LA NOSTRA GUIDA AL NUOVO GDPR (General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati): CAMBIAMENTI E IMPATTO SULLE IMPRESE

  1. Che cos’è?

  2. Chi ne è interessato?

  3. Che cosa bisogna fare se non lo si è già fatto?

Il nuovo regolamento europeo sulla privacy, chiamato GDPR, è stato applicato dall’Unione europea il 25 maggio 2018, ed è diventato uno degli argomenti più caldi e motivo di preoccupazione in tutti i settori della regione EMEA. 

Le modifiche interessano il modo in cui le aziende acquisiscono, utilizzano e conservano i dati dei clienti, con lo scopo di limitare l’uso improprio dei dati della persona interessata e dare ai singoli individui maggiore controllo sulle proprie informazioni personali.

In un sondaggio effettuato da Sjmart Insights nel marzo 2018, che chiedeva a oltre 200 professionisti se fossero pronti al GDPR, solo il 6% ha detto che si aspettava di essere pienamente preparato entro il termine. In un altro studio di 800 professionisti IT e aziendali responsabili della protezione dei dati, Dell e Dimension Research ha scoperto che l’80% delle aziende sapeva molto poco o nulla sul GDPR.  Questi risultati sono sorprendenti, data l’importanza dei nuovi regolamenti per la privacy del cliente.

Crimson Hexagon suggerisce che “essere pronti al GDPR in termini di privacy e conformità con la nuova legalizzazione è tra i problemi più importanti legati al GDPR”. Per aiutarLa a capire i nuovi regolamenti, abbiamo riassunto le aree chiave del GDPR che potrebbe essere utile conoscere.

  1. Che cos’è?

Il GDPR è composto di 99 articoli e tanta complessità. È stato applicato a tutte le leggi locali sulla privacy nell’UE e nel SEE. Uno dei principali cambiamenti su cui il nuovo regolamento avrà impatto sono i diritti degli individui in relazione ai propri dati personali. Ai sensi del nuovo regolamento, gli individui hanno il:

  • Diritto di essere informati: questo riguarda la raccolta dati da parte di organizzazioni, poiché gli individui devono essere informati prima che i propri dati vengano raccolti. I clienti devono “opt-in” e dare esplicita autorizzazione alla raccolta dei propri dati. È anche necessario fornire alle persone interessate informazioni precise circa le attività di trattamento dati che si intende svolgere utilizzando i loro dati. 
  • Diritto di accesso: gli individui hanno il diritto di accedere ai propri dati personali in qualsiasi momento dopo che sono stati raccolti. L’azienda è obbligata a fornire loro una copia gratuita e in formato elettronico, se necessario, entro un mese dal ricevimento della richiesta. Secondo le nuove leggi, è possibile rifiutare di conformarsi alla richiesta di accesso di una persona interessata solo se tale richiesta è “evidentemente infondata o eccessiva”
  • Diritto all’oblio (diritto alla cancellazione): gli individui hanno il diritto di far cancellare i propri dati personali se questi non sono più necessari in relazione allo scopo originale oppure se ritirano il loro consenso o obiettano all’uso e al trattamento delle loro informazioni. Questo vale anche se i dati personali sono stati trattati in maniera illegale e devono essere cancellati per ottemperare a obblighi legali.
  • Diritto di rettifica: al fine di rafforzare il controllo sulle proprie informazioni personali, questo diritto dà alla persona interessata la possibilità di far correggere le proprie informazioni se inesatte o incomplete. Tale diritto garantisce che i dati conservati siano sempre aggiornati e pertinenti. Come azienda, è necessario soddisfare qualsiasi richiesta entro un mese dal ricevimento
  • Diritto di limitare l’elaborazione: questo diritto consente agli individui di limitare l’uso dei propri dati personali se il trattamento era illegale, impreciso o non è più necessario. Se ha reso noti dati personali a terze parti, è Sua responsabilità assicurarsi che non li elaborino più neanche loro
  • Diritto di portabilità dei dati: gli individui dovrebbero essere in grado di trasferire, copiare o spostare i propri dati personali facilmente da un fornitore a un altro in modo sicuro e protetto. Questo dà ai consumatori la possibilità di utilizzare le proprie informazioni per trovare offerte migliori. Se l’individuo richiede il diritto alla portabilità dei dati, è necessario trasferire le informazioni gratuitamente e direttamente a un’altra organizzazione, se questo è fattibile tecnicamente. I dati devono essere forniti in forma leggibile e strutturata
  • Diritto di essere informato in relazione a decisioni automatizzate e profilazione: gli individui hanno il diritto di sapere quando sono soggetti a una decisione basata su un trattamento automatizzato destinato a valutare aspetti personali specifici, ad es. se viene utilizzato per predire le loro capacità di eseguire un certo lavoro. Di conseguenza, è necessario verificare che le persone interessate possano ottenere l’intervento umano, ricevere una spiegazione della decisione e avere la capacità di esprimere il loro punto di vista. L’azienda è esente se è autorizzata dalla legge o se la decisione automatizzata si basa sul consenso esplicito o per motivi di interesse pubblico rilevante.
  • Diritto di obiettare: gli individui possono opporsi al trattamento dei propri dati personali sulla base di interessi legittimi o se tali dati vengono utilizzati per direct marketing.  Questo implica che, dal momento in cui si riceve la richiesta, non deve avvenire alcun ulteriore trattamento di questi dati. Questo diritto dovrà essere comunicato agli individui dall’inizio dello scambio dei dati. Se la persona interessata si oppone al direct marketing, è necessario interrompere immediatamente il trattamento senza alcuna eccezione. 
  1. Chi ne è interessato?

