Nuova privacy 2018: cosa c’è da sapere
Cos’è il GDPR? Cosa implica? Sono previste sanzioni? E perché ci riguarda?
Se hai un sito web, un e-commerce o fai attività di web marketing (es. invii newsletter ai tuoi clienti), prenditi un po’ di tempo per leggere l’articolo.
Tempo di lettura: 4 minuti
Normativa europea 2018 sulla privacy
Il GDPR, acronimo di General Data Protection Regulation, è il nuovo regolamento generale per la protezione dei dati che entrerà in vigore il 25 Maggio 2018.
Con l’entrata in vigore del GDPR tutti i paesi europei dovranno rispettare le stesse norme sulla privacy.
A differenza del quadro normativo attuale che si basa su direttive, il GDPR è un regolamento, per cui un atto legislativo vincolante che deve essere applicato da ogni paese membro dell’UE.
La mancata applicazione di quanto previsto dal GDPR comporta sanzioni. Le sanzioni imposte dall’Autorità locale per la Protezione dei Dati, possono arrivare fino a 20 milioni di euro, per le imprese non facenti parte di gruppi, e fino al 4% del fatturato per i gruppi societari.
Quali sono i temi più importanti sui quali interviene il GDPR?
Il GDPR ha come obiettivi principali quello di aggiornare i principi in materia di tutela dei dati personali e di uniformare la normativa per tutti gli stati membri dell’UE.
La raccolta del consenso è il primo tema sul quale interviene il regolamento. Attualmente in Italia vige il meccanismo del consenso espresso: il consenso è valido se raccolto con dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. Non basta il silenzio-assenso.
Altri Paesi europei, invece, adottano la logica del consenso presunto in base ai comportamenti dell’utente. Nel Regno Unito, ad esempio, viene automaticamente presunto il consenso a meno di una negazione esplicita.
Il GDPR uniformerà le diverse regole: il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti positivi. Non deve quindi essere esplicitato barrando una casella o con la firma di un modulo, ma vale se deriva da un’azione compiuta dall’utente.
Il nuovo regolamento, inoltre, semplifica l’informativa sulla privacy: basta con testi chilometrici e ricchi di riferimenti normativi, sì a testi semplici e comprensibili.
Altra importante novità che verrà introdotta è il DPO, Data Protection Officer, una nuova figura interna alle aziende che ha il compito di verificare il corretto trattamento dei dati e predisporre il documento di Privacy Impact Assessment.
Cosa sono i dati personali?
I dati personali sono tutte le informazioni relative a un individuo identificato o identificabile. Si tratta, quindi, di qualunque dato che consente di identificare una persona fisica.
Ad esempio:
- Nome e cognome;
- Numero di telefono;
- Residenza;
- Genere e nazionalità;
- Dati bancari;
- Numero carta d’identità;
- Informazioni mediche;
- Dati relativi ad interessi;
- Indirizzo email nella forma nome.cognome@azienda.it;
- Comportamento su un sito web;
- Dati relativi alla localizzazione geografica;
- Indirizzo IP;
- ID cookie.
Le informazioni mediche, i dati sull’origine razziale o etnica di una persona, le opinioni politiche, le convinzioni religiose o filosofiche, sono alcuni esempi di dati personali sensibili. Nel caso in cui vengano trattati dati sensibili, è necessario adottare ulteriori misure di sicurezza.
Inoltre, è necessario fare attenzione alla differenza tra dati personali e dati aziendali francesca@azienda.it è un esempio di dato personale perché l’indirizzo email è collegabile ad una persona fisica. info@azienda.it, invece, non è un dato considerabile personale per cui non rientra nel GDPR.
Email marketing e GDPR
La nuova normativa sanziona spam e pratiche scorrette di email marketing: l’invio di comunicazioni presuppone il consenso. In altre parole, per il GDPR chi tace non acconsente.
Per quanto riguarda le newsletter, resta valida la procedura del double-opt in che prevede un doppio step di conferma, da parte dell’utente, sulla volontà di ricevere comunicazioni. Alla fine della newsletter deve essere sempre presente l’indirizzo dell’azienda e il link che consente all’utente di cancellarsi dall’abbonamento.
Con l’entrata in vigore del GDPR, sarà necessario distinguere le comunicazioni B2B da quelle B2C. Le prime sono destinate al ruolo della persona all’interno dell’azienda. Le comunicazioni B2C, invece, sono dirette alla persona fisica, per cui sarà necessario chiedere il consenso esplicito a ricevere email.
Sito web e GDPR
In generale, i possessori di un sito web devono:
• conoscere tutti i meccanismi di tracciamento presenti nel sito e il loro scopo;
• conoscere quali dati del sito web vengono condivisi con terze parti;
• avere il consenso dell’utente prima di procedere a qualunque elaborazione dati;
• registrare la prova del consenso;
• dare sempre la possibilità all’utente di revocare il consenso.
Cosa devo fare per essere in regola con il GDPR?
Deve essere il titolare del trattamento, ovvero, chi decide il motivo e le modalità del trattamento dei dati personali, a garantire un livello adeguato di sicurezza. Inoltre, sarà lo stesso che dovrà giustificare e rendere conto delle scelte fatte.
Il punto di partenza dovrebbe essere l’analisi dello stato dell’azienda. Importante è anche rivedere la modulistica, che, se non in linea con le modifiche previste dalla nuova normativa, potrebbe causare sanzioni.
Si tratta di cambiamenti importanti e delicati. Per questo motivo, per approfondire l’argomento e capire bene cosa devi fare per essere in regola, ti suggeriamo di affidarti ad un professionista del settore.
Puoi richiederci una consulenza gratuita, ti aiuteremo noi!