Guida completa per garantire la conformità al GDPR in 10 passi

In questo articolo ti abbiamo preparato il processo completo, che deve passare chiunque si occupi di promozione con l’aiuto dell’email marketing e allo stesso tempo desideri rispettare il GDPR. L’articolo è stato scritto dalla prospettiva per poter garantire la conformità nel settore dell’email marketing.

1° passo: Scopri i concetti base del GDPR

Il GDPR ovvero dall’inglese il General Data Protection Regulation è un regolamento che è stato emesso dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018.

La legislazione consiste in alcune novità nel settore dell’ottenimento, trattamento e salvataggio dei dati personali.

Le domande fondamentali, alle quali devi saper rispondere sono:

  1. Quali sono i concetti base del GDPR?
  2. Per chi vale il GDPR?
  3. Per quali dati e come vale il GDPR?
  4. Quali sono gli obblighi del titolare del trattamento per dati personali?
  5. Come procedere in caso di violazioni?
  6. Chi è responsabile in caso di violazioni?
  7. Quali sono le sanzioni in caso di violazioni?
  8. Quando inizia a valere il GDPR?

Per queste domande, ti abbiamo preparato delle risposte molto sistematiche e dettagliate al punto giusto, che le puoi trovare in un articolo preparato a parte, al quale, prima di proseguire, ti invitiamo alla lettura.

Tutto quello che devi sapere sul GDPR in 8 passi

In questo articolo scoprirai i concetti base del GDPR, che ti aiuteranno a comprendere ed implementare più facilmente le nuovi leggi nella tua azienda ovvero organizzazione. L’articolo è stato scritto dalla prospettiva della conformità con il GDPR per l’email marketing.

2° passo: Documenta i tuoi processi di trattamento dei dati

Ora che ha scoperto che cos’è il GDRP e cosa richiede da te, devi compiere il passo successivo e cioè fare l’inventario dello stato dei dati personali. Per farlo ti suggeriamo di attenerti alla seguente procedura:

1. Prima specifica lo scopo della raccolta dei dati personali, poi definisci quali sono i dati che raccogli e quindi categorizzarli.

Devi sapere, infatti, che il GDPR prevede prima lo scopo per il quale i dati vengono raccolti. Da questo dipende poi quali sono i dati personali che si raccolgono. Pertanto, bisogna pensare in direzione opposta, come fin ora.

Nella categorizzazione è importante distinguere tra i dati personali comuni (nome, cognome, ecc.) e i dati personali sensibili (dati sull’orientamento sessuale, dati sanitari, ecc.). Nel contesto dell’email marketing solitamente non vengono registrati dati personali sensibili.

Nell’applicazione di SqualoMail (Impostazioni → Conformità al GDPR → Documenta) hai a disposizione un documento che puoi utilizzare come bozza per organizzare tutto questo.

2. Documenta chi tratta i dati personali all’interno dell’azienda, con quali esecutori esterni (responsabili del trattamento) hai stipulato contratti sul trattamento dei dati, con quali partner (riceventi) hai stipulato contratti sul trattamento dei dati e cosa dicono questi contratti riguardo il trattamento dei dati – bisogna garantire la conformità ai contratti.

I documenti devono essere tre (o anche uno diviso in tre parti) e devono includere:

  1. Il documento che contiene l’elenco dei dipendenti che hanno accesso ai dati personali, a quali dati hanno accesso e perché.
  2. Il documento che specifica tutti i responsabili del trattamento dei dati, determina a quali dati ha accesso ognuno di loro e con quale scopo trattano questi dati.
  3. Il documento che determina tutti i riceventi dei dati personali, specifica quali dati personali sono stati forniti loro e a quale scopo.

Ma fai attenzione ai fornitori “quotidiani”, come Gmail, Dropbox, Google Drive, Google Documents, Office 365, ecc. Se utilizzi questi fornitori sicuramente ci sono in gioco molti dati personali.

Se invece hai un negozio online non dimenticarti dei processori di pagamento (PayPal) e delle aziende di consegna (Poste Italiane, ecc.).

