GDPR: 7 domande e le relative risposte

È inutile ripeterlo: la scadenza del GDPR si avvicina e, se da un lato impegna l’azienda nel suo insieme per quanto riguarda la raccolta, la gestione e la tutela dei dati personali di dipendenti, fornitori e clienti, per il marketing c’è da fare qualche considerazione in più a proposito dei dati di profilazione e di contatto per l’invio di materiale promozionale personalizzato.

GDPR: 7 domande e le relative risposte

photo credit: DesignRecipe European Union Flags 2 via photopin (license)

Sempre per quanto riguarda il marketing, infatti, se non si dispone delle necessarie autorizzazioni, non è più possibile in alcun modo raccogliere dati di tipo comportamentale ed utilizzarli per la comunicazione – ed anche la comunicazione non è più possibile se i consensi precedentemente raccolti non sono in linea con quanto previsto dalla nuova normativa.

Nel portare avanti un progetto complesso, occorre avere le idee chiare ed un piano da seguire. La conformità normativa rispetto al GDPR, che entrerà in vigore il prossimo 25 maggio, rientra perfettamente in questa categoria di attività – dato che impatta sull’IT e sui processi

Il GDPR è qualcosa di vincolante per ogni azienda che tratta con persone residenti nell’Unione Europea e, per adeguare processi e sistemi (almeno per quanto riguarda il marketing), è bene disporre anche di una rapida check-list – giusto per non lasciare indietro nulla. In questo articolo la proponiamo sotto forma di domande e risposte.

Domanda #1 – Cos’è il GDPR e come prendere visione della più recente versione della normativa?

Il GDPR (General Data Protection Regulation) è un Regolamento emanato dall’Unione Europea; in particolare si tratta del documento N. 2016/679 redatto dal Consiglio e dal Parlamento Europei il 27 aprile 2016 sulla protezione delle persone fisiche in riferimento all’elaborazione dei loro dati personali ed alla libera circolazione di tali dati, il quale abroga la precedente Direttiva 95/46/EC.

La versione finale del GDPR è disponibile sul sito istituzionale in cui sono pubblicati i documenti ufficiali della UE.

Domanda #2 – Quali funzionalità deve possedere una piattaforma di Marketing Automation per garantire la conformità rispetto al GDPR?

Una piattaforma di automazione, per essere il linea con il Regolamento, che sia on premises o in cloud, deve rendere disponibili strumenti e procedure per la gestione degli utenti e dei loro accessi (inclusa la registrazione delle attività effettuate dalle persone autorizzate), la registrazione delle attività elaborative effettuate sui dati di carattere personale, il monitoraggio della sicurezza (incluse policy per stabilire come reagire a possibili falle nella protezione delle informazioni e la registrazione di eventuali incidenti), il salvataggio dei dati e l’applicazione di misure standardizzate di sicurezza informatica.

Oltre a queste caratteristiche, che devono essere native o integrate con le funzionalità di sicurezza del sistema, vanno previste ulteriori funzionalità specifiche per le nuove responsabilità che le aziende si assumono in virtù del GDPR; ci riferiamo in particolare alla capacità di ottemperare alla possibilità, da parte degli utenti, di richiedere ed ottenere la completa cancellazione dei loro dati personali (esercizio del diritto all’oblio) o la protezione di tali dati mediante la crittografia – oltre che la loro portabilità se richiesto dagli interessati.

Per quanto riguarda i form, infine, è necessario implementare la pratica del doppio opt-in, oltre che spiegare in dettaglio i legittimi scopi (inclusa la profilazione) per cui le informazioni personali sono raccolte ed utilizzate.

Domanda #3 – Come definire le nuove responsabilità che scaturiscono dal GDPR?

Il fornitore della piattaforma di automazione, se in cloud, è l’entità che materialmente gestisce ed elabora le informazioni, per cui è responsabile dell’utilizzo di appropriate misure tecnologiche ed organizzative tali da garantire il pieno rispetto della normativa. In particolare, è preferibile che i sistemi di elaborazione ed i supporti di registrazione dei dati siano fisicamente localizzati entro i confini dell’Unione Europea, altrimenti occorre poter dimostrare che il fornitore possieda tutte le caratteristiche necessarie per rispondere ai requisiti di conformità previsti dal GDPR (mentre invece, se risiede nella UE, si suppone che sia conforme per definizione). L’utilizzatore, dal canto suo, è responsabile della corretta esecuzione delle procedure previste – come la richiesta dei consensi, l’analisi dei rischi, ecc.
Infine, nel caso in cui si utilizzino strumenti software che operano all’interno del sistema informatico aziendale, ogni responsabilità è a carico dell’impresa che utilizza tale sistema.

