GDPR: il nuovo regolamento per aziende, pmi, blogger e freelance

GDPR: il nuovo regolamento per aziende, pmi, blogger e freelance

Mancano 14 giorni al GDPR, aziende, pmi, blogger, freelance come siete messi? Ecco un viaggio di ricognizione.

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation), ovvero il nuovo Regolamento Europeo (2016/679) in materia di protezione di dati personali entrerà in vigore a partire dal 25 maggio 2018 ed abroga la direttiva 95/46/CE.

La nuova normativa sulla protezione dei dati è costituita da 99 articoli. L’articolo 7 sancisce l’obbligo di richiesta del consenso in forma chiara, comprensibile, specifica e distinguibile da altre richieste o dichiarazioni, deve essere “esplicito” non solo per i dati “sensibili” ma anche per i trattamenti automatizzati e per la profilazione.

Secondo quanto previsto dall’articolo 30, invece, ci deve essere l’istituzione di un registro delle attività di trattamento in cui elencare le finalità dell’elaborazione delle informazioni, la descrizione delle categorie dei dati, i destinatari e i tempi di conservazione. Va inoltre designato un Responsabile della Protezione dei Dati (RDP), il data protection officer (DPO), scelto tra i dipendenti dell’azienda o un collaboratore esterno, con lo scopo informare e sensibilizzare riguardo gli obblighi e le disposizioni in materia di protezione dei dati, di vigilare sull’applicazione della GDPR, essere il punto di contatto col Garante (articoli 37-39).

Le altre novità che il GDPR introduce, riguardano sostanzialmente il diritto all’oblio (articolo 17), ovvero il diritto degli utenti di richiedere la cancellazione dei dati personali, la portabilità dei dati (articolo 20), cioè la possibilità di scaricare e trasferire dati dalle piattaforme, e per le aziende l’obbligo di avvisare nel caso di data breach.  Infatti qualora ci fossero fughe di informazioni e violazioni di dati personali, devono notificarlo entro 72 ore secondo quanto stabilisce l’articolo 33.

Il mancato rispetto del nuovo regolamento prevede multe fino a 20 milioni di euro o per il 4% del fatturato annuo.

E c’è anche lo spot sul nuovo Regolamento europeo che è in onda sulla Rai sui canali radio ed in televisione, e diffuso anche sui social, che presenta istituzionalmente al pubblico le novità della normativa in materia di protezione dei dati personali. Il claim, nonché titolo dello spot recita infatti: “La protezione dei dati è un diritto di libertà”.

GDPR e le aziende

Le aziende gestiscono informazioni sui propri dipendenti e la profilatura dei clienti che ora hanno più diritti e maggior controllo su come vengono conservati i propri dati, e se l’utente non vuole essere contattato si devono eliminare le sue informazioni. Infatti il reparto risorse umane ha dati personali, domiciliari, familiari, anche in ambito medicale di clienti e dipendenti. Ed è lo stesso titolare o il responsabile designato dall’azienda a dover intervenire, in base al principio di “responsabilizzazione” (accountability) introdotto col nuovo regolamento di protezione dei dati secondo cui è responsabile dei dati che raccoglie, è capace di comprovarne la conformità ed attuazione, e risponde in caso non tenga conto delle nuove norme giuridiche, organizzative e tecniche. Il titolare deve specificare all’Autorità i dati del Responsabile della Protezione Dati, e il periodo di conservazione dei dati e il diritto di presentare un reclamo all’autorità di controllo.

Inoltre, il registro delle attività del trattamento non è richiesto per le aziende con meno di 250 dipendenti.

Il principio della privacy by design, altra novità introdotta dalla normativa europea in materia di protezione dei dati personali, richiede ad aziende, ma anche alla PA e agli enti, che la protezione dei dati sia progettata ed incorporata a monte, nella fase di progettazione  di attività online, e non in un secondo momento.

Per le aziende può essere un vantaggio in quanto la massima trasparenza coi propri clienti e target di riferimento, ed i consensi dei diritti di essere informati sulla raccolta dei propri dati, di rettifica, di cancellazione, di limitarne il trattamento, può accrescere ed alimentare il rapporto di fiducia.

MailUp per le aziende ha anche ideato un white paper per aiutare le aziende a regolamentare la raccolta ed il trattamento dei dati.