Se l’organizzazione distribuisce o detiene dati di cittadini dell’UE, compresi utenti finali, clienti e dipendenti, è necessario applicare le normative GDPR. Queste includono anche aziende di fuori dell’UE che vendono o conservano dati personali di soggetti europei.

La direttiva GDPR definisce i dati personali nell’articolo 4 come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato)”. Tali informazioni includono uno o più elementi caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale. Questo vale anche in un contesto di business-to-business (B2B), dove i clienti sono aziende, per esempio. È una definizione ampia di proposito, ed è tecnologicamente neutrale, quindi non importa se le informazioni sono conservate su carta o in un sistema informatico.

  1. Che cosa bisogna fare se non lo si è già fatto?

È abbastanza chiaro da ora che il nuovo regolamento mette il consumatore al posto di guida, ma lascia alle aziende il compito di realizzare il tutto. È consigliabile chiedere consulenza a un titolare del trattamento della protezione dei dati o assumere un gestore dei dati del cliente per garantire un buon quadro di applicazione del GDPR. Le aziende che non rispettano tale regolamento dovranno affrontare severe multe e sanzioni. Di conseguenza, sarà necessario garantire che tutti i reparti dell’organizzazione sappiano come trattare i dati personali in modo conforme al GDPR. I vecchi modi di raccogliere informazioni sui clienti non sono più accettabili con il GDPR.

Se non ha ancora iniziato a conformarsi al GDPR, dovrebbe farlo subito! Ecco alcuni suggerimenti su come iniziare:

Comprendere i propri dati aziendali

Per valutare se si è conformi o meno alle normative GDPR, come primo passo è necessario fare una mappa dei dati della propria azienda per identificare dove si trovano e chi può accedervi. Ciò consente di valutare la situazione attuale in termini di protezione dei dati e giuste politiche in atto.

Conoscere i requisiti di protezione e i diritti del cliente

Valutare lo stato attuale delle pratiche di protezione, identificare lacune e progettare controlli di sicurezza in modo da correggerle e limitare eventuali violazioni dei dati. Mettendo in vigore misure di sicurezza, si potrà proteggere l’organizzazione e garantire la protezione dei dati personali del cliente. Inoltre, trovare e dare priorità alle vulnerabilità della sicurezza e progettare controlli appropriati sia internamente che con i fornitori. È necessario controllare che anch’essi abbiamo attuato le corrette misure di protezione.

Verificare e aggiornare la propria Informativa sulla privacy

Secondo la nuova normativa, è imperativo avere chiaramente il consenso degli individui all’acquisizione e al trattamento dei loro dati. Di conseguenza, il consenso implicito o caselle preselezionate non sono più accettabili. È necessario verificare la documentazione e sistemarla dove necessario, perché con il GDPR è imperativo chiedere l’autorizzazione del cliente a continuare a utilizzare i suoi dati.

Creare una procedura per ricevere le richieste del cliente

In seguito al nuovo regolamento, è possibile ricevere diverse richieste da parte dei clienti per quanto riguarda i propri dati personali. Mettendo in atto una strategia comunicata adeguatamente su come affrontare queste richieste, l’organizzazione sarà meglio attrezzata per occuparsene.  È necessario creare procedure per gestire dati personali in base agli 8 diritti fondamentali specificati nel GDPR

È vero che le nuove modifiche del GDPR possono essere una sfida, ma se attuate adeguatamente offrono anche molte opportunità. Si dovrebbe vederle positivamente come un modo per migliorare la comunicazione e portare avanti una strategia di marketing maggiormente incentrata sui dati.

Poiché le imprese dovranno effettuare una verifica dei dati per garantire l’accuratezza e la conformità alle nuove leggi, i venditori avranno una migliore comprensione del proprio database e dei clienti più affezionati al marchio. Questo permetterà a Lei come marchio di creare nuove offerte molto più pertinenti e comunicazioni del brand più convincenti. Inoltre, poiché sarà necessario il permesso del cliente per continuare a utilizzare i dati, sarà chiaro che coloro che danno il proprio consenso con molte più probabilità saranno legati al Suo marchio. Questo è l’ideale per nuove campagne di marketing e lanci di prodotti, ad esempio. Inoltre, il GDPR offre alle organizzazioni una grande opportunità di costruire relazioni più forti con la loro base di clienti più fedeli.