Domanda #4 – I dati di tipo comportamentale già in nostro possesso sono utilizzabili?

Il GDPR richiede che il monitoraggio dei contatti venga effettuato solo se costoro danno il proprio assenso. In pratica, se i dati raccolti in precedenza possiedono i requisiti espressi dalla nuova normativa, sono utilizzabili; in caso contrario (l’ipotesi più probabile), ovvero se non si è in possesso di una specifica autorizzazione alla profilazione (incluso l’utilizzo di dati di tipo tecnico, come i cookie e gli indirizzi IP) tali dati non solo sono inutilizzabili ma, a rigor di logica, andrebbero anche cancellati in quanto raccolti e detenuti in modalità che risulteranno non conformi dal 25 maggio in poi.

In particolare, per quanto riguarda le informazioni personali, il GDPR suggerisce l’utilizzo di tecniche di “pseudonimizzazione“, ovvero la capacità di trasformare tali dati in qualcosa che sta a metà tra l’anonimato e l’identificazione diretta – i dati “pseudonimizzati”, infatti, consentono di risalire all’identità dei soggetti solo in presenza di informazioni ulteriori detenute separatamente.

Domanda #5 – Cosa si deve fare se il contatto esercita il diritto di fare opt-out (unsubscribe)?

Quando si inviano email di tipo promozionale (ad esempio newsletter) in quanto il destinatario ci ha preventivamente autorizzati (con il doppio opt-in), a piè di pagina va collocato un pulsante o un link che consente al contatto di cambiare idea e di cancellare la sua iscrizione alla lista di distribuzione. Se qualcuno esercita questo diritto, ciò non comporta che i suoi dati vengano cancellati dal database, ma semplicemente che è venuto meno il consenso all’invio di informazioni del tipo di quelle contenute nell’email in questione.

Domanda #6 – Che documenti si devono possedere per dimostrare la conformità ai requisti espressi dal GDPR?

Il GDPR prevede una serie di documenti che, in caso di controlli (audit), permettano di dimostrare la corretta applicazione, a livello sia tecnologico che organizzativo, di appropriate misure per la salvaguardia dei dati e la gestione delle autorizzazioni necessarie per la loro detenzione ed il loro utilizzo.

In particolare, l’approccio alla sicurezza è considerato un processo soggetto ad un continuo miglioramento, per cui occorre effettuare un’analisi iniziale del rischio a cui seguono sia l’implementazione di opportune attività di correzione e di adeguamento che la reiterazione nel tempo dell’analisi stessa.
In pratica il GDPR richiede che l’attenzione alla sicurezza diventi parte della cultura aziendale e costituisca un elemento chiave nell’ambito di qualsiasi iniziativa (privacy by design e by default).

Domanda #7 – Come funzionano le verifiche ispettive e cosa occorre poter dimostrare?

Durante una verifica (audit) occorre dimostrare che sistemi e procedure per l’elaborazione delle informazioni di carattere personale sono conformi a quanto stabilito dal GDPR; in particolare bisogna poter provare che:

  • i dati sono stati ottenuti in base alle disposizioni di legge e con il consenso informato degli interessati in merito alle modalità ed agli scopi del relativo trattamento
  • le persone che effettuano il trattamento dei dati di carattere personale hanno ottenuto un’autorizzazione scritta in tal senso da parte del responsabile incaricato (data controller)
  • viene mantenuto un registro degli eventuali incidenti (ovvero la perdita, la distruzione o la diffusione non autorizzata dei dati di carattere personale) – gli eventuali incidenti vanno riferiti all’autorità competente entro 72 ore dal fatto

Prima di un’ispezione, l’azienda dovrebbe ricevere una notifica scritta; la verifica prevede la visita da parte di ispettori certificati che sono tenuti a controllare sia la documentazione che le modalità con cui i dati vengono gestiti (inclusi gli aspetti legati alla sicurezza).

Un’ultima precisazione

I contenuti di questo articolo, e degli altri sul medesimo argomento pubblicati in questo blog, hanno un valore puramente indicativo e non costituiscono una guida per il conseguimento della conformità rispetto al GDPR – cosa che si può ottenere soltanto ricorrendo all’assistenza di esperti.

Volete saperne di più? Contattateci.