La questione delle riprese video di dipendenti a lavoro, clienti o semplici passanti viene affrontata  nell’articolo “Video e Privacy: cosa cambia da maggio 2018” di Simone Serni di Social Media Marketing Italia.

GDPR e Pmi

Secondo i dati di Zyxel l’80% delle PMI non sono pronte al GDPR, ben il 92% hanno subito una violazione dei dati, il 52% non hanno chiaro l’impatto della nuova normativa europea, il 42% sono preoccupate di poter subire una violazione dei dati in un prossimo futuro. Il blogger e professionista digitale Francesco Russo suggerisce il test di Zyxel Italia per scoprire se la rete è protetta ed assicurarsi la security by design e le soluzioni cloud per gestione, monitoraggio ed analisi.

Inoltre, ICO (Information Commissioner’s Office) offre la possibilità di testare il proprio business, offrendo un punteggio e le azioni da intraprendere per adeguarsi e link a risorse utili. Ed ecco la guida ICO per le piccole medie imprese e una lista per tenere sotto controllo i punti da adempiere.

Sostanzialmente pmi, e più in generale le aziende devono interrogarsi sulla tipologia ed affidabilità dei programmi che usano per le email, le newsletter ed il cloud,  valutare di chiedere solo le informazioni strettamente necessarie e ricordarsi che il trattamento dei dati va separato da altre condizioni di servizio.

Per le piccole e medie imprese alle prese con l’e-commerce da adeguare al nuovo regolamento europeo, consiglio questa intervista “GDPR e novità per l’e-commerce: intervista ad Alessandro Vercellotti” dell’agenzia Strogoff Web Marketing.

GDPR e sito web

In precedenza sui siti era d’obbligo la cookie policy ora deve essere specificato l’utilizzo che se ne fa dei cookie e va ad unirsi alla policy sulla privacy. Molti siti utilizzano Google Analytics per tracciare in modo anonimo il comportamento degli utenti, in questo caso per il GDPR non si deve far alcun adeguamento. Ma per capire come evitare ed impedire a Google di incrociare i dati di Analytics con altri dati già in possesso e disattivare le autorizzazioni relative a “Prodotti e servizi Google”, “Benchmarking”, “Assistenza tecnica” ed “Esperto dell’account”, consiglio questo articolo.

Nei form di contatto per la lead generation, i dati richiesti devono essere specifici, adeguati e limitati allo scopo per cui vengono richiesti, precisando in che modo verranno utilizzati, per esempio per ricevere offerte o le ultime news.

La policy della privacy dovrà specificare ciò che si farà con le informazioni ricevute, per quanto tempo verranno conservate, le app che si usano per tracciare l’interazione degli utenti.

GDPR e WordPress: come adeguarsi?

Per adeguare il proprio sito web o blog al GPDR con una Privacy Policy e una Cookie Policy adeguate, tranne in casi specifici e particolari in cui è bene affidarsi ad un consulente legale, si può ricorrere a Iubenda o al sito Wonder Legal, a Cookiebot per documentare i tracciamenti dei dati sui siti ed i consenti degli utenti, e CookieMetrix  per un’anteprima dei cookie installati sul sito prima del consenso degli utenti. Ci sono  anche vari plugin offerti da WordPress per rispettare il diritto di accesso, portabilità e all’oblio, come WPGDPRDelete Me, GDPR Personal Data Reports riportati in questo articolo proprio su “GDPR e WordPress: il tuo sito è a norma? Regolamento Europeo Privacy” di Alfonso Striano.

Inoltre, sono previsti l’introduzione di quattro nuovi tool da parte della piattaforma WordPress 4.9.6 (ancora in versione beta, ma che dovrebbero essere disponibili dal 15 maggio 2018) per adeguarsi al GDPR: un nuovo pop up per la “Privacy and Personal Data”, per creare in modo automatico la propria policy, strumenti per richiedere ed esportare i dati personali, per ottenere di modificare i dati concessi, secondo quanto riportato nell’articolo “WordPress 4.9.6: Nuovi Tools Per La Normativa GDPR” di Gabriele Ferrari.

Mentre, per chi utilizza Blogger, si può indirizzare sull’help forum.

GDPR: il nuovo regolamento per aziende, pmi, blogger e freelance

GDPR e i blogger: cosa e come fare?