Ma non bisogna neanche dimenticarsi dell’Information Commisioner (quando/se ti chiede dati personali).

Qui trovi un bell’esempio: https://www.paypal.com/uk/webapps/mpp/ua/third-parties-list

Nella piattaforma di SqualoMail hai a disposizione un documento che puoi utilizzare come bozza per la documentazione delle persone coinvolte nel trattamento dei dati. Il documento è già compilato per SqualoMail se sei un nostro cliente.

3. Informati con chi i tuoi partner e responsabili del trattamento hanno stipulato contratti per il trattamento dei dati.

Aggiungi ai documenti anche tutti i subesecutori dei tuoi responsabili del trattamento contrattuali specificando quali sono i dati che si trasmettono ai subesecutori e la ragione per la quali questi vengono trasmessi.

Quest’ultimo punto potrebbe essere pericoloso in quanto viviamo nel periodo dell’informatica cloud, significa che alcuni responsabili del trattamento potrebbero utilizzare un alto numero di subesecutori e devono perciò garantire la conformità ai contratti.

Ovviamente i più problematici sono i responsabili del trattamento con sede al di fuori dell’UE. Perché in base a quello che abbiamo scritto, p.es. le aziende statunitensi, dovrebbero stipulare tra di loro contratti in conformità al GDPR. Ma siamo ancora molto lontani da tutto ciò, per questo ti consigliamo di essere estremamente cauto nel confidare dati personali ai responsabili del trattamento che non conosci bene e che hanno sede al di fuori dell’UE.

SqualoMail è proprietario dell’infrastruttura che possiede e, per quanto riguarda i dati personali, non ha alcun esecutore esterno, i nostri clienti perciò non hanno nulla di cui preoccuparsi. Anche tutti i nostri server sono nell’UE e i dati non vengono mai trasmessi fuori dall’UE.

4. Specifica se si tratta di dati personali non sensibili o dati personali sensibili.

I dati personali sensibili sono quelli sull’orientamento sessuale, la razza, dati sanitari, …

Se tratti dati personali sensibili, probabilmente avrai bisogno di un DPO. In questo caso ti consigliamo di contattare uno studio legale professionale.

5. Specifica dove questi dati personali vengono custoditi.

Qui è importante specificare sia le forme elettroniche sia le forme fisiche della registrazione dei dati. Ovviamente non devi dimenticarti delle copie di sicurezza.

6. Specifica dove e in che modo i dati personali vengono processati.

È soprattutto fondamentale prevedere tutti i punti – all’interno della tua organizzazione e al di fuori di essa – dove avviene il contatto con i dati. Gli esempi quindi possono essere molto diversi – dalla navigazione nel database del CRM, il controllo dei risultati delle campagne di email marketing, al pagamento degli stipendi ai dipendenti – quindi là dove nel processo aziendale sono coinvolti dati personali.

7. Specifica chi ha accesso a questi dati.

Degli esecutori interni ed esterni ne abbiamo già parlato nel 2° passo, ma non dobbiamo dimenticarci dei dipendenti (o responsabili del trattamento esterni), che, anche se non per il trattamento, possono accedere ai dati. L’esempio più comune è il reparto IT, che crea le copie di sicurezza dei dati.

Attenzione se si creano copie di sicurezza cloud – in questo caso è necessario codificare le copie di sicurezza con una password.

8. Indica quali misure sono state adottate e implementate per la protezione dei dati.

Se non hai ancora definito la politica della sicurezza, ora è il momento giusto per farlo. Ti suggeriamo di assumere esperti adeguati. Se invece ce l’hai già, ti consigliamo di riesaminarla per assicurarti che sia in conformità al GDPR – anche per questo è meglio rivolgersi a degli esperti.

SqualoMail ovviamente ha la sua politica della sicurezza e ti suggeriamo di leggerla. Ma puoi anche usarla come base per scrivere la tua politica.

