct marketing/contatto diretto deve essere specificata la modalità di contatto (“Desidero essere contattato via mail/ sms/ etc… sempre in modalità Sì/No e sempre con la spunta prefissata sul NO), con successiva possibilità di essere revocato.

  • in fase di registrazione, aggiungendo una dicitura del tipo “Registrandoti acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni” (la checkbox in questo caso non è necessaria);
  • in fase di acquisto, aggiungendo – prima della conferma dell’ordine – una dicitura del tipo “Completando l’acquisto acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni”. La dicitura è richiesta sia per gli utenti già iscritti che per gli utenti guest.

Un’altra procedura può essere la double opt-int, che consiste quindi nell’inviare una email con cui l’utente, mediante il click su un link di conferma, può confermare di essersi effettivamente registrato, in questo modo  si può verificare che l’utente che immette i dati sul sito sia effettivamente il proprietario dell’indirizzo email con cui si sta registrando.

In caso di e-commerce, inoltre, il consenso per inviare comunicazioni commerciali non è necessario se l’utente ha già effettuato un acquisto, e se le newsletter riguardano prodotti o servizi simili a quelli già acquistati, a patto che l’utente non si sia espressamente “disiscritto”.

Quali sono le altre novità da rispettare secondo DGPR?

Il GDPR ha molti impatti anche all’interno delle aziende:

  • bisogna mappare con cura il proprio organigramma privacy, individuando tutti i soggetti interni o esterni alla propria organizzazione che trattano dati degli utenti per conto del titolare. Questi soggetti devono essere nominati responsabili o addetti al trattamento;
  • in alcuni casi è necessario nominare anche un Data Protection Officer (DPO), ovvero un soggetto con una conoscenza approfondita della legislazione privacy che si occupa del controllo della conformità interna al GDPR e della supervisione e attuazione della strategia di protezione dei dati dell’organizzazione;
  • predisporre un Registro del Trattamento contenente l’indicazione dei dati trattati dall’organizzazione, delle finalità del trattamento, dei soggetti che accedono ai dati, degli eventuali trasferimenti di dati all’estero, dei termini di cancellazione dei dati e delle misure di sicurezza adottate;
  • effettuare dei processi di Data Protection Impact Assessment (DPIA) per valutare l’impatto di nuove tecnologie o attività di trattamento che l’organizzazione vuole porre in essere. Le DPIA devono essere documentate per iscritto;
  • adottare delle procedure aziendali, ad esempio per rispondere ad eventuali violazioni dei dati personali – data breach – secondo quanto previsto dal GDPR, o per rispondere ad eventuali richieste di esercizio dei propri diritti da parte degli utenti

Naturalmente il GDPR non può essere riassunto in queste poche righe ma noi ci siamo limitati ad evidenziare quelli che sono gli aspetti che potrebbero interessare di più alle aziende e ai proprietari di un sito web.