Web, comunicazione e dati personali: cosa cambia con il GDPR

Il 25 Maggio 2018 diventerà applicabile è entrato in vigore il nuovo GDPR, il Regolamento europeoRegolamento UE per la Protezione delle persone fisiche con riguardo al trattamento dei dati personali.
La nuova normativa riguarda tutti, ma in particolare chi si occupa di Web Marketing o comunque svolge attività sul web. Ecco qualche spunto per fare chiarezza sulle nuove regole.

I contenuti di questo post

• Cosè il GDPR
• Le linee guida del GDPR: cosa cambia?
• Vantaggi
• Risorse utili

Cosè il GDPR

Cominciamo dall’inizio: il GDPR, è l’acronimo del General Data Protection Regulation cioè il nuovo regolamento ufficiale dell’UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Il Regolamento (UE) 2016/679 è stato in realtà emanato il 27 aprile 2016, ma solo ora se ne parla seriamente.

In particolare in Italia non ci sono informazioni precise su come regolare il difficile passaggio dalla vecchia alla nuova normativa. Nonostante questo ritardo però aziende e professionisti dovrebbero tenere presente che:

1. Come ha già specificato il Garante della Privacy il Regolamento è già in vigore dal momento che è stato pubblicato in Gazzetta Ufficiale. Il termine del 25 Maggio riguarda essenzialmente l’armonizzazione delle leggi esistenti.
2. Questo significa che i principi cardine del GDPR non possono essere ignorati. Sicuramente alcuni dettagli saranno più chiari quando il legislatore italiano avrà svolto il suo lavoro, ma alcuni principi sono validi comunque.

Ad esempio il GDPR introduce la figura del Data Protection Officer (DPO) che per molti rimane poco chiara: la legge potrà definire meglio requisiti e altri dettagli di questo ruolo, ad esempio rispetto alla normativa esistente, ma sicuramente non potrà cancellare o snaturare questa figura che fa parte del Regolamento UE.

Il GDPR e il web

Il nuovo regolamento riguarda tutti coloro che raccolgono, conservano o gestiscano dati personali online o offline.

Sicuramente se sei un’azienda, un professionista o anche un’associazione, allora il GDPR ti riguarda direttamente anche solo per il trattamento dei dati essenziali per svolgere la tua attività quotidiana – basti pensare ai dati necessari per la fatturazione.

In particolare però chi gestisce un sito web o svolge attività di web marketing dovrà prestare particolare attenzione ai nuovi obblighi imposti dal Regolamento. Infatti tutte queste attività si basano spesso su una raccolta dati massiva e/o la profilazione degli utenti.

Tra gli esempi più banali di attività sulle quali impatterà il GDPR ci sono: l’iscrizione alla propria newsletter, la profilazione degli utenti per il retargeting o il remarketing, ma anche il banalissimo form di contatto e l’altrettanto banale tracciamento delle visite sul proprio sito.

Le linee guida del GDPR: cosa cambia?

I cambiamenti annunciati sono veramente sostanziali. Infatti il Regolamento impone un nuovo approccio per il trattamento e la protezione dei dati.

In pratica non si tratta solo di aggiungere avvisi e paragrafi incomprensibili alla propria informativa, come è successo ad esempio per la cosiddetta “cookie law” di qualche anno fa.

Questo nuovo approccio si basa su alcuni principi, che vengono introdotti proprio nel testo del Regolamento e che elenco di seguito.

La privacy dell’utente al centro

Il criterio attorno al quale ruota tutto il GDPR – e più in generale il cosiddetto “Pacchetto protezione dati” di cui fa parte – è molto semplice: la tutela dell’utente deve essere sempre al centro di qualunque processo di raccolta dati. In realtà è l’utente stesso che è al centro del Regolamento, non l’azienda: ed è per questo che la nuova normativa deve essere rispettata da qualunque azienda raccolga dati di cittadini europei, anche nel caso in cui operi in stati extra-europei.

