Guida completa per garantire la conformità al GDPR in 10 passi

In questo articolo ti abbiamo preparato il processo completo, che deve passare chiunque si occupi di promozione con l’aiuto dell’email marketing e allo stesso tempo desideri rispettare il GDPR. L’articolo è stato scritto dalla prospettiva per poter garantire la compatibilità nel settore dell’email marketing.

1° passo: Scopri le basi del GDPR

Il regolamento generale dell’Unione europea sulla protezione dei dati personali (ingl. General Data Protection Regulation, conosciuto anche con le sigle GDPR) è un regolamento che è stato emesso il 27 aprile 2016 dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018.

Nella maggior parte dei casi, il Parlamento europeo adotta direttive che vengono poi introdotte dai membri dell’UE nelle loro legislazioni, ma in questo caso si tratta di un regolamento, il che vuol dire, che sarà valido direttamente e in modo uguale in tutti i paesi membri.

Data la legislazione (nazionale) già esistente, il nuovo regolamento apporta molte novità, da una parte sfide e agguati, dall’altra parte invece l’unificazione e anche (specialmente se si fanno affari in diversi paesi dell’UE) la semplificazione.

Concetti

  1. Dato personale – qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

    Il regolamento definisce esplicitamente, che si tratta di persone fisiche, il che vuol dire che distingue chiaramente tra persone fisiche e persone giuridiche.Nel contesto dell’email marketing bisogna contraddistinguere tra:

    1. cognome@gmail.com – persona fisica
    2. cognome@nome-azienda.it – persona fisica (attenzione!)
    3. info@nome-azienda.it – persona giuridica

    Durante il trattamento dei dati bisognerà perciò prima distinguere gli indirizzi email generici (info@, vendita@, …) dagli indirizzi di persone fisiche. Il GDPR, infatti, non si applica agli indirizzi generici.

  2. Trattamento – qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

    Nel contesto dell’email marketing bisogna distinguere tra:

    1. Raccolta e utilizzo di indirizzi email per l’invio di messaggi email.
    2. Raccolta di informazioni aggiuntive sul destinatario per scopi di profilazione – sia automatica che manuale – queste informazioni includono p.es. il sesso, l’età, ecc., come anche la data e l’ora di lettura dei messaggi email, click ai collegamenti, geolocalizzazione, ecc.
  3. Titolare del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

    Nel contesto dell’email marketing il titolare è l’azienda, che ottiene i consensi per il trattamento dei dati personali. Il titolare è quello che raccoglie gli indirizzi email, li ha salvati ed a loro invia i messaggi email (quindi il mittente; probabilmente Tu, gentile lettore).

  4. Responsabile del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
    Nel contesto dell’email marketing si tratta dell’offerente della tua piattaforma di email marketing (per esempio noi, SqualoMail).
    Il responsabile del trattamento tratta i dati rispettando le istruzioni del titolare.
  5. Ricevente: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati;
    Il ricevente è quindi il tuo socio d’affari con il quale condividi i dati personali.
  6. Profilazione – qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
    Qui vorremmo evidenziare che secondo la nostra interpretazione, eseguire manualmente i filtri sui destinatari viene considerato come trattamento automatizzato di dati personali, e perciò non richiede un ulteriore consenso. Ma ne parleremo di più su in seguito.

 

Esempi

Di seguito ti abbiamo preparato alcune tra le situazioni più frequenti, che prevede il GDPR. Le situazioni sono state create soprattutto nel contesto dell’email marketing, però possono essere utili anche più in generale.

Sito web/Negozio online

  1. La personavisita il sito web dell’azienda,dove iscrivendosi alla newsletter inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter. In questo modo questa persona diventa un Destinatario.
  2. Dall’altra parte invece Il proprietario dei sito web che ottiene i dati ed il consenso diventa il Titolare del trattamento dei dati personali del Destinatario.
  3. Il proprietario del sito web poi affida i dati del Destinatario all’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale ha già un contratto di trattamento dei dati. Questa azienda diventa così il Responsabile del trattamento.
Tutto questo (può accadere) accade automaticamente con l’aiuto di un modulo sulla pagina del Titolare, che è direttamente collegato alla piattaforma per l’email marketing.