9. Determina il periodo di conservazione dei dati.

Un aspetto molto importante del trattamento dei dati è anche il periodo di conservazione dei dati. È necessario definire una politica di conservazione dei dati (ingl. Data retention policy), dove definire chiaramente, per ogni scopo, quanto tempo i dati verranno trattenuti, ovvero conservati, e in che modo questo verrà effettuato.

Gli elementi chiave che bisogna definire in termini dell’email marketing, sono:

  1. Di custodire i dati dei destinatari, che ricevono le tue news, fino a che continuano a leggerle o non annullano l’iscrizione.
  2. Di custodire i dati dei destinatari che hanno annullato l’iscrizione per almeno (esempio) 1 anno.
  3. Di cancellare i dati dei destinatari che richiedono la cancellazione, in 5 giorni dalla loro richiesta.
  4. Di cancellare i dati dei destinatari che non annullano l’iscrizione, ma non leggono nemmeno le tue news (per esempio) da più di 1 anno. Ciò ha senso non solo dal punto di vista del GDPR ma anche dal punto di vista del grado di deliverability dei tuoi messaggi.
  5. Di conservare i dati sulle domande dei destinatari (metadati), salvati nella traccia di audit, per almeno (per esempio) 2 anni dopo la cancellazione.
Non dimenticarti di accordare questa politica con i tuoi responsabili del trattamento.
SqualoMail ti dà a disposizione tutti gli strumenti per automatizzare questa politica. Verrà pubblicato in breve un articolo su questo tema, ma intanto puoi vedere tutte le opzioni nelle Impostazioni → Conformità al GDPR.

3° passo: Prepara la Valutazione d’impatto sulla protezione dei dati (data protection impact assessments (DPIA).

La Valutazione d’impatto sulla protezione dei dati è un processo (di seguito useremo l’abbreviazione inglese DPIA), che ti aiuta a identificare e diminuire i rischi che si manifestano nel trattamento dei dati personali.

Il GDPR richiede la preparazione del DPIA per tutti i processi, “che potrebbero indicare un alto rischio per i diritti e per le libertà delle persone fisiche”.

Le tre categorie principali, per le quali il GPR richiede il DPIA, sono:

  1. la valutazione sistematica e ampliata degli aspetti personali delle persone fisiche – inclusa la profilazione;
  2. il trattamento dei dati su larga scala, soprattutto se si tratta di dati sensibili;
  3. sorveglianza sistematica degli spazi pubblici su larga scala.

In generale l’email marketing rientra nella prima categoria, visto che i titolari del trattamento raccolgono i dati sui messaggi aperti, sui click, ma anche sulla posizione del destinatario, ecc.

Di conseguenza questo offre la possibilità di profilare in base alle preferenze, la posizione, la lingua, ecc. Per poter sfruttare tutte le opportunità dell’email marketing, è dunque necessario un DPIA.

Il DPIA è un documento che specifica il processo e i rischi e comprende i seguenti punti:

  1. La descrizione della natura, ambito, portata, contesto e scopo del processamento.
  2. La valutazione della necessità, proporzionalità e conformità dei provvedimenti.
  3. L’identificazione e la valutazione del rischio per le persone fisiche.
  4. L’identificazione di misure aggiuntive per diminuire i rischi.

Nella valutazione del rischio bisogna tener conto sia della probabilità che della gravità d’impatto sulle persone fisiche. Un alto rischio, infatti, si può verificare in casi dove la probabilità è alta, mentre la gravita di impatto bassa, ma anche in casi dove la probabilità è bassa, la gravita d’impatto invece è alta.

L’email marketing rientra nel gruppo dei processi dove la probabilità del rischio è bassa, mentre la gravità d’impatto è alta.

I problemi si verificano solo in caso di intrusione nel sistema e di violazioni da parte di dipendenti o partner, questo abuso infatti compromette una grande quantità di dati personali, visto che i database di solito contengono migliaia, se non decine di migliaia di individui.

Non dimenticarti di informare sul DPIA tutti i partecipi del processo del trattamento dei dati personali.