Per tutelare il diritto alla riservatezza dei cittadini il GDPR introduce quindi due concetti fondamentali, che riguardano tutte le attività di raccolta dati.

Privacy by Design

Per quanto riguarda il nostro caso, cioè le attività svolte tramite strumenti online, qualunque raccolta di dati deve essere progettata fin dall’inizio pensando alle modalità di protezione dei dati stessi.

Assicurati quindi che tutto il processo di acquisizione, trattamento e conservazione dei dati sia impostato per salvaguardare la privacy dell’utente o del cliente. Insomma, non basta aggiungere livelli di sicurezza a posteriori, ma occorre inserire questo aspetto già concettualmente nella fase di progettazione.

Privacy by default

La tutela della privacy deve diventare il prerequisito di ogni attività in cui vengono raccolti dati. Quindi ogni volta chiediti se i dati che vuoi raccogliere sono effettivamente necessari:

• sei sicuro che in quel form di iscrizione alla newsletter servano nome e cognome dell’utente?
• hai veramente bisogno dei dati forniti dal pixel di Facebook che hai installato sul tuo sito?

Non raccogliere dati che non siano strettamente necessari alle tue attività e nel dubbio chiedi solo i dati indispensabili.

Cosa significa in pratica? Che qualunque strumento che userai per raccogliere, elaborare e conservare i dati dovrà essere concepito fin dall’inizio per rispettare la privacy dell’utente.

L’utente, con i suoi diritti alla riservatezza, deve sempre essere al centro della progettazione non solo per quanto riguarda gli aspetti tecnici, ma anche per tutto ciò che concerne le pratiche commerciali.

Responsabilità, trasparenza e tracciabilità

Un altro concetto al centro del GDPR è l’accountability: se in passato si era chiamati a rispondere solo in causa di contestazioni, da oggi la questione cambia completamente.

La responsabilità è infatti completa, e occorre preoccuparsene fin dall’inizio. Il Data Protection Officer dovrà ora predisporre un piano e delle procedure per l’autocontrollo, un po’ come avviene già ad esempio nel campo della ristorazione con il sistema dell’HACCP.

In qualunque momento il responsabile della protezione dei dati può essere chiamato a rispondere della modalità di acquisizione o di trasmissione a terzi dei dati di cui è incaricato. Questo significa che tutto il processo deve avvenire in modo:

• trasparente: indicando sempre le finalità e le modalità di raccolta dati, esplicitando anche passaggi impliciti e questioni tecniche in modo semplice e comprensibile;
• tracciabile: l’acquisizione dei dati e il loro successivo percorso devono essere sempre documentati, in modo che in qualunque momento si possa risalire al momento e alla modalità in cui è stato espresso il consenso al trattamento, che deve sempre essere esplicito.

Valutazione dei rischi

Tra gli elementi collegati al principio dell’accountability c’è la valutazione d’impatto dei rischi collegati al trattamento dei dati – in rete troverete molto materiale relativo all’acronimo ingliese  (DPIA) Data Protection Impact Assessment.

In altre parole non basta aver progettato le proprie procedure in modo adeguato rispetto alla normativa, ma occorre anche analizzarne i possibili punti deboli e le modalità con le quali si può agire per arginare eventuali problemi o danni. E non si tratta di una questione da poco, anche perché da ora in poi, come già avviene in altri paesi, sarà obbligatorio notificare ai diretti interessati il furto o la perdita di dati personali – ad esempio nel caso di data breach.

Ovviamente non è ancora chiara la forma che assumerà il Risk Assessment. Sicuramente però sappiamo che dovrà prendere in considerazione tutti i processi che coinvolgono i dati personali.