 

Agenzia web

  1. La persona visita il sito web dell’azienda, dove iscrivendosi alla newsletter inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter. In questo modo questa persona diventa un Destinatario.
  2. Dall’altra parte invece Il proprietario dei sito web che ottiene i dati ed il consenso diventa il Titolare del trattamento dei dati personali del Destinatario.
  3. Il proprietario del sito web poi affida i dati del Destinatario all’agenzia di digital marketing. l’Agenzia diventa con questo il Responsabile del trattamento. Tra il Titolare e il Responsabile deve essere stabilito un contratto per il trattamento dei dati personali.
  4. L’Agenzia collabora con un’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale ha già un contratto di trattamento dei dati. Anche questa azienda diventa il Responsabile del trattamento.
Il Titolare del trattamento deve dare all’Agenzia le istruzioni per il trattamento dei dati personali, e questa le deve poi trasferire correttamente sulla piattaforma per l’email marketing.

Condivisione dei dati personali

  1. La persona visita il sito web dell’azienda, dove iscrivendosi alla newsletter con una certa tematica, inserisce il suo indirizzo email e da il consenso per gli invi delle newsletter con una certa tematica e accetta, che i suoi dati vengano inoltrati al Ricevente. In questo modo questa persona diventa un Destinatario.
  2. L’Agenzia ricevendo i dati ed il consenso diventa Il Titolare del trattamento dei dati personali del Destinatario.
  3. L’Agenzia poi affida i dati personali al pubblicitario. Con questo diventa il Ricevente. Tra il Titolare ed il Ricevente deve essere stabilito un contratto per il trattamento dei dati personali.
  4. Il pubblicitario collabora con un’azienda che offre la piattaforma per l’email marketing — come per esempio SqualoMail — con la quale deve avere un contratto di trattamento dei dati. Questa azienda diventa il Responsabile del trattamento.

 

A chi si applica il GDPR

Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.

Significa che la sede dell’organizzazione non è rilevante e che il GDPR si applica anche alle aziende statunitensi, se queste trattano i dati degli europei.

L’organizzazione in questo contesto significa un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono (altre) persone fisiche.

Il GDPR si applica anche a tutti i tuoi esecutori contrattuali (responsabili del trattamento), indipendentemente da dove si trovino (nell’UE o altrove). Ma la responsabilità che siano conformi al GDPR è (anche) tua.

Non è possibile, infatti, trasferire le responsabilità sui partner contrattuali, perciò è molto importante verificare che tutti i partner siano conformi al GDPR e stipulare con essi un contratto

In questo contesto bisognerà fare molta attenzione all’informatica cloud (incluse le piattaforme di email marketing) e ai fornitori di marketing non europei (maggiormente statunitensi). Molti di loro si occupano del marketing a forfait (o neanche) e secondo la “legge del minimo sforzo”.

Avere responsabili di trattamento di dati al di fuori dell’UE rappresenta un rischio più elevato di discordanze e di conseguenza, sanzioni.

 

A quali dati si applica il GDPR

Il GDPR si applica a tutti i dati personali, trattati dalla tua organizzazione. Questo include anche i dati dei tuoi clienti o acquirenti, e attenzione, anche i dati dei tuoi partner (fornitori) e dei tuoi dipendenti.

Questo significa che dovrai cambiare la tua mentalità riguardo il trattamento dei dati personali e cominciare a vedere le cose da un’altra prospettiva.

Tuttavia, è fondamentale distinguere tra i dati personali e i dati di carattere pubblico.

I dati di carattere pubblico non sono (necessariamente) i dati pubblicati! Se per esempio una persona rivela pubblicamente il suo indirizzo email (p.es. su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tantomeno inviar un messaggio email a questo indirizzo.

Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.

Anche l’indirizzo email professionale non è un dato pubblico, nonostante sia pubblicato sul sito web. Nome.cognome@certa-azienda.it è ritenuto come dato personale, che senza permesso non hai il diritto di trattare.

Tuttavia, gli indirizzi email generici sono dati di carattere pubblico. Info@certa-azienda.it non rientra sotto la giurisdizione del GDPR e per il trattamento di questi dati non hai bisogno di alcun consenso esplicito. Ma devi, se invii messaggi email a questi indirizzi, sempre dare e rispettare la possibilità di annullare l’iscrizione.

Un ulteriore esempio di raccolta legittima di dati è la raccolta di dati aggregati. Questi infatti non determinano nessuna persona fisica in particolare, perciò raccoglierli, secondo il GDPR, è consentito.

Ma, a questo riguardo, è necessario fare molta attenzione, visto che bisogna effettivamente garantire che i dati siano anonimizzati in modo che non sia più possibile ripristinare le informazioni sull’individuo a cui si riferiscono.

