Sia che tu sia un responsabile marketing, un professionista o il proprietario di un’azienda dovresti ormai essere al corrente delle ultime novità in ambito privacy e protezione dati.
E’ ormai noto a tutti che il 25 maggio sono cambiate molte cose… ma cos’è il GDPR e quale impatto avrà sulla tua azienda?
Scopriamolo insieme...
Con il Regolamento Ue del 27 aprile 2016 n.2016/679/UE il Parlamento Europeo è andato ad abrogare e così sostituire, la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Il 4 maggio 2016 il Regolamento generale sulla protezione dei dati personali è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea per entrare in vigore poi su tutto il territorio dell’Unione il 25 maggio 2016 ovvero 20 giorni dopo la pubblicazione.
Lo stesso Regolamento però ha previsto un periodo di n. 2 (due) anni successivo all'entrata in vigore, per consentire l’adeguamento alle nuove disposizioni: l’applicazione è avvenuta il 25 maggio 2018.
Il Regolamento del Parlamento Europeo è relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il GDPR (General Data Protection Regulation) riguarda appunto la protezione dei dati. Tale regolamento risulta applicabile in tutti gli Stati dell’Unione Europea a differenza della Direttiva, la quale infatti, affinché possa essere attuata, è necessario che sia recepita dai singoli Membri dell’Unione con l’emanazione di relativa legge ordinaria.
I cambiamenti non finiscono qui.
Tale regolamento, infatti, risulta applicabile anche a tutte quelle aziende con sede legale al di fuori dell’Unione Europea ma che si trovano a dover gestire dati sensibili di cittadini dell’Unione.
Tra i principi alla base del predetto Regolamento vi è la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale considerata come un diritto fondamentale.
L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Il Regolamento Europeo n.679/2016 come detto, si applica a tutti i Paesi europei e le imprese straniere che vorranno continuare a svolgere attività all'interno dell'Ue dovranno quindi adeguare la propria privacy policy alle norme di cui al predetto Regolamento.
In particolare in riferimento ai soggetti che non sono dell’Unione, il Regolamento all'art. 3 “ambito di applicazione territoriale“ specifica quanto segue:
"...il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico."
E’ vietato il trasferimento dei dati verso Paesi al di fuori dell’Unione Europea a meno che non vi sia il consenso esplicito dell’interessato o la sussistenza di standard adeguati di sicurezza.
Per quanto riguarda invece i rapporti tra l'Ue e gli Stati Uniti è in vigore ad oggi il Privacy Shield: trattasi di un accordo che definisce le modalità di conservazione dei dati di cittadini europei negli Stati Uniti e si propone di tutelare i diritti alla privacy delle persone residenti nell'Unione Europea nel momento in cui i loro dati vengono conservati o trasferiti negli Stati Uniti.
Nel testo del Regolamento n.679/2016 vengono chiarite in maniera estesa le notevoli motivazioni che hanno portato alla redazione dello stesso:
Da rilevare che gli obiettivi ed i principi della Direttiva 95/46/CE rimangono ad oggi ancora validi, però la stessa ed in quanto Direttiva, ha portato verso una frammentazione nell'applicazione della protezione dei dati personali nel territorio dell'Unione.
Attualmente non vi sono difficoltà nell'affermare che sussiste nei soggetti, una diffusa percezione di incertezza giuridica ed in particolare che le operazioni online comportano gravi rischi per la protezione delle persone fisiche.
Negli Stati membri vi sono normative diverse e coesistenti con diversi livelli di protezione dei diritti, delle libertà e del diritto alla protezione dei dati personali: ciò può ostacolare la libera circolazione dei dati personali all'interno dell'Unione.
Di conseguenza, tali differenze possono costituire un freno all'esercizio delle attività economiche nell'Unione e falsare la concorrenza.
Vi è quindi la necessità di rafforzare i diritti esistenti con un maggiore controllo da parte dei soggetti sui propri dati personali.
La protezione del Regolamento n. 679/2016, si applica alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza ma non disciplina il trattamento dei dati personali relativi a persone giuridiche; non si applica inoltre ai dati personali delle persone decedute ma i singoli Stati dell’Unione Europea naturalmente possono prevedere norme in tal senso.
Maggiori tutele invece sono previste per i minori.
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Il predetto Regolamento prevede inoltre in maniera dettagliata le diverse sanzioni che possono essere applicate tenendo conto di ogni singolo caso specifico: vi sono sanzioni amministrative pecuniarie in misura fissa oppure determinate con una percentuale sul fatturato annuo dell’impresa in base alla gravità delle violazioni stesse.
All’art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie” si specifica che:
"... le sanzioni amministrative pecuniarie sono inflitte in aggiunta alle misure di cui all’art. 58 paragrafo 2 lettere da a) ad h) e j) o in luogo di tali misure".
La violazione di alcune disposizioni è soggetta a sanzioni amministrative pecuniarie fino ad Euro 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore.
L’art. 83 al comma 9 specifica che:
"...se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo può essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorità di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorità di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al più tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica".
L’art. 84 “Sanzioni” prevede inoltre che:
"...gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione; tali sanzioni devono essere effettive, proporzionate e dissuasive; ogni Stato membro poi notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica".
La nuova normativa richiede interventi di natura tecnica e organizzativa con un radicale cambio di mentalità: a titolo esemplificativo dalla data del 25 maggio 2018 non sarà più possibile utilizzare dati esistenti a meno che naturalmente, non siano conformi ai requisiti del Regolamento.
Non si potrà più inviare alcuna comunicazione di marketing a maggior ragione se di tipo personalizzato, in funzione dei dati che si possiedono che non rispettano le condizioni di cui al Regolamento.
