Mancano 14 giorni al GDPR, aziende, pmi, blogger, freelance come siete messi? Ecco un viaggio di ricognizione.

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation), ovvero il nuovo Regolamento Europeo (2016/679) in materia di protezione di dati personali entrerà in vigore a partire dal 25 maggio 2018 ed abroga la direttiva 95/46/CE.

La nuova normativa sulla protezione dei dati è costituita da 99 articoli. L’articolo 7 sancisce l’obbligo di richiesta del consenso in forma chiara, comprensibile, specifica e distinguibile da altre richieste o dichiarazioni, deve essere “esplicito” non solo per i dati “sensibili” ma anche per i trattamenti automatizzati e per la profilazione.

Secondo quanto previsto dall’articolo 30, invece, ci deve essere l’istituzione di un registro delle attività di trattamento in cui elencare le finalità dell’elaborazione delle informazioni, la descrizione delle categorie dei dati, i destinatari e i tempi di conservazione. Va inoltre designato un Responsabile della Protezione dei Dati (RDP), il data protection officer (DPO), scelto tra i dipendenti dell’azienda o un collaboratore esterno, con lo scopo informare e sensibilizzare riguardo gli obblighi e le disposizioni in materia di protezione dei dati, di vigilare sull’applicazione della GDPR, essere il punto di contatto col Garante (articoli 37-39).

Le altre novità che il GDPR introduce, riguardano sostanzialmente il diritto all’oblio (articolo 17), ovvero il diritto degli utenti di richiedere la cancellazione dei dati personali, la portabilità dei dati (articolo 20), cioè la possibilità di scaricare e trasferire dati dalle piattaforme, e per le aziende l’obbligo di avvisare nel caso di data breach. Infatti qualora ci fossero fughe di informazioni e violazioni di dati personali, devono notificarlo entro 72 ore secondo quanto stabilisce l’articolo 33.

Il mancato rispetto del nuovo regolamento prevede multe fino a 20 milioni di euro o per il 4% del fatturato annuo.

E c’è anche lo spot sul nuovo Regolamento europeo che è in onda sulla Rai sui canali radio ed in televisione, e diffuso anche sui social, che presenta istituzionalmente al pubblico le novità della normativa in materia di protezione dei dati personali. Il claim, nonché titolo dello spot recita infatti: “La protezione dei dati è un diritto di libertà”.

GDPR e le aziende

Le aziende gestiscono informazioni sui propri dipendenti e la profilatura dei clienti che ora hanno più diritti e maggior controllo su come vengono conservati i propri dati, e se l’utente non vuole essere contattato si devono eliminare le sue informazioni. Infatti il reparto risorse umane ha dati personali, domiciliari, familiari, anche in ambito medicale di clienti e dipendenti. Ed è lo stesso titolare o il responsabile designato dall’azienda a dover intervenire, in base al principio di “responsabilizzazione” (accountability) introdotto col nuovo regolamento di protezione dei dati secondo cui è responsabile dei dati che raccoglie, è capace di comprovarne la conformità ed attuazione, e risponde in caso non tenga conto delle nuove norme giuridiche, organizzative e tecniche. Il titolare deve specificare all’Autorità i dati del Responsabile della Protezione Dati, e il periodo di conservazione dei dati e il diritto di presentare un reclamo all’autorità di controllo.

Inoltre, il registro delle attività del trattamento non è richiesto per le aziende con meno di 250 dipendenti.

Il principio della privacy by design, altra novità introdotta dalla normativa europea in materia di protezione dei dati personali, richiede ad aziende, ma anche alla PA e agli enti, che la protezione dei dati sia progettata ed incorporata a monte, nella fase di progettazione di attività online, e non in un secondo momento.

Per le aziende può essere un vantaggio in quanto la massima trasparenza coi propri clienti e target di riferimento, ed i consensi dei diritti di essere informati sulla raccolta dei propri dati, di rettifica, di cancellazione, di limitarne il trattamento, può accrescere ed alimentare il rapporto di fiducia.

MailUp per le aziende ha anche ideato un white paper per aiutare le aziende a regolamentare la raccolta ed il trattamento dei dati.

La questione delle riprese video di dipendenti a lavoro, clienti o semplici passanti viene affrontata nell’articolo “Video e Privacy: cosa cambia da maggio 2018” di Simone Serni di Social Media Marketing Italia.

GDPR e Pmi

Secondo i dati di Zyxel l’80% delle PMI non sono pronte al GDPR, ben il 92% hanno subito una violazione dei dati, il 52% non hanno chiaro l’impatto della nuova normativa europea, il 42% sono preoccupate di poter subire una violazione dei dati in un prossimo futuro. Il blogger e professionista digitale Francesco Russo suggerisce il test di Zyxel Italia per scoprire se la rete è protetta ed assicurarsi la security by design e le soluzioni cloud per gestione, monitoraggio ed analisi.