Un esempio di scarsa anonimizzazione è, ad esempio, disporre dei dati sulla via, il numero civico e la città. A prima vista questi sembrano dati anonimizzati, visto che allo stesso indirizzo possono vivere anche più persone, ma in caso ci viva una sola persona, si tratta di dati personali, visto che la persona può essere determinata.
Il GDPR prevede anche casi di questo tipo, che vengono interpretati come dati personali.

Bisogna poi evidenziare la differenza tra i dati obbligatori e quelli non obbligatori – e qui non si tratta di un obbligo determinato dal titolare (per esempio come campo obbligatorio all’iscrizione, perché così ha deciso e perché questi dati gli “faranno comodo”), ma di una necessità obiettiva di un dato personale.

Il GDPR precisa che è consentito raccogliere dati che sono appropriati, rilevanti e necessari per eseguire il servizio ordinato (adequate, relevant, and not excessive in relation to the purposes for which they are processed).

Esempio: Per ricevere una Newsletter è necessario che il titolare ottenga l’indirizzo email, ma non è necessario che il titolare ottenga anche i dati sulla data di nascita.

Per questo motivo il GDPR chiede ai titolari di raccogliere sempre il minor numero di dati necessari per ogni scopo.

In pratica questo significa che i dati su un determinato click, legato all’indirizzo email, sono dati personali.

Allo stesso tempo, la cronologia dei click per un destinatario non è necessariamente indispensabile per garantire il servizio primario (p.es. l’invio delle news). Perciò è necessario dare al destinatario la possibilità di cancellarsi solamente da questa sezione di dati e, di conseguenza, dalla profilazione – dove vengono create nuove liste e segmenti.

L’impossibilità di ottenere la cronologia dei click per i destinatari non significa necessariamente che non sia possibile raccogliere il numero o il grado dei click – questi sono, infatti, dati aggregati.

È molto importante anche la nuova richiesta, che dice che il GDPR si applica anche ai dati raccolti prima dell’introduzione del GDPR. In pratica questo significa che devi:

  1. Controllare innanzitutto quali sono i consensi che hai per i tuoi dati esistenti – se sono (già) in conformità al GDPR. Se la risposta è Sì, non hai bisogno di raccogliere ulteriori consensi.
  2. Se non è così, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati.

Il condizionamento dei servizi con il consenso per il trattamento dei dati personali non è (più) consentito.

In pratica questo significa che bisognerà modificare le campagne di email marketing, dove, per esempio, proponi al destinatario un e-book chiedendogli di registrarsi per il trasferimento del libro e di iscriversi automaticamente alle tue e-news.

L’iscrizione alle e-news deve essere proposta come opzione indipendente (essere indicata con un segno di spunta) e non deve essere implicita (già selezionata).

Gli obblighi del titolare

Il GDPR richiede al titolare di garantire ai destinatari, in maniera semplice, trasparente e sicura, determinati diritti, che fin ora erano garantiti solo parzialmente o non lo erano affatto. Questi diritti sono i seguenti:

