Che cos’è il GDPR?

Internet ha cambiato radicalmente il modo in cui comunichiamo e il modo in cui gestiamo le attività quotidiane. Inviamo e-mail, condividiamo documenti, paghiamo le bollette e acquistiamo i prodotti inserendo i nostri dati personali online senza pensarci due volte.
Ti sei mai chiesto però quanti dati personali hai condiviso online o cosa succede a quelle informazioni?

Stiamo parlando di informazioni bancarie, contatti, indirizzi, post sui social media e persino il tuo indirizzo IP e i siti che hai visitato sono archiviati digitalmente.

Le aziende ti dicono che raccolgono questo tipo di informazioni in modo che possano servirti meglio, offrendoti comunicazioni più mirate e pertinenti, il tutto per fornirti una migliore esperienza cliente.

Ma è questo per cui usano veramente i dati?

Questa è la domanda che è stata posta e risposta dall’UE, e perché nel maggio 2018 un nuovo regolamento europeo sulla privacy denominato GDPR sarà applicato e cambierà in modo permanente il modo in cui vengono raccolti, memorizzati e utilizzati i dati dei clienti.

Ecco perché oggi spiegheremo cos’è il GDPR, come influirà sulla tua attività e alcuni suggerimenti pratici su come iniziare a prepararti per il GDPR.

Cos’è il GDPR?

Il 25 maggio 2018 entrerà in vigore un nuovo regolamento europeo sulla privacy denominato Regolamento Generale sulla Protezione dei Dati (GDPR).

Questo regolamento sarà implementato in tutte le leggi locali sulla privacy in tutta la regione UE e SEE. Si applicherà a tutte le società che vendono e conservano informazioni personali sui cittadini in Europa, comprese le società di altri continenti. Fornisce ai cittadini dell’UE e dell’EEA maggiore controllo sui propri dati personali e assicura che le loro informazioni siano protette in tutta Europa.

Secondo la direttiva GDPR, i dati personali sono tutte le informazioni relative a una persona come un nome, una foto, un indirizzo e-mail, dettagli bancari, aggiornamenti sui siti web di social network, dettagli sulla posizione, informazioni mediche o un indirizzo IP del computer.

Non vi è alcuna distinzione tra dati personali sugli individui nei loro ruoli privati, pubblici o di lavoro – la persona è la persona. Anche in un ambiente B2B, tutto riguarda le persone che interagiscono e condividono le informazioni l’una con l’altra. I clienti nei mercati B2B sono ovviamente aziende, ma le relazioni che gestiscono gli argomenti di business sono le persone o gli individui.

Quali diritti acquisiranno gli individui grazie al GDPR?

Grazie al GDPR, gli individui avranno:

• Il diritto di accesso -questo significa che gli individui hanno il diritto di richiedere l’accesso ai propri dati personali e di chiedere come i loro dati sono utilizzati dalla società dopo che è stato raccolto. La società deve fornire una copia dei dati personali, a titolo gratuito e in formato elettronico, se richiesto.
• Il diritto all’oblio – se i consumatori non sono più clienti o se ritirano il loro consenso da una società per utilizzare i loro dati personali, hanno il diritto di cancellare i loro dati.
• Il diritto alla portabilità dei dati – Gli individui hanno il diritto di trasferire i propri dati da un fornitore di servizi a un altro. E deve avvenire in un formato comunemente utilizzato e leggibile da una macchina.
• Il diritto di essere informato – questo copre qualsiasi raccolta di dati da parte delle aziende, e le persone devono essere informate prima che i dati vengano raccolti. I consumatori devono scegliere di raccogliere i loro dati e il consenso deve essere dato liberamente piuttosto che implicitamente. Inoltre se c’è stata una violazione dei dati che compromette i dati personali di una persona, l’individuo ha il diritto di essere informato entro 72 ore dalla prima volta che è venuta a conoscenza della violazione.
• Il diritto di avere informazioni corrette – questo assicura che le persone possano avere i loro dati aggiornati se è scaduto o incompleto o errato.
• Il diritto di limitare l’elaborazione – Gli individui possono richiedere che i loro dati non vengano utilizzati per l’elaborazione. La loro registrazione può rimanere sul posto, ma non essere utilizzata.
• Il diritto di opporsi – questo include il diritto delle persone di interrompere il trattamento dei propri dati per il marketing diretto. Non ci sono esenzioni a questa regola e qualsiasi elaborazione deve interrompersi non appena la richiesta viene ricevuta. Inoltre, questo diritto deve essere chiarito agli individui all’inizio di ogni comunicazione.

Il GDPR è il modo dell’UE di offrire a privati, clienti, appaltatori e dipendenti maggiore potere sui propri dati e meno potere alle organizzazioni che raccolgono e utilizzano tali dati per ottenere un guadagno monetario.

Le implicazioni commerciali del GDPR

Questo nuovo regolamento sulla protezione dei dati pone il consumatore al posto di guida e il compito di conformarsi a questo regolamento ricade sulle imprese e sulle organizzazioni.

