Tutto ciò che devi sapere sulla Data Protection e il GDPR pienamento applicato dal 25 maggio 2018
Il 25 maggio 2018 avrà piena applicablità il Regolamento Europeo sulla Protezione dei Dati già in vigore dal 25 maggio 2016. Il GDPR sostituisce il cosiddetto Codice Privacy del 2003 e si applica a qualsiasi organizzazione, in qualsiasi paese, che raccoglie, conserva o tratta i dati personali di residenti dell’Unione europea. Pertanto esse sono tenute a rispettare il nuovo regolamento al fine di evitare pesanti sanzioni previste dal regolamento.
Regolamento Europeo della privacy: cos’è?
Il 24 maggio 2016 è entrato in vigore il regolamento europeo della privacy o GDPR, acronimo di General Data Protection Regulation. Il GDPR è una legge unica applicabile in tutti gli stati membri dell’Unione Europea;
il suo principale obiettivo è quello di rafforzare notevolmente gli standard di tutela dei dati personali delle persone fisiche trattati nell’ambito di un’attività economica.
Il regolamento prevede anche la nascita della nuova figura professionale del Data Protection Officer, DPO (in Italia il DPO viene identificato anche com RPD, Responsabile della Protezione dei Dati): un responsabile della protezione dei dati personali.
Che cos’è un Dato Personale?
Secondo il regolamento della privacy i dati personali rappresentano tutte quelle informazioni mediante le quali è possibile identificare una persona fisica.
Per quanto riguarda il consenso del loro trattamento, secondo il Regolamento Europeo della Protezione dei Dati i dati personali possono essere revocati in ogni momento mentre è proibito qualunque tipo di consenso tacito per l’utilizzo di essi. Con il nuovo GDPR vengono introdotti nuovi diritti per gli utenti, come la portabilità e la cancellazione e saranno rafforzati i requisiti per l’ottenimento del consenso al trattamento dei dati.
Garante privacy: dove è richiesta la sua presenza?
Il DPO (Data Protection Officer) è un soggetto esperto in materia di privacy; la sua presenza è obbligatoria:
– negli organismi pubblici
– per coloro che svolgono un’attività che comporta un monitoraggio sistematico e regolare
– per coloro che svolgono un’attività che comporta il trattamento di dati sensibili come quelli giudiziari, biomedici o relativi allo stato di salute
Di che cosa si occupa il DPO?
Il Data Protection Officer ha il compito di svolgere diverse attività all’interno dell’azienda in cui è chiamato ad operare con l’obiettivo di minimizzare i rischi di violazione del Regolamento Europeo. Tra queste attività le più importanti consistono nell’informare il titolare e i dipendenti dell’impresa a proposito degli obblighi previsti dal Regolamento europeo riguardo alla protezione dei dati; in aggiunta, il DPO deve occuparsi di verificare il rispetto e l’applicazione delle disposizioni contenute nel Regolamento.
Il Data Protection Officer è anche un prezioso punto di contatto per i diretti interessati che hanno riscontrato dei problemi connessi al trattamento dei loro dati personali ed è colui che si occupa di contattare il Garante della Privacy a nome dell’azienda in caso di necessità.
Chi può ricoprire il ruolo di Data Protection Officer?
Il regolamento non stabilisce in modo preciso a quale tipo di figura spetta di ricoprire il compito del DPO; nonostante ciò emerge che sarebbe opportuno affidare le mansioni del Data Protection officer ad un esparto in materia di protezione dei dati con competenze tecnico-giuridiche. In generale è importante che il ruolo di DPO venga svolto da una figura in possesso di una conoscenza specialistica del regolamento europeo e di quali provvedimenti adottare per la protezione dei dati. Il DPO può essere rappresentato da un singolo ma anche da un gruppo di professionisti che si occupano di gestire le problematiche legate alla protezione dei dati all’interno di un’organizzazione. Attualmente non esiste alcun albo al quale i Data Protection Officer devono essere iscritti né delle certificazioni specifiche.
Le sanzioni previste dal Regolamento Europeo della Privacy
Le aziende italiane interessate al GDPR dovranno nominare un DPO entro e non oltre il 25 maggio 2018 per evitare di incorrere in pesanti sanzioni. Le imprese che non provvederanno a nominare questa figura entro la data indicata rischiano di dover far fronte a sanzioni fino a migliaia di euro. Le aziende che non sono obbligate a nominare un DPO hanno comunque necessità di rispettare il Regolamento e tutelare e proteggere i dati dei propri clienti, dipendenti, fornitori, ecc.
Quali saranno le conseguenze del GDPR?
Il regolamento UE sulla privacy avrà numerose conseguenze in diversi settori come in quello della comunicazione e del marketing. Ad esempio, gli indirizzi email o i profili di potenziali clienti non potranno essere aggiunti liberamente alle campagne di comunicazione. Sarà necessario ottenere precedentemente un consenso.
Ecco alcune dritte sui comportamenti da tenere o da evitare per fare in modo che la tua azienda sia in regola con i principi del GDPR:
Prendiamo ad esempio una aziendale molto comune: l’Email Marketing
COSA NON FARE
Con l’introduzione del GDPR non sarà più possibile inviare mail a chi non ha chiesto di essere contattato o che non ha sottoscritto il consenso al trattamento dei propri dati personali.
Se hai intenzione di aggiungere un contatto ad una mailing list devi inviare una mail alla persona interessata chiedendo il permesso di effettuare questa operazione. Potrai procedere soltanto se hai ricevuto risposta affermativa; in questo caso potrai chiedere al tuo nuovo contatto a quale tipo di mailing list preferirebbe essere aggiunto. Se non ricevi risposta non avrai il diritto di procedere in alcun modo.
Il GDPR può essere anche un’opportunità per le aziende. Nel caso specifico, invierai email e comunicazioni corrette ad un target specifico e composto da persone davvero interessate e profilate.
COSA FARE
Il nuovo GDPR prevede che l’utente sia sempre informato su tutto quello che viene fatto con i suoi dati personali. Se dunque hai intenzione di monitorare il comportamento degli utenti, ad esempio di misurare il tasso di apertura della newsletter che hai creato, devi informare i tuoi iscritti riguardo alle attività di controllo che hai intenzione di svolgere per dargli la possibilità di tutelarsi e di annullare l’iscrizione o chiedere di non essere monitorato. Ogni qual volta hai intenzione di svolgere delle operazioni di questo tipo ricordati dunque di inserire il consenso al trattamento dei dati personali che hai ottenuto da parte degli utenti che sono entrati a far parte dei tuoi contatti.
Se vuoi entrare in diretto contatto con il tuo target di riferimento o scoprire quali sono le preferenze dei tuoi consumatori contatta la nostra web agency di Pisa per fare in modo che le tue operazioni di direct marketing non vadano contro al nuovo GDPR. Contattaci per ricevere un efficiente servizio di consulenza da parte dei nostri esperti in GDPR; ci occuperemo di tutelare la tua azienda e i suoi contatti.