  1. Il titolare deve definire la base giuridica sulla quale gli è consentito il trattamento dei dati personali. Degli esempi di basi giuridiche sono i consensi, interessi legittimi, base legale, obblighi contrattuali, … Fornire dei servizi ai clienti è sicuramente una base giuridica di questo tipo, ma bisogna fare attenzione a raccogliere la quantità minima di dati personali necessaria.
    Per l’email marketing la base giuridica viene solitamente fornita dal consenso esplicito del destinatario.
  1. Il titolare deve garantire un consenso volontario e trasparente del destinatario sul trattamento dei dati. Se ti occupi del trattamento dei dati personali dei bambini, dovrai chiedere il consenso ai loro genitori. Per l’email marketing, una decisione trasparente e volontaria significa, che devi includere all’inizio del modulo di iscrizione una casella vuota, quindi senza segno di spunta, per il consenso allo scopo del trattamento.
    SqualoMail fornisce al ricevente e al destinatario un modo semplice e veloce per raccogliere questo tipo di consensi, interamente conforme al GDPR.
    1. Il titolare deve garantire al destinatario il diritto di informazione. Questo significa che:
      1. I dati personali si ottengono direttamente dal destinatario o esiste un consenso esplicito, ottenuto da uno dei nostri partner, che ha raccolto questi dati direttamente, e che permette al titolare di utilizzarli
      2. Le informazioni sui quali dati si raccolgono, perché si raccolgono e quanto tempo verranno custoditi devono essere chiare, concise, trasparenti, comprensibili, facilmente accessibili e gratuite. Quest’ultimo non va definito nelle condizioni generali di contratto in una lingua legale e difficile da capire né occultato in altro modo. Il modo giusto è presentarlo in maniera chiara ed esplicita nel momento in cui il destinatario consegna i suoi dati personali al titolare.
I moduli di SqualoMail forniscono un modo chiaro di informare sulla raccolta dei consensi.
  1. Il titolare deve garantire al destinatario il diritto di accesso ai propri dati personali. Questo significa che deve esserci un modo semplice e sicuro per il destinatario di informarsi sui dati che sono stati raccolti e quelli che si stanno ancora raccogliendo.
  2. Il titolare deve garantire al destinatario il diritto di rettifica dei propri dati personali. Questo significa che deve esserci una procedura semplice e sicura, sulla cui base il destinatario può modificare i propri dati personali a sua libera scelta.
    SqualoMail semplifica il processo per i propri clienti (i titolari) consentendo ai destinatari l’accesso automatizzato, ma allo stesso tempo sicuro, e la modifica dei loro dati personali.
  1. Il titolare deve garantire al destinatario il diritto di cancellare (dimenticare) i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario può richiedere la cancellazione di tutti i suoi dati personali.Bisogna sottolineare che il GDPR non ha una precedenza “assoluta” rispetto alle altre leggi e il titolare può anche respingere questo tipo di richiesta o soddisfarla solo parzialmente, se ha altre basi giuridiche per custodire tali informazioni.Un bell’esempio sono i dati degli acquirenti nel negozio online: L’azienda è tenuta a conservare i dati degli account e, di conseguenza, degli acquirenti anche diversi anni dopo l’acquisto, perciò si potrà soddisfare la richiesta di cancellazione solo in parte.
    SqualoMail consente ai suoi clienti (titolari) di automatizzare in modo sicuro il processamento delle richieste dopo la cancellazione.
  1. Il titolare deve garantire al destinatario il diritto di trasferire i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario ottiene i suoi dati personali in un formato leggibile (che possano essere elaborati facilmente con il computer – per esempio in formato XML o CVS). Il destinatario potrebbe poi trasferire questi dati, per esempio, da un altro fornitore di servizi.
    SqualoMail consente ai suoi clienti (titolari) un modo automatizzato e sicuro per i destinatari di esportare i propri dati personali in formato XML, conforme al GDPR. Allo stesso tempo permette anche l’esportazione differenziata per gli utenti in formato CSV.
  1. Il titolare deve garantire al destinatario il diritto di obiezione. Questo significa che il titolare deve dare al destinatario la possibilità di revocare qualsiasi consenso, che abbia mai dato al titolare. Questo include sia i consensi per scopi diretti (p.es. invio delle Newsletter), come anche per scopi indiretti (p.es. la possibilità di profilazione).
    SqualoMail consente a tutti i destinatari di dare o revocare un consenso per il trattamento dei dati in modo semplice, chiaro e sicuro. Pertanto, il titolare non avrà contrattempi e costi aggiuntivi nel garantire la conformità al GDPR.
  1. Il titolare deve garantire una traccia di audit delle operazioni con i dati personali. Questo significa che ogni dato in caso di accesso, modifica e cancellazione, viene anche registrato.Si tratta dei così detti metadati (i dati sui dati) che devono essere memorizzati per poter ricostruire in modo semplice il ciclo di vita dei dati.È necessario sottolineare che bisogna fornire anche i dati su chi e quando ha avuto accesso ai dati e che questo vale sia per i destinatari che per i dipendenti del titolare o del titolare del trattamento.Il titolare deve avere facile accesso alla traccia di audit, perciò è necessario che il titolare si assicuri che tutti i titolari del trattamento abbiano una traccia di audit e che questa sia a disposizione del titolare.
    SqualoMail offre una traccia di audit completa, coerente e accurata per tutte le situazioni – sia per le iscrizioni, cancellazioni, modifiche, approvazione o revoca dei consensi, accesso ai dati, accesso alle parti dell’applicazione, accessi tramite l’API utente o di sistema. Questo significa che tutti i passi del trattamento dei dati vengono registrati, come previsto dal GDPR.