Il #25maggio 2018 entrerà in vigore il nuovo Regolamento Generale sulla Protezione dei Dati #GDPR. Hai bisogno di saperne di più?

Dai un'occhiata qui 🔜https://t.co/2RGbpXJ7Nc #Zyxel4GDPR #privacy #ad pic.twitter.com/C9nnWkLgE5

— Franz Russo (@franzrusso) May 9, 2018

Vuoi sapere se la #sicurezza della tua azienda è aggiornata? Prova l'audit di sicurezza di #Zyxel per assicurarti di avere la migliore protezione per la tua azienda e per i tuoi clienti.#Zyxel4GDPR #GDPR #privacy #ad pic.twitter.com/xzBf68Zlbo

— Franz Russo (@franzrusso) May 10, 2018

Inoltre, ICO (Information Commissioner’s Office) offre la possibilità di testare il proprio business, offrendo un punteggio e le azioni da intraprendere per adeguarsi e link a risorse utili. Ed ecco la guida ICO per le piccole medie imprese e una lista per tenere sotto controllo i punti da adempiere.

Sostanzialmente pmi, e più in generale le aziende devono interrogarsi sulla tipologia ed affidabilità dei programmi che usano per le email, le newsletter ed il cloud, valutare di chiedere solo le informazioni strettamente necessarie e ricordarsi che il trattamento dei dati va separato da altre condizioni di servizio.

Per le piccole e medie imprese alle prese con l’e-commerce da adeguare al nuovo regolamento europeo, consiglio questa intervista “GDPR e novità per l’e-commerce: intervista ad Alessandro Vercellotti” dell’agenzia Strogoff Web Marketing.

GDPR e sito web

In precedenza sui siti era d’obbligo la cookie policy ora deve essere specificato l’utilizzo che se ne fa dei cookie e va ad unirsi alla policy sulla privacy. Molti siti utilizzano Google Analytics per tracciare in modo anonimo il comportamento degli utenti, in questo caso per il GDPR non si deve far alcun adeguamento. Ma per capire come evitare ed impedire a Google di incrociare i dati di Analytics con altri dati già in possesso e disattivare le autorizzazioni relative a “Prodotti e servizi Google”, “Benchmarking”, “Assistenza tecnica” ed “Esperto dell’account”, consiglio questo articolo.

Nei form di contatto per la lead generation, i dati richiesti devono essere specifici, adeguati e limitati allo scopo per cui vengono richiesti, precisando in che modo verranno utilizzati, per esempio per ricevere offerte o le ultime news.

La policy della privacy dovrà specificare ciò che si farà con le informazioni ricevute, per quanto tempo verranno conservate, le app che si usano per tracciare l’interazione degli utenti.

GDPR e WordPress: come adeguarsi?

Per adeguare il proprio sito web o blog al GPDR con una Privacy Policy e una Cookie Policy adeguate, tranne in casi specifici e particolari in cui è bene affidarsi ad un consulente legale, si può ricorrere a Iubenda o al sito Wonder Legal, a Cookiebot per documentare i tracciamenti dei dati sui siti ed i consenti degli utenti, e CookieMetrix per un’anteprima dei cookie installati sul sito prima del consenso degli utenti. Ci sono anche vari plugin offerti da WordPress per rispettare il diritto di accesso, portabilità e all’oblio, come WPGDPR, Delete Me, GDPR Personal Data Reports riportati in questo articolo proprio su “GDPR e WordPress: il tuo sito è a norma? Regolamento Europeo Privacy” di Alfonso Striano.

Inoltre, sono previsti l’introduzione di quattro nuovi tool da parte della piattaforma WordPress 4.9.6 (ancora in versione beta, ma che dovrebbero essere disponibili dal 15 maggio 2018) per adeguarsi al GDPR: un nuovo pop up per la “Privacy and Personal Data”, per creare in modo automatico la propria policy, strumenti per richiedere ed esportare i dati personali, per ottenere di modificare i dati concessi, secondo quanto riportato nell’articolo “WordPress 4.9.6: Nuovi Tools Per La Normativa GDPR” di Gabriele Ferrari.

Mentre, per chi utilizza Blogger, si può indirizzare sull’help forum.

GDPR e i blogger: cosa e come fare?

Per i blog bisogna innanzitutto capire quali tipi di dati si raccolgono (l’email o il profilo social dei lettori che commentano, i dati degli utenti che utilizzano il form di contatti, l’eventuale utilizzo di Google Analytcs e Pixel, e considerare se si fa uso di banner pubblicitari e se sono state inviate informazioni pubblicitarie o fatture), la modalità di raccolta e di conservazione, per quali scopi, chi può averne accesso e se sono trasferiti a terzi, tipo il programma per la fatturazione online o il commercialista.