In breve, il GDPR si applicherà a tutte le imprese e organizzazioni stabilite nell’UE, indipendentemente dal fatto che l’elaborazione dei dati avvenga nell’UE o meno. Anche le organizzazioni non stabilite nell’UE saranno soggette al GDPR. Se la tua azienda offre beni e / o servizi ai cittadini nell’UE, è soggetta al GDPR.

Tutte le organizzazioni e le aziende che lavorano con dati personali dovranno nominare un responsabile della protezione dei dati o un responsabile del trattamento dei dati che è responsabile della conformità GDPR.

Ci sono pene severe per quelle aziende e organizzazioni che non rispettano le multe GDPR fino al 4% delle entrate globali annuali o 20 milioni di euro, a seconda di quale sia maggiore.

Molte persone potrebbero pensare che il GDPR sia solo un problema IT, ma non è così. Ha implicazioni di ampia portata per l’intera azienda, incluso il modo in cui le aziende gestiscono le attività di marketing e vendita.

L’impatto del GDPR sul coinvolgimento dei clienti

Le condizioni per ottenere il consenso sono più severe ai sensi dei requisiti GDPR in quanto l’individuo deve avere il diritto di revocare il consenso in qualsiasi momento e si presume che il consenso non sarà valido se non si ottengono consensi separati per le diverse attività di elaborazione.

Ciò significa che bisogna essere in grado di dimostrare che l’individuo ha acconsentito a una determinata azione, per esempio ricevere una newsletter. Non è consentito assumere o aggiungere una dichiarazione di non responsabilità e inoltre, fornire un’opzione di esclusione non è sufficiente.

Ciò cambia molte cose per le aziende come il modo in cui sono gestite le attività di marketing e di vendita. Le aziende dovranno rivedere i processi aziendali, le applicazioni e le forme per essere conformi alle regole “double opt-in” e alle migliori pratiche di email marketing. Per iscriversi alle comunicazioni, i potenziali clienti infatti dovranno compilare un modulo o spuntare una casella e confermare che si tratta delle loro azioni in un’ulteriore e-mail.

Le organizzazioni devono dimostrare che il consenso è stato dato nel caso in cui un individuo si oppone alla ricezione della comunicazione. Ciò significa che tutti i dati conservati devono avere una traccia di controllo con timestamp e riportare informazioni che descrivono in dettaglio ciò che il contatto ha scelto e come.

Nel mondo B2B, gli addetti alle vendite incontrano potenziali clienti in una fiera, scambiano biglietti da visita e quando tornano in ufficio aggiungono i contatti alla mailing list dell’azienda. Nel 2018, questo non sarà più possibile. Le aziende dovranno guardare a nuovi modi di raccogliere informazioni sui clienti.

Preparativi per l’entrata in vigore del GDPR

Ci sono molte azioni che una società dovrà fare per essere conforme al GDPR. Ecco alcuni primi passi per aiutarti a iniziare.

1. Mappa i dati della tua azienda
   Prendi nota di dove provengono tutti i dati personali dell’intera azienda e documenta cosa fai con i dati. Identificare dove risiedono i dati, chi può accedervi e se ci sono rischi per i dati.
2. Determinare quali dati bisogna conservare
   Non conservare più informazioni del necessario e rimuovere tutti i dati non utilizzati. Se la tua azienda raccoglie molti dati senza alcun beneficio reale, non sarai in grado di farlo in un mondo GDPR. GDPR incoraggerà un trattamento più disciplinato dei dati personali.
3. Mettere in atto le misure di sicurezza
   Sviluppa e implementa misure di salvaguardia in tutta la tua infrastruttura per contribuire a contenere eventuali violazioni dei dati. Ciò significa mettere in atto misure di sicurezza per prevenire violazioni dei dati e intraprendere azioni rapide per informare individui e autorità nel caso in cui si verifichi una violazione.
4. Rivedere la tua documentazione
   Secondo GDPR, le persone devono esplicitamente consentire l’acquisizione e l’elaborazione dei propri dati. Le caselle pre controllate e il consenso implicito non saranno più accettabili. Dovrai rivedere tutte le tue dichiarazioni sulla privacy e le informazioni e regolarle dove necessario.
5. Stabilire procedure per la gestione dei dati personali
   Come accennato in precedenza, gli individui hanno 8 diritti di base sotto GDPR. Dovrai stabilire politiche e procedure per come gestirai ciascuna di queste situazioni.
   Per esempio:

• Come possono le persone dare il consenso in modo legale?
• Qual è il processo se un individuo vuole che i suoi dati vengano cancellati?
• Come farai in modo che sia fatto su tutte le piattaforme e che venga davvero cancellato?
• Se un individuo vuole trasferire i suoi dati, come lo farai?
• Come confermerai che la persona che ha richiesto il trasferimento dei suoi dati è la persona che afferma di essere?
• Qual è il piano di comunicazione in caso di violazione dei dati?

Se non hai già iniziato questo processo, è molto importante iniziare a lavorarci su. Il sito principale per avere maggiori informazioni sul GDPR è: https://www.eugdpr.org/

Noi di WP Love ti consigliamo di parlare con il tuo studio legale. La maggior parte degli studi legali all’interno dell’UE ha già tenuto seminari gratuiti per quanto riguarda i requisiti per il GDPR.