Per preparare il DPIA conviene attenersi ai seguenti passaggi:

  1. Identifica la necessità del DPIA
  2. Descrivi il processo
  3. Considera un aiuto legale
  4. Valuta la necessità e la proporzionalità
  5. Identifica e valuta il rischio
  6. Identifica le misure per diminuire il rischio
  7. Annota i risultati
  8. Includi i risultati nel piano
  9. Riesamina il processo

Poiché l’analisi dettagliata di tutti questi passaggi va oltre l’obiettivo di questo articolo, in seguito ti presentiamo un documento ufficiale (in inglese) per l’applicazione del DPIA, preparato dal gruppo dell’Unione europea per la protezione dei dati. Disponibile qui.

La piattaforma di SqualoMail ti dà a disposizione un documento, che puoi utilizzare come base per preparare la tua Valutazione d’impatto sulla protezione dei dati – DPIA. Lo trovi nelle Impostazioni → Conformità al GPR.

4° passo: Valuta la necessità di avere un responsabile della protezione dei dati personali – data protection officer (DPO)

Il responsabile della protezione dei dati personali (di seguito il DPO) è un esperto della sicurezza aziendale, richiesto dal GDPR in alcuni casi. Il compito del DPO è supervisionare la strategia del trattamento dei dati personali in un’azienda o organizzazione e introdurre provvedimenti, che garantiscano la conformità al GDPR.

Il DPO deve:

  1. Essere indipendente – non può esserlo chi ha un interesse diretto o indiretto nel trattamento dei dati personali. Il ruolo del DPO può essere affidato anche a qualcuno che lavora nell’azienda, ma probabilmente tutti i dipendenti che lavorano nel marketing, nella vendite, l’IT, contabilità, risorse umane, …, non sono adatti a occupare questa posizione. Solitamente è meglio rivolgersi a esperti esterni.
  2. Essere un esperto nella protezione dei dati – il DPO deve avere buone conoscenze sia sulla sicurezza fisica che quella informatica, in quanto deve fornire un servizio completo.
  3. Avere le risorse adeguate – per poter svolgere il suo lavoro, il DPO deve disporre di sufficienti informazioni, accessi adeguati e meccanismi di sicurezza.
  4. Avere l’accesso diretto alla direzione dell’azienda – In caso di discordanze nella politica della sicurezza con il GDPR, il DPO deve avere la possibilità di avvertire direttamente la direzione dell’azienda/organizzazione.

Il DPO è obbligatorio, se:

  1. sei un Ente Pubblico,
  2. la tua attività principale prevede il trattamento dei dati personali su larga scala, una frequente e sistematica sorveglianza di individui (per esempio il monitoraggio del comportamento delle persone fisiche sul web),
  3. la tua attività principale prevede il trattamento dei dati personali sensibili su larga scala.

Molte aziende o organizzazioni, che non svolgono il ruolo di titolari del trattamento, non necessitano di un DPO, ne ha invece bisogno la maggior parte dei responsabili del trattamento dei dati.

Le piccole e micro imprese non sono necessariamente esenti dall’obbligo di avere un DPO – tutto dipende dalla portata del raccoglimento dei dati personali.
SqualoMail, essendo responsabile del trattamento, ha un DPO, i titolari del trattamento, che fanno email marketing, invece no.

5° passo: Stipula dei contratti con i tuoi responsabili del trattamento dei dati

Puoi cedere i dati personali, che gestisci come titolare del trattamento, al responsabile del trattamento solo quando con lui hai stipulato un contratto. Oltre ad essere richiesto dal GDPR, è anche un meccanismo di sicurezza che serve a far comprendere ad entrambe le parti, a te e al responsabile del trattamento, i propri obblighi e le responsabilità.

Il GDPR afferma che i titolari del trattamento sono responsabili della conformità e che possono collaborare solamente con responsabili del trattamento che offrono “sufficienti garanzie” nel soddisfare i requisiti del GDPR e rispettare i diritti delle persone fisiche.

In futuro saranno a disposizione programmi di certificazione che serviranno a garantire in modo obiettivo la conformità del responsabile del trattamento al GDPR, ma fino ad allora il peso delle verifiche ricade sui titolari del trattamento.

