GDPR – Capire la nuova legge sulla privacy per adeguare la propria azienda

GDPR – Capire la nuova legge sulla privacy per adeguare la propria azienda

Gestire in modo sicuro i dati sensibili degli utenti è una questione seria. Una spiegazione semplice sui contenuti, i rischi e i primi passi verso una soluzione

Cos’è il GDPR

Letteralmente non è altro che uno dei tanti acronimi che usiamo oggi, nello specifico però, è il principale adeguamento in materia di privacy, dopo il noto D. Lgs. 196/2003, ed è una “legge” a livello europeo.

Nei mesi successivi ad Aprile 2018 è stato sicuramente uno degli argomenti più dibattuti, e praticamente tutti, aziende o privati, primo o dopo sono venuti a conoscenza, o hanno semplicemente sentito, l’ormai nota sigla GDPR.
La traduzione secondo la lingua comunitaria è General Data Protection Regulation, per gli amanti della lingua italiana Regolamento Generale sulla Protezione dei Dati, per la legge ufficialmente è Regolamento Ue 2016/679.

Perché mi dovrebbe interessare?

La risposta è semplice: deve diventare un argomento conosciuto da tutti, non solo dalle aziende che devono mettersi in regola, perché scopo del nuovo regolamento non è imporre qualcosa alle persone giuridiche, ma tutelare la privacy delle persone fisiche, in particolar modo al trattamento e la circolazione dei dati personali.

Le nuove tecnologie, la diffusione di Internet, il libero mercato, hanno messo a dura prova negli ultimi anni la protezione dei nostri dati personali, e così l’Unione Europea ha dovuto dare una risposta allo scopo di dare certezza giuridica, semplificare i concetti per i cittadini e armonizzare le norme tra paesi.
In pratica, dare uno strumento ai privati per avere il pieno controllo, in modo il più possibile semplice e comprensibile, dei propri dati personali.

Chi deve adeguarsi?

Ogni persona giuridica che a vario titolo viene a conoscenza e usa dati personali di cittadini e residenti dell’Unione Europea, con garanzie di sicurezza adeguate alla sensibilità del dato trattato.

I rapporti tra privati e aziende non cambiano

Il primo è la presenza del privato, in quanto i rapporti tra aziende non subiscono grandi variazioni. In effetti il GDPR non sostituisce la precedente legge 196/2003, ma ne abroga solo le norme incompatibili con lo stesso Regolamento.

La geografia conta

Altro passaggio importante è l’aspetto geografico legato al privato. Quindi, ad esempio, se un’azienda ha sede al di fuori dell’Unione Europea ma gestisce dati di cittadini europei, è comunque obbligata a rispettare la privacy di ognuno di questi secondo il GDPR.

Sicurezza crescente

Terzo aspetto è che il grado di sicurezza con cui vengono memorizzati e custoditi questi dati, deve essere proporzionale al grado di sensibilità del dato stesso. Quindi, più i dati sono sensibili, maggiore deve essere la sicurezza con cui ne viene garantita la riservatezza.

La domanda successiva è:

Quali sono i dati per i quali devo mettermi a norma?

Sicurezza online dati privati GDPR - cybermarketIn pratica tutti, anche quelli che apparentemente possono sembrare più banali, come ad esempio la propria squadra di calcio. In un certo senso, questo aspetto rende tutto più semplice, perché non c’è bisogno di fare una scelta.

Certo non si può paragonare la squadra di calcio per cui uno tifa, a un dato inerente alla salute, ma tutti, anche se in modo diverso, devono essere salvaguardati, in quanto solo il titolare del dato ha il diritto di divulgarlo.

Probabilmente molti di voi leggendo penseranno: “Noi in azienda non gestiamo nessun dato personale particolare”. Ok, e le e-mail?
L’indirizzo mail oggi anche per i privati non è più solo uno sfizio, ma è un mezzo di uso comune e sempre più indispensabile (che sia una mail normale o una pec). Quindi anche la mail, così come il numero di telefono, è oggi uno strumento talmente importante da diventare un dato sensibile dei clienti, che dev’essere custodito in modo sicuro e facendone un uso adeguato.

