IL REGOLAMENTO GENERALE PROTEZIONE DATI (il così detto GDPR dall’inglese general data protection regulation https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT entrato in vigore come direttiva nei paesi dell’Unione Europea dal maggio del 2018, ha sortito degli ampi effetti sulla comunicazione digitale e sulla sua regolamentazione oltre che nei paesi coinvolti, anche in quelli che vantano interessi economici e promozionali sul territorio UE.

Certo permangono dubbi e incertezze su come poter adeguarsi a tale normativa, ma da questo punto di vista basta conoscere alcuni dei punti principali della stessa per riuscire (o almeno provarci!) a illuminare l’arduo sentiero nell’oscura selva del burocratese.

Proviamo quindi a semplificare e riassumere i punti fondamentali che riguardano tale direttiva e cosa fare per adeguarsi:

 

1. CHI E’ L’INTERESSATO?

Il GDPR si rivolge a tutte le aziende che raccolgono a uso commerciale, statistico o di profilazione della clientela, dati personali di persone fisiche associati “a identificativi online prodotti dai dispositivi, … dalle applicazioni, dagli strumenti e dai protocolli utilizzati, o a identificativi di altro tipo…”. 

Insomma per farla breve e non tediarvi con tecnicismi, a tutte le aziende che raccolgono, utilizzano ed elaborano i dati personali, online e offline, di cittadini all’interno o anche al di fuori dall’Unione europea.

Dunque, se possedete un CRM, un database, un foglio Excel con gli indirizzi email dei clienti che utilizzate per inviare una newsletter, fate attenzione ai prossimi punti.

 

2. DI QUALI DATI STIAMO PARLANDO?

Dal 25 maggio, la definizione di dato personale, ma soprattutto sensibile, è ampliata.
La normativa include non più solo i classici dati come indirizzo di casa o numero di telefono, ma anche tutti quegli identificativi online quali: gli indirizzi IP (che rappresentano la targa del vostro computer nel momento in cui vi immettete nell’autostrada del web), i cookie (che sono file di testo inviati da un sito web al computer dell’utente e utilizzati anche per identificare, riconoscere e classificare l’utente e definire le pubblicità che vedrà), la geolocalizzazione (per sapere sempre dove siete!) e l’email (che…beh dai questa è facile).

 

3. COME FARE (O FA IL MIO WEB MASTER) A RACCOGLIERE I DAT ADESSO?

Dell’entrata in vigore del regolamento, per essere in regola con la raccolta dati online e offline, basta seguire alcuni passi.

Il Consenso: l’utente deve darvi il proprio consenso e la propria intenzione al trattamento dei suoi dati in modo libero. In una mail a esempio, l’opzione d’iscrizione singola alla vostra lista contatti (la così detta OPT-IN) rimane il modo più classico; l’utente acconsente, attraverso una vostra dichiarazione esplicita, a ricevere da voi delle comunicazioni. Semplice, no?
Ma occhio perché potrebbe esserci il trucchetto!
I limiti del OPT singolo è che errori di battitura nell’indirizzo email o l’iscrizione fatta da altri, vi creino in futuro dei fastidi. Allora il modo migliore sarebbe…anzi sarebbero: 

• OPT-IN Notificato (Notified OPT-IN), in cui all’iscrizione consegue una mail di notifica in cui in caso è presente la possibilità alla disiscrizione. 
• OPT-IN Doppio (Double OPT-IN), ovvero un doppio consenso dove l’utente conferma l’iscrizione al servizio prima tramite flag e successivamente con una mail di conferma (con un link di riferimento magari)

L’informativa e la richiesta: il messaggio sul trattamento dei dati personali dovrà essere trasparente, chiaro, di facile lettura e accessibile. Diciamo addio quindi a pagine nascoste dai menu o form di raccolta dati poco leggibili. Questo, oltre a svincolarci da ogni equivoco, aiuta in piccola parte i nostri potenziali clienti ad avvicinarsi di più al nostro mondo, a fidarsi e in un certo senso anche a profilarsi come leads, persone interessate. 

Dati Pertinenti: i dati raccolti dovranno necessariamente essere adeguati e limitati alle finalità per cui vengono richiesti e trattati. Non dovranno quindi essere utilizzati per altri scopi od opportunità.
Un modo per rimanere sempre tranquilli da quel punto di vista potrebbe essere un’opzione d’uscita (OPT-OUT) dal servizio in modo da non “disturbare” ulteriormente qualora non dovessimo essere più graditi. OPT-OUT nella comunicazione commerciale diretta, è il modo in cui il destinatario di una comunicazione ha la possibilità di rifiutare la ricezione d’ulteriori messaggi in futuro. 

 

4. TRATTARE BENE, CONSERVARE IN FRIGO, REGISTRARE CONSENSI: PER DATI SEMPRE PERFETTI! 

Certo, d’adesso in poi i dati possono essere raccolti e utilizzati solo per gli scopi specifici, ben dichiarati ed esplicitati nel consenso, e non più per “quel cavolo che ci passa per la testa…”.
Ricordate d’aggiungere o aggiornare il modulo di consenso, ogni volta che si implementano servizi o funzioni del sito web, dell’app o del programma che prevede l’utilizzo dei dati dei vostri utenti.

È sempre meglio mantenere un registro dei consensi (dai moduli di iscrizione alla newsletter, alle piattaforme sulle quali i dati vengono raccolti) come prova sufficiente da esibire durante un controllo.
Ma a esempio, nella Cookie Law non viene esplicitamente imposto la tenuta di un registro, nonostante sia comunque stabilita la necessità di dimostrare che i consensi siano stati ottenuti, anche se revocati. Adottare in questo caso una soluzione che utilizzi un meccanismo di blocco preventivo che installi ed esegui i codici solo dopo aver ottenuto il consenso, è già una prova dell’utilizzo corretto dei dati solo post-consenso.

 

5. E NOI CHE C’ENTRIAMO?

Le aziende hanno la completa responsabilità dei dati in loro possesso. 

Anche i fornitori a cui si rivolgono devono essere conformi alle regole della normativa GDPR. Quindi, prediligere partner che possano dimostrare una certificazione ePrivacy allineata o adeguati comunque alla normativa, di conseguenza è un buon modo per rimanere nei termini e avere misure che garantiscano la sicurezza dei dati raccolti.

Inoltre, è solo in caso d’esplicita autorizzazione che la conservazione dei dati può avvenire in server fuori dall’UE e questa normativa riguarda tutte le aziende che utilizzano sistemi informatici e non nella raccolta, conservazione e gestione dei dati sensibili di cittadini europei.

Dopo aver sbobinato a grandi linee i risvolti e gli effetti della nuova direttiva UE, c’è anche da sottolineare che la Confederazione sta facendo propri molti dei punti della normativa sulla privacy ed è probabile che molti di essi verranno a combaciare. 

Quindi come si dice solitamente riguardo al mal di denti: prevenire è meglio che curare.