Per approfondimenti ti consiglio di leggere l’articolo “Il nuovo Regolamento UE sulla privacy che fa tremare (e guadagnare) la rete” di Agnieszka, l’autrice di Combinando.

Molti provider per l’invio delle newsletter e del direct email marketing (DEM) si sono aggiornati anche essi al nuovo GDPR. Per avere suggerimenti su come creare un semplice form di iscrizione alla newsletter, ci sono varie dritte in questo articolo “Raccogliere consensi all’epoca del GDPR” su Email Marketing Blog.

GDPR, privacy e social

Con l’entrata in vigore del GDPR anche i social e le chat, come tutte le piattaforme ed i servizi digitali e tech, devono aggiornare i propri termini di servizio e l’informativa sulla privacy. E l’articolo 8 del Regolamento stabilisce che i social debbano essere utilizzati dai sedici anni in poi, e per chi è al di sotto di tale età deve essere il genitore ad acconsentire ai termini d’utilizzo. Ma è a discrezione dei singoli Paesi europei poter decidere di abbassare il limite di età a tredici anni. Facebook, Messenger, WhatsApp, Twitter sono di fatto out per gli under 16 senza l’ok da parte dei genitori.

Snapchat e Instagram per ora possono essere ancora utilizzate dai tredicenni e Telegram e Signal non sembrano volersi ancora adeguare alla nuova norma europea.

Inoltre, Instagram si è adeguata al GDPR anche per quanto riguarda la copia dei propri dati, disponibile sia da mobile che dalla versione web del social, ed il download con tutte le informazioni, una volta richiesta sarà inviata via mail.

GDPR & Pagina Facebook

Gli aspetti fondamentali su cui si focalizza anche Facebook, in materia di GDPR, sono trasparenza, controllo e responsabilità. Però quando le aziende o un freelance crea un “pubblico personalizzato” per le campagne pubblicitarie unendo i dati abbinando i dati CRM, uno strumento interno per collegare informazioni su clienti provenienti da varie fonti, al database di utenti Facebook, sempre il social in blu è responsabile del trattamento dei dati.

Per quanto riguarda le sponsorizzazioni sulle pagine Facebook per acquisire contatti, che permettono anche di inserire un link alle norme sulla privacy e condizioni relative alla raccolta e all’uso dei dati dell’utente, sia Facebook che le aziende sono titolari del trattamento dei dati ed entrambi hanno la responsabilità di garantire la conformità. Inoltre, i clienti di Workplace Premium sono titolari del trattamento dei dati, mentre Facebook è responsabile dell’elaborazione dei dati, come da impegni contrattuali.

GDPR e Tag Manager

Per gli annunci di Google c’è un nuovo flag con cui si accettano “i termini di elaborazione dei dati come richiesto dal GDPR” e cliccando su “Amministrazione”, poi “Account” ed ancora “Impostazioni account” si può leggere l’“Emendamento sull’elaborazione dei dati” e gestire i dettagli come la persona giuridica, il contatto mail a cui notificare gli avvisi, il responsabile della protezione dei dati e il rappresentante SEE per i clienti non residenti in Europa.

Conclusioni

In tutte le attività di inbound marketing (sito web, blog, campagne DEM, newsletter, form di contatto, remarketing) bisogna assicurarsi di dare agli utenti il consenso al trattamento dei dati, in modo chiaro, specificando come verranno utilizzate e conservate tutte le informazioni personali, offrendo la possibilità di revocare i consensi, e precisare inoltre se i dati raccolti verranno trasferiti a terzi e l’utilizzo che ne viene fatto. Ed è buona norma raccogliere solo i dati strettamente necessari e non conservarli più a lungo del necessario.

Per restare sempre aggiornato sulle novità ed avere contenuti esclusivi, unisciti al canale Telegram e segui la pagina Facebook.

4 pensieri riguardo “GDPR: il nuovo regolamento per aziende, pmi, blogger e freelance”

alessiocioeta ha detto:

Maggio 15, 2018 alle 5:30

Bella spiegazione, grazie! Al di là dell’elencazione delle novità, sono molto utili i consigli pratici per le Aziende, i siti web ed i Blog!

"Mi piace"Piace a 1 persona

Rispondi
1. Giovanna Di Troia ha detto:
  
  Maggio 15, 2018 alle 10:12
  
  Grazie mille per l’attenzione, il tempo ed il feedback! 🙂
  
  "Mi piace""Mi piace"
  
  Rispondi
Rosario ha detto:

gennaio 21, 2021 alle 12:39

Ciao a tutti, quest’articolo non è stato più aggiornato ?

"Mi piace"Piace a 1 persona

Rispondi
1. Giovanna Di Troia ha detto:
  
  febbraio 14, 2021 alle 19:00
  
  Ciao Rosario! E’ sempre valido
  
  "Mi piace""Mi piace"
  
  Rispondi