Vabbè, tanto poi come al solito converrà rischiare ed eventualmente pagare la multa…

Questa volta sembra proprio di no.
Dal punto di vista amministrativo le sanzioni per le violazioni nelle norme sono fino a 10milioni di euro oppure 2% del fatturato nei casi meno gravi, e fino a 20 milioni di euro oppure 4% del fatturato nei casi più gravi.

Rischi penali e responsabilità aziendale

Dal punto di vista penale il GDPR non prevede sanzioni specifiche, ed eventualmente rimanda ai singoli Stati della UE per avere disposizioni in merito.
In Italia il Regolamento Europeo 679/2016 è stato recepito con il D.Lgs. 101/2018 ed è a questo che dobbiamo rifarci per scoprire che sono previste anche sanzioni penali per casi specifici (che non stiamo a riportare in quanto il tecnicismo non è lo scopo di questo articolo).

Una cosa però è veramente importante: lo scarica barile non esiste più. Ogni azienda che a vario titolo lavora su un dato, è responsabile allo stesso modo.
Quindi, nel caso in cui l’azienda A, che è titolare del dato, delega l’azienda B a usarlo per attività di marketing, entrambe saranno responsabili nei confronti dell’utente in caso di violazione; e l’utente potrà richiedere il danno indipendentemente ad A o a B (poi la valutazione su di chi è la colpa, sarà una questione interna alle due aziende).

Ok, ho capito, è il caso che mi adegui. GDPR online e offline

Prima di tutto, indipendentemente da quello che trovate scritto in questo articolo, ma anche su Internet in generale, il consiglio è di rivolgervi a un professionista specializzato nel settore, perché oggettivamente la cosa non è semplice, e la legge, con i suoi aspetti poco chiari, non aiuta.

Dal punto di vista offline, quindi, rivolgetevi a un professionista, invitatelo in azienda, e seguite i suoi consigli.

Cosa controllare per la privacy online

Per quanto riguarda Internet, invece, ecco una lista di cose da controllare, individuate insieme al nostro consulente in materia di privacy:

  • Il tuo sito ha il lucchetto, l’ssl e l’https. La tua posta e-mail viaggia in modo protetto su Internet?
  • Sul tuo sito c'è una privacy policy che illustra tutti i trattamenti che fai, e una cookie policy che non solo spiega quali cookie utilizzi e per quale scopo, ma blocca anche i codici e i cookie per i quali l’utente non vuole dare il consenso. 
  • La privacy e la cookie policy in quante lingue è presente sul tuo sito? Non è più una legge solo italiana, ricordalo…
  • Controlla che i form sul tuo sito abbiamo un chiaro riferimento alla privacy policy consultabile online, e che non siano chiesti più trattamenti per uno stesso form
  • Chiediti come memorizzi, e tieni a disposizione delle autorità e degli utenti, i consensi che ricevi per ogni singolo trattamento (richiesta informazioni, preventivi, newsletter, attività di marketing varie, ecc.)
  • Chiediti se i fornitori, o i programmi utilizzati, che gestiscono con te i dati dei tuoi clienti sono affidabili
  • Ricordati che rischi anche per il loro lavoro.Ecco alcune ultime domande da farsi: L’accesso ai dati in mio possesso, se memorizzati online, è ben protetto
  • E il server del sito e della mail ha garanzie di sicurezza adeguate? La tua rete aziendale blocca gli accessi esterni con un firewall?

 

Sì, le cose da valutare e tenere sotto controllo non sono poche, se avete bisogno, ci potete contattare per una consulenza alla mail info@cybermarket.it oppure da qui.

Alessandro Fusi

Informazioni sull'autore

Alessandro Fusi

Cybermarket Web Agency

Digital Analyst and Strategist + Project Manager

Parlaci del tuo progetto
Parlaci del tuo progetto

Parlaci del tuo progetto

 Ho preso visione dell’informativa privacy * In relazione al trattamento dei miei dati personali, relativamente alle finalità di Marketing diretto mediante invio di materiale informativo e/o pubblicitario mediante email o newsletter, strumenti di messaggistica o telefono
 Acconsento