Quindi in attesa di saperne di più professionisti e aziende dovrebbero comunque documentare attentamente:

• tutte le tipologie di raccolta dati che sono necessari per la propria attività, dall’ordinaria amministrazione fino alle attività di marketing, stabilendo se si tratta di dati personali, oppure raccolti in forma anonima o con la cosiddetta “pseudonimizzazione” – un altro concetto introdotto nel GDPR e che consiste nella raccolta di dati di profilazione che però sono aggregati in forma anonima;
• il flusso dei dati: come vengono trasmessi? Questa modalità è sicura? Dove e come vengono conservati i dati? Ne vengono fatte delle copie? Per quanto tempo sono conservati?
• le funzioni aziendali coinvolte: nel caso di aziende con strutture complesse i dati potrebbero essere a disposizioni di vari soggetti;

Sanzioni

In assenza di una normativa specifica occorre tenere comunque presente le linee guida introdotte dal Regolamento per quanto riguarda le sanzioni, che non sono più alte rispetto all’attuale legislazione:

• Se viene dimostrato il non adeguamento ai principi elencati sopra sono previste multe fino a 10 milioni di euro o fino al 2% del fatturato annuo;
• Nel caso di palesi violazioni dei principi del Regolamento la multa sale a 20 milioni o il 4% del fatturato;

Il Regolamento specifica che le sanzioni devono essere valutate caso per caso e comunque essere proporzionate alla violazione, ma comunque devono essere tali da dissuadere la reiterazione delle violazioni. Ovviamente per i dettagli occorre aspettare che il legislatore italiano adegui la normativa esistente.

Vantaggi

• Il principio di privacy by design è future proof: introducendo un principio e non pratiche specifiche è facilmente di fatto neutro rispetto alla tecnologia coinvolta – infatti vale sia per i dati digitali che per quelli analogici. Questo significa anche che la normativa sarà facilmente adattabile a scenari futuri.
• Semplificazione: di fatto si elimina la notifica al garante e l’approccio basato sul risk management permette ad ogni realtà di creare procedure e strumenti ad hoc per la propria attività, senza l’obbligo di sottostare a regole complesse inadatte al proprio contesto.
• Legislazione omogenea in tutta l’UE: il Regolamento di fatto uniforma una materia che in Europa è sempre stata frammentata, rendendo la vita più semplice soprattutto per chi lavora online, attività che per sua stessa natura si rivolge a utenti di più paesi.

Più in generale il vantaggio per chi fa web marketing è che tutta la normativa in realtà non fa altro che legittimare buone pratiche che qualunque esperto raccomanderebbe ai propri clienti. Trasparenza, tracciabilità, protezione e rispetto della privacy sono tutti elementi imprescindibili per una corretta pratica commerciale e per instaurare con il cliente – attuale o futuro – o utente un rapporto di fiducia che duri nel tempo.

In un prossimo post cercherò di occuparmi del lato pratico di questo adeguamento per chi opera sul web. Nel frattempo però ecco qualche risorsa utile per approfondire tutti gli aspetti del GDPR.

Risorse

• Il GDPR Hub di MailUp. La principale piattaforma italiana di Marketing Automation ha cominciato già da tempo a pubblicare materiale ad hoc sul nuovo Regolamento. Ora ha deciso di creare una sezione dedicata all’interno della MailUp Academy. Personalmente credo che sia la raccolta più completa e accessibile dedicata al GDPR in lingua italiana e adeguata alla realtà legislativa del Bel Paese. All’interno troverete vari format (video, ebook, ecc.) su questioni legali spiegate da avvocati eserti, e altri aspetti più tecnici legati al marketing.
• Il testo completo del regolamento in lingua italiana
• L’area dedicata al GDPR sul sito della Commissione Europea. Molte delle risorse contenute in questo sito sono di tipo tecnico, ma utili per chi vuole documentarsi sugli aspetti burocratici anche riguardo alle questioni extra UE per chi lavora con fornitori di servizi o clienti internazionali.
• La guida al GDPR sul sito del Garante della Privacy, dove seguire anche nei mesi futuri gli aggiornamenti relativi all’armonizzazione della legislazione italiana.