Vi sono dei principi che vanno a modificare lo stesso modo di progettare i trattamenti dei dati, art.25:
“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” prevede che (…) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. (...)"
Sarà necessario quindi richiedere agli interessati tutte le autorizzazioni necessarie al fine di svolgere le diverse attività in modo conforme al Regolamento Ue altrimenti le aziende si esporranno a notevoli rischi con la conseguente applicazione di multe e rilevanti danni di immagine.
Come ogni altro cambiamento, anche il GDPR porta con sé un momento di frizione che va di pari passo con le nuove opportunità create da questo Regolamento.
E' vero, l'entrata in vigore del GDPR significa dover sistemare e aggiornare i propri database e chiedere consensi e conferme agli utenti ma allo stesso tempo rappresenta un'occasione unica per migliorare la qualità dei dati raccolti.
Le persone che acconsentiranno al trattamento dei dati saranno persone più informate e consapevoli del fatto che l'azienda potrà gestire le loro informazioni di contatto per un periodo di tempo determinato stabilito dall'azienda che potrebbe coincidere anche con "fino alla rimozione del consenso".
Inoltre, le persone che forniranno il consenso dovranno essere messi al corrente di eventuali automatismi e sistemi di profilazione attivi per garantire una comunicazione maggiormente personalizzata.
Da alcuni studi e fonti statistiche è emerso che i consumatori, venuti a conoscenza dell’imminente entrata in vigore del Regolamento UE n.679/2016, si sono espressi in senso favorevole allo stesso, manifestando tra l’altro l’esigenza di una modifica delle normative in essere e maggiore trasparenza nei rapporti con le imprese.
Stando ad una ricerca svolta da HubSpot, infatti, il 90% degli intervistati vede di buon occhio l'entrata in vigore del GDPR.
La maggior parte di queste persone vorrebbe smettere di ricevere comunicazioni da parte dell'aziende, il 59% di essi richiederebbe la cancellazione definitiva dei propri dati e il 55% vorrebbe avere accesso ai dati raccolti sulla propria persona.
In generale, le persone sentono di ricevere un numero troppo elevato di comunicazioni da parte dell'aziende e la maggior parte di essi eseguirebbe un opt-out se ne avesse la possibilità.
Il primo passo fondamentale è quello di assicurarsi di aver raccolto i dati in conformità con il nuovo Regolamento prima del 25 maggio 2018.
In caso di difformità sarebbe necessario ottenere nuovamente il consenso al trattamento dei dati in conformità con la nuova normativa.
L’entrata in vigore del GDPR rappresenta un’occasione unica per raccogliere contatti di qualità. Allo stesso tempo, però, è fondamentale assicurarsi di informare correttamente le persone nel momento in cui viene richiesto il loro consenso.
Probabilmente ti starai chiedendo se la nuova normativa (e le sue nuove richieste) si applicano indifferentemente a piccole e grandi imprese. La risposta è "non proprio".
L'articolo 40 del Regolamento, infatti, invita tutti gli Stati membri dell'unione Europea e le relative autorità di controllo all'elaborazione di specifici codici di condotta a seconda dei settori di appartenenza dell'impresa e alle esigenze specifiche della micro, piccola e media impresa.
Questa precisazione va senz'altro incontro alle esigenze di imprenditori di realtà poco strutturate che con le loro capacità non sarebbero in grado di adempiere a tutte le richieste del Regolamento.
1. Scelta di un cloud sicuro
Il titolare del trattamento del dato, persona fisica o giuridica, è obbligato a scegliere un Responsabile del trattamento del dato in grado di proteggere adeguatamente i dati raccolti grazie alle proprie strutture organizzative. Questo principio si applica anche a tutte quelle struture di dimensioni minori che utilizzano dei software in cloud per la conservazione dei dati a fini commerciali. Approfonidisci come HubSpot protegge i dati dei cittadini dell'Unione Europea.
2. Applicazione di una cifratura
La nuova normativa richiede la cifratura e la pseudonomizzazione dei dati, nei limiti delle possibilità aziendali
3. Privacy Impact Assessment
Ogni azienda dovrà applicare una serie di processi funzionali all'analisi dei rischi connessi alla raccolta e conservazione dei dati e individuare le misure adatte a proteggerli.
4. Violazione dei dati
A partire da maggio 2018, in caso di violazione dei dati, le aziende italiane dovranno notificare al Garante per la Protezione dei dati Personali ogni violazione subita.
In particolare, nella notifica inviata al Garante per la protezione dei dati Personali dovranno essere precisati:
L'intera procedura di notifica dovrà avvenire entro le 72 ore successive alla violazione, per questo motivo è importante che tutte le aziende siano già organizzate per gestire situazioni similari. Inoltre, tale notifica non sarà necessaria solamente in caso di attacchi ai database, ma anche in caso di perdita di dati per cause diverse dall'attacco di un hacker come il furto o la perdita di un portatile in uso dei dipendenti.
Inoltre, nel caso in cui i dati conservati presentino un rischio tale da poter ledere la libertà personale in caso di furto, è essenziale che l'azienda abbia già definito un processo specifico per notificare i diretti interessati, informandoli su come diminuire gli effetti della violazione.
Tuttavia, la notifica alla persona fisica i cui dati sono stati violati può essere evitata se:
Sei sicuro che la tua azienda renda disponibile tutta la documentazione necessaria ai propri utenti e di aver previsto tutti i processi necessari alla corretta gestione dei dati?
*Adv Media Lab srl non risponde di danni derivanti dall'uso dei dati e delle notizie ivi contenuti; non risponde di eventuali danni causati da involontari refusi o errori di stampa; declina ogni responsabilità per l'uso delle suddette informazioni, per eventuali errori e/o contenuti inesatti.