La GDPR è ormai alle porte, e per chi lavora gestendo dati altrui la tensione si fa sentire: i cambi sulla regolamentazione della privacy sono, in effetti, numerosi e a tratti oscuri, poiché enunciati in un gergo molto tecnico. Vediamo di analizzarli uno alla volta, in un linguaggio più intuibile per tutti.

Prima di tutto, per semplificare il discorso, dividiamo nel numero minimo di punti fondamentali tutte le novità che prevede la nuova regolamentazione sull'ottenimento e la gestione dei dati: 

  • informare sull'uso dei dati: i tuoi utenti avranno il diritto di sapere come e a che scopo saranno utilizzate le loro informazioni personali, in un linguaggio chiaro, semplice e, soprattutto, esplicito. Anche per quanto riguarda la loro archiviazione occorre essere specifici, sia per le tempistiche che per le modalità
  • ottenere il consenso dei visitatori: anche in questo passaggio, la parola chiave è chiarezza. L'utente deve dare il suo consenso in modo esplicito e diretto, e per questo il permesso di utilizzo dei suoi dati deve essere chiesto tramite modalità altrettanto cristalline
  • specificare l'accesso ai siti: molto simile al primo punto sull'informazione, tranne che per le tempistiche: non solo nel momento della cessione dei dati, ma anche al primo contatto con un sito l'utente andrà avvisato su come verranno utilizzati i suoi dati personali e da chi
  • avvisare in caso di problemi: occorrerà avvisare tempestivamente un proprio lead nel caso i suoi dati vengano esposti a rischi o a veri e propri furti: la notifica all'utente andrà eseguita entro massimo 72 ore dall'avvenimento
  • cancellare i dati "inutili": nel caso un lead richieda la cancellazione dei suoi dati personali dopo che essi sono stati usati per il fine precedentemente specificato, sarai obbligato ad accontentarlo, a meno che gli stessi dati non siano utilizzabili in processi giudiziari
  • profilare gli utenti: come nel caso dell'ottenimento dei dati, gli utenti andranno informati anche sulla profilazione che i loro dati subiranno, sia per modalità che per utilizzi
  • garantire la sicurezza dei dati: ribadisce l'obbligo di tenere al sicuro i dati sensibili dei propri utenti: in un epoca in cui il dato ha un valore inestimabile, è compito di chi lo ottiene garantire per la sua sicurezza
  • chiarire le offerte di marketing: una volta che un utente avrà fornito i suoi dati, non si potrà inviargli nessun tipo di pubblicità a meno che lo stesso non conceda il suo consenso esplicito.
  • trasferimento dati all'estero: se si intende trasferire i dati di un cittadino europeo all'estero, bisognerà garantire per la loro sicurezza durante tutto il processo e anche dopo; anche in questo passaggio è obbligatorio ottenere prima il consenso dell'utente

 

Quanto costa adattarsi alla novità

 Quali sono i prezzi per adattarsi alla nuova regolamentazione? La risposta cambia da caso a caso, in base all'imponenza della realtà interessata:

  • Se parliamo di realtà molto piccole, come possono essere un blog o un ecommerce personale, ovvero di strumenti che non hanno come fine ultimo la raccolta e l'utilizzo dei dati, basterà utilizzare delle soluzioni molto semplici quali checkbox o voci aggiuntive nei form di compilazione, nelle quali si richiederanno tutti i consensi del caso.
  • Nel caso delle piccole imprese la GDPR può richiedere solamente un tributo di tempo, o al limite una spesa veramente esigua per quanto riguarda l'aggiornamento dell'informativa sulla privacy: in linea generale, basterà modificare le informazioni fornite ai visitatori e aggiungere comunicazioni dirette, e verificare gli strumenti utilizzati per questi fini.
  • Il discorso può essere diverso per alcune medie e molte delle grandi imprese. Per esse la spesa può essere più ingente e non limitarsi solo al tempo, in base al numero di dipendenti tra le loro fila: se ne contano più di 250, saranno obbligate a mantenere attivo e aggiornato uno schema sulle modalità di trattamento dei dati, oltre a dover garantire un più alto grado di sicurezza dei dati dei propri utenti (in caso di necessità dovranno acquistare nuovi software e nuovi strumenti). Per far fronte alle novità sarà inoltre necessario formare il personale a riguardo, tramite corsi di aggiornamento e formazione, e all'occorrenza procurarsi nuovi programmatori che sappiano gestire i nuovi obblighi di tutela dei dati, in particolar modo la gestione del diritto all'oblio (visionare, scaricare ed eliminare dati).

 

Trattamento dei cookies

Nonostante la questione sui cookies non sia ancora confermata pienamente, concentriamoci su quanto contiene la bozza della GDPR a tal proposito.

Tutti i cookies ricadono negli obblighi previsti dal regolamento, anche quelli anonimi (i quali possono comunque rimandare al mittente, tramite metodi meno diretti): questi strumenti vengono definiti dalla GDPR come temporanei, nonostante essi debbano rispettare tutte le nuove regole sui consensi (consenso sul trattamento dei dati, consenso per la raccolta dati a fini commerciali, consenso del genitore se l'utente ha meno di 16 anni, consenso per la raccolta dei dati sensibili).

Il cambiamento più importante ricade nella condizione dell'anonimato. Prima esso permetteva di aggirare la richiesta di consenso, mentre ora non sarà più valido, poiché non sarà la condizione della richiesta dei dati l'elemento chiave, bensì i dati stessi che richiederai.

 

Fisionomia dell'informativa sulla privacy

Affinchè l'informativa sia conforme alle norme della GDPR, occorre che rispetti alcune linee:

  • Deve essere sintetica ed intuitiva, e solo in caso di necessità di dettagli aggiuntivi rimandare alla versione più estesa
  • Deve essere scritta con un linguaggio intellegibile e conciso, che non lasci spazio a fraintendimenti 
  • Deve specificare l'utilizzo che si farà dei dati che si richiedono
  • Deve contenere i dati del titolare e un modo per contattarlo 
  • Deve indicare per quanto saranno conservati i dati
  • Deve motivare la richiesta dei dati (questionario, marketing, sondaggio, ...)
  • Deve informare l'utente se i suoi dati verranno trasferiti all'estero

 

Nuove figure introdotte dalla regolamentazione

Parlando di formazioni e assunzioni di nuove personalità, non possiamo non citare la nuova figura legata alla GDPR: si tratta del DPO, ovvero il Data Protection Officer (responsabile della protezione dei dati).

Chi dovrà nominarlo?

La risposta è semplice: tutti gli enti pubblici, eccezion fatta per le autorità giudiziarie. Anche tutte le attività che, in modo o nell'altro, gestiscono o richiedono i dati dei loro clienti o utenti, a prescindere dalla loro grandezza. Anche la sola azione di monitoraggio dei dati obbliga alla nomina di un DPO con il compito di supervisionare tutto il processo e fungere da referente per ogni questione riguardante la privacy dei dati.

 

Sanzioni per i trasgressori

Se è vero che per molte realtà la GDPR può non costare nulla o quasi, le sanzioni per coloro che non rispettano le condizioni sulla privacy le sanzioni possono essere molto pesanti: si può arrivare, nei casi più gravi, fino ai 20 milioni di euro o al 4% del fatturato mondiale. La multa dipende in grande misura dalla dolosità o colposità dell'infrazione, dalla collaborazione che il trasgressore offre all'autorità nella risoluzione del problema e, ovviamente, dalla gravità del problema generato.

 

 

 

Scritto da Francesco Gremes

Inbound training

Francesco Gremes