I responsabili del trattamento possono gestire i dati solo in base alle istruzioni documentate (che fanno parte del contratto) del titolare.

Il passaggio chiave per introdurre la conformità al GDPR è quindi la verifica dei responsabili del trattamento e la stipulazione di contratti adeguati. SqualoMail preparerà per tutti i suoi clienti un contratto, che definirà chiaramente i compiti e le limitazioni del responsabile del trattamento e l’indirizzo del titolare – in breve, tutto quello che il GDPR richiede.

In questo modo semplificheremo ai nostri clienti il processo di introduzione della conformità, alleggerendoli dal lavoro e dalle preoccupazioni.

6° passo: Garantisci la traccia di audit

La traccia di audit (ingl. audit trail) è un meccanismo di sicurezza che stabilisce una panoramica cronologica degli avvenimenti verificatisi con un dato personale.

Di solito è impostata come diario e contiene (almeno) i seguenti dati:

  • Tempo dell’avvenimento (data e ora)
  • Autore dell’avvenimento (utente o destinatario che ha eseguito l’avvenimento)
  • Tipo di avvenimento (per esempio: modifica dei dati, accesso ai dati, cancellazione dei dati, ecc.)
  • Parametri dell’avvenimento (per esempio: cambio del cognome, aggiunta della data di nascita, ecc.)

La traccia di audit deve distinguersi dal resto dei dati e non essere mischiata con altri dati nello stesso database.

Il GDPR richiede a tutti i titolari e ai responsabili del trattamento di condurre le tracce di audit per tutti i dati personali. In base a queste, infatti, è possibile scoprire casi di potenziali abusi.

È obbligatorio controllare che tutti i responsabili del trattamento registrino la traccia di audit o ti permettano di accedere ad essa. Se non ne sei certo chiedi e verifica anche nella pratica.

Nella traccia di audit si possono trovare anche determinati dati personali, perciò è necessario che l’accesso alla traccia sia limitato e che anche questo venga registrato. Come titolare del trattamento hai il diritto di conservare una traccia di audit per un dato personale, anche se il suo proprietario richiede la cancellazione di tutti i dati. In questo caso si tratta della precedenza che hanno alcune legislazioni rispetto al GDPR, ovvero della necessità di conservare dati come prove in caso di abusi.

Un esempio in cui la traccia di audit è indispensabile

Nel tuo database hai un destinatario che ti ha fornito il consenso per il trattamento dei suoi dati personali e in base a questo consenso gli hai inviato una newsletter.

Ad un certo punto richiede la cancellazione di tutti i dati. Dopo aver effettuato la cancellazione, come previsto dal GDPR, il destinatario ti denuncia all’Information Commisioner accusandoti di non avere avuto il suo consenso per il trattamento dei dati (ed inviare la newsletter).

Quando poi quest’ultimo ti chiede delle prove, se non hai la traccia di audit, non potrai mostrargli nulla, visto che tutti i dati sono stati cancellati. Ciò significa che sarai automaticamente colpevole, il destinatario dimostrerà con facilità che hai trattato i suoi dati (mostrando la newsletter ricevuta), tu invece sarai senza argomenti e non potrai dimostrare di aver avuto il suo consenso.

SqualoMail garantisce la traccia di audit completa a tutti i suoi clienti, sia per i destinatari che per i riceventi. L’accesso ad essa è consentito al titolare dell’applicazione – l’amministratore.

7° passo: Completa i punti della raccolta dei dati personali

Nel 2° passo hai, tra l’altro, documentato anche tutti i punti della raccolta dei dati personali, quindi ora possiedi già tutte le informazioni su dove e cosa bisogna regolare.

I punti della raccolta dei dati personali possono essere la registrazione nel negozio online, la raccolta dei dati tramite il form su Facebook, il modulo di iscrizione sul sito web, il pop-up sul sito web, ecc.