Per i blog bisogna innanzitutto capire quali tipi di dati si raccolgono (l’email o il profilo social dei lettori che commentano, i dati degli utenti che utilizzano il form di contatti, l’eventuale utilizzo di Google Analytcs e Pixel, e considerare se si fa uso di banner pubblicitari e se sono state inviate informazioni pubblicitarie o fatture), la modalità di raccolta e di conservazione, per quali scopi, chi può averne accesso e se sono trasferiti a terzi, tipo il programma per la fatturazione online o il commercialista.

Per approfondimenti ti consiglio di leggere l’articolo “Il nuovo Regolamento UE sulla privacy che fa tremare (e guadagnare) la rete” di Agnieszka, l’autrice di Combinando.

Molti provider per l’invio delle newsletter e del direct email marketing (DEM) si sono aggiornati anche essi al nuovo GDPR. Per avere suggerimenti su come creare un semplice form di iscrizione alla newsletter, ci sono varie dritte in questo articolo “Raccogliere consensi all’epoca del GDPR” su Email Marketing Blog.

GDPR, privacy e social

Con l’entrata in vigore del GDPR  anche i social e le chat, come tutte le piattaforme ed i servizi digitali e tech, devono aggiornare i propri termini di servizio e l’informativa sulla privacy. E l’articolo 8 del Regolamento stabilisce che i social debbano essere utilizzati dai sedici anni in poi, e per chi è al di sotto di tale età deve essere il genitore ad acconsentire ai termini d’utilizzo. Ma è a discrezione dei singoli Paesi europei poter decidere di abbassare il limite di  età a  tredici anni. Facebook, Messenger, WhatsApp, Twitter sono di fatto out per gli under 16 senza l’ok da parte dei genitori.

 

Snapchat e Instagram per ora possono essere ancora utilizzate dai tredicenni e Telegram e Signal non sembrano volersi ancora adeguare alla nuova norma europea.

Inoltre, Instagram si è adeguata al GDPR anche per quanto riguarda la copia dei propri dati, disponibile sia da mobile che dalla versione web del social, ed il download con tutte le informazioni, una volta richiesta sarà inviata via mail.

GDPR & Pagina Facebook

Gli aspetti fondamentali su cui si focalizza anche Facebook, in materia di GDPR, sono trasparenza, controllo e responsabilità. Però quando le aziende o un freelance crea un “pubblico personalizzato” per le campagne pubblicitarie unendo i dati abbinando i dati CRM, uno strumento interno per collegare informazioni su clienti provenienti da varie fonti, al database di utenti Facebook, sempre il social in blu è responsabile del trattamento dei dati.

Per quanto riguarda le sponsorizzazioni sulle pagine Facebook per acquisire contatti, che permettono anche di inserire un link alle norme sulla privacy e condizioni relative alla raccolta e all’uso dei dati dell’utente, sia Facebook che le aziende sono titolari del trattamento dei dati ed entrambi hanno la responsabilità di garantire la conformità. Inoltre, i clienti di Workplace Premium sono titolari del trattamento dei dati, mentre Facebook è responsabile dell’elaborazione dei dati, come da impegni contrattuali.

GDPR e Tag Manager

Per gli annunci di Google c’è un nuovo flag con cui si accettano “i termini di elaborazione dei dati come richiesto dal GDPR” e cliccando su “Amministrazione”, poi “Account” ed ancora “Impostazioni account” si può leggere l’“Emendamento sull’elaborazione dei dati” e gestire i dettagli come la persona giuridica, il contatto mail a cui notificare gli avvisi, il responsabile della protezione dei dati e il rappresentante SEE per i clienti non residenti in Europa.

Conclusioni

In tutte le attività di inbound marketing (sito web, blog, campagne DEM, newsletter, form di contatto, remarketing) bisogna assicurarsi di dare agli utenti il consenso al trattamento dei dati, in modo chiaro, specificando come verranno utilizzate e conservate tutte le informazioni personali, offrendo la possibilità di revocare i consensi, e precisare inoltre se i dati raccolti verranno trasferiti a terzi e l’utilizzo che ne viene fatto. Ed è buona norma raccogliere solo i dati strettamente necessari e non conservarli più a lungo del necessario.

 

 

Per restare sempre aggiornato sulle novità ed avere contenuti esclusivi, unisciti al canale Telegram e segui la pagina Facebook.

 

2 pensieri riguardo “GDPR: il nuovo regolamento per aziende, pmi, blogger e freelance

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...