Di seguito abbiamo descritto in modo dettagliato la raccolta di dati tramite i moduli di iscrizione e le finestre pop-up, visto che questi sono i due metodi più usati:

I consensi che bisogna raccogliere devono essere diversi per ogni scopo – quindi ogni scopo ha bisogno della propria casella di conferma. Nel contesto dell’email marketing ce ne sono sempre almeno due:

  1. “Autorizzo il trattamento dei dati per inviare le news”
  2. “Autorizzo il trattamento dei dati con lo scopo di migliorare il contenuto delle news”

Ma bisogna spiegare perché i due scopi devono essere separati. Il primo scopo è, per esempio, la raccolta dell’indirizzo email per inviare le news, mentre il secondo scopo prevede la raccolta dei dati sull’indirizzo IP, i dati sulla posizione che ne derivano, i dati sul client, la risoluzione dello schermo, il browser, ecc., con il fine di migliorare il tempo di invio, il formato di invio, il contenuto, ecc. In quest’ultimo caso si tratta quindi della profilazione.

Secondo il GDPR, il destinatario deve sempre avere la possibilità di dare il consenso per l’elaborazione di un determinato numero di dati per uno scopo, il che significa che per la profilazione avrai bisogno di un consenso aggiuntivo.

Le caselle di conferma non devono essere già segnate, è comunque sensato aggiungere ad ognuna un collegamento che spieghi cosa significhino. La descrizione dettagliata deve includere le seguenti informazioni:

  1. Quali sono i dati che vengono raccolti – non dimenticarti di informare il destinatario che oltre ai dati che ha inserito nei campi, si raccolgono anche altri dati, come la data di iscrizione, l’indirizzo IP del computer, dal quale è stata effettuata l’iscrizione e i dati sui click successivi.
  2. Con che scopo vengono raccolti i dati – oltre, chiaramente, all’indirizzo email dove si inviano le news, è necessario indicare anche il motivo per il quale si raccolgono gli indirizzi IP all’iscrizione – per la traccia di audit. Bisogna spiegare al destinatario la ragione per la quale si raccolgono i dati sui click – per verificare le attività del destinatario e, in quanto questi non è attivo, cancellarlo. Lo scopo della raccolta dei dati è anche quello di inviare le notizie giuste al momento giusto.
  3. Per quanto tempo intendi conservare i dati – il GDPR richiede di definire chiaramente dopo quanto tempo i dati verranno cancellati. Una politica di conservazione appropriata sarebbe, per esempio:
    1. Destinatari attivi – tempo indeterminato
    2. Destinatari non attivi – 1 anno dopo l’ultimo messaggio aperto o click a un collegamento
  4. Dove può il destinatario modificare i suoi dati personali e i consensi – è necessario informare i destinatari su dove possono modificare i propri dati personali e dove possono dare o rievocare i consensi per il trattamento dei dati personali. La possibilità di modifica deve essere gratuita, semplice e veloce. La soluzione migliore è una pagina web a parte, dove il destinatario può fare tutto in un unico posto.
  5. Con chi (e se) i dati verranno condivisi – non c’è bisogno di informare i tuoi destinatari sui tuoi responsabili del trattamento, ma bisogna avvertirli se e quando i loro dati vengono condivisi con altri soci d’affari (il GDPR li definisce come “riceventi” dei dati personali).
In ogni caso conviene aggiungere e sottolineare nella spiegazione anche i vantaggi del trattamento dei dati personali per il destinatario. Questa, infatti, è la ragione principale per la quale i destinatari ci danno il consenso per il trattamento dei loro dati personali.
Secondo il GDPR non è consentito mascherare le informazioni sopra elencate in delle condizioni generali d’uso lunghe e complicate.
SqualoMail permette di aggiungere, registrare, conservare, modificare e gestire in modo semplice i consensi dei destinatari.

8° – 11° passo: La prossima settimana

8° passo: Ottieni i consensi dei tuoi destinatari esistenti
9° passo: Consenti ai destinatari tutti i diritti previsti dal GDPR
10° passo: Avvia il wizard di SqualoMail per introdurre la conformità al GDPR e utilizza tutti gli strumenti per la conformità al GDPR
11° passo: Elimina gradualmente i dati per i quali non hai il consenso