Oltre a quello che abbiamo elencato sopra, il titolare deve, in caso di trattamento di maggiori quantità di dati, o in caso abbia oltre 250 dipendenti, determinare anche il c.d. DPO – Data protection officer

È una persona che garantisce la conformità della sicurezza dei dati personali relativa al GDPR. Questa persona può essere assunta dall’azienda, ma non deve avere conflitti di interesse.

Non può esserlo chi lavora nel campo del marketing, dell’amministrazione, delle risorse umane o dell’IT. La cosa più sensata è assumere qualcuno da fuori che si prenda carico di questo ruolo.

La maggior parte dei titolari non avrà bisogno di un DPO, ma sarà invece d’obbligo per quelli che trattano grandi quantità di dati o trattano dati sensibili.

Le aziende che avranno sicuramente bisogno del DPO sono i fornitori delle piattaforme di email marketing. Ogni titolare deve controllare che il suo fornitore abbia un DPO. Per SqualoMail la risposta è ovviamente affermativa.

 

Come procedere in caso di violazioni

La novità, introdotta dal GDPR, è anche un modo più chiaro e rigoroso di agire in caso di violazioni.

In caso di abuso (irruzione nel sistema informatico, violazione da parte dei dipendenti, violazione da parte dei soci, …) è necessario informare in meno di 72 ore gli organi competenti – il titolare delle informazioni o la polizia se sei stato vittima di un reato, che come conseguenza ha compromesso la sicurezza dei dati personali.

Non denunciando il fatto potresti essere sanzionato, il che vuol dire che avrai subito danni due volte.

In caso di violazioni gravi (il GDPR definisce come violazione grave la violazione “dei diritti e delle libertà” del destinatario) bisogna informare anche il destinatario – nel contesto dell’email marketing è necessario informarlo solo in caso qualcuno abbia fatto irruzione nel sistema informatico (nel tuo o in quello del responsabile del trattamento contrattuale) e abbia rubato i dati personali dei destinatari).

Responsabilità in caso di violazione

È importante sapere che per la gestione dei dati è sempre responsabile il titolare.

Questo significa che il titolare non potrà pronunciarsi sui contratti che ha stipulato con i suoi partner o responsabili del trattamento (eccetto, ovviamente, in casi evidenti).

In pratica questo significa che i servizi di ispezione continueranno a esercitare la vigilanza sui titolari e solo successivamente sui responsabili del trattamento.

Ci sarà invece meno sorveglianza dei responsabili del trattamento al di fuori dell’UE. Il GDPR afferma che per loro valgono le stesse regole, ma è chiaro che metterle in atto in pratica sarà più difficile. Di conseguenza i servizi di ispezione si concentreranno ancora di più sui titolari.

Se i tuoi responsabili del trattamento non hanno sede nell’UE, fa molta attenzione che siano conformi al GDPR. A causa delle ridotte possibilità di essere multati, della lontananza e assenza di contatti nell’UE, hanno meno voglia e interesse di essere in conformità al GDPR, rispetto alle ditte con sede nell’UE.

Stai attento anche ai responsabili del trattamento con i quali non hai contatti personali diretti. Le aziende che evitano il contatto, e quindi non sono pronte a rivelare in maniera pubblica e chiara il proprio numero di telefono e l’indirizzo, probabilmente hanno qualcosa da nascondere, il che non va certo a tuo favore.

Secondo le nostre analisi la maggior parte dei servizi cloud che non hanno filiali nell’UE non sono interamente conformi al GDPR.

Sanzioni in caso di violazioni

Le sanzioni per i responsabili del trattamento, gli ricevente, ma soprattutto per i titolari sono molto alte! Il GDPR prevede multe fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per la maggior parte delle infrazioni. Per gli abusi gravi invece fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente o 20 milioni di euro.

Bisogna anche sottolineare che saranno sotto sorveglianza e verranno sancite tutte le aziende – sia quelle minuscole e piccole he quelle medie e grandi.

Non contare sul fatto che la tua azienda sia troppo piccola per poter essere sotto sorveglianza o per essere sancita.

Quando inizia a valere il GDPR

Le normative GDPR iniziano formalmente a valere il 25 Maggio 2018.

Bisogna capire che l’applicazione delle normative, nel senso pratico, NON avverrà da un giorno all’altro, ma sarà graduale.

Devi comprendere, che tantissimi paesi dell’Unione europea non hanno ancora approvato le leggi necessarie, che danno una base per permettere l’applicazione del GDPR.

La situazione il giorno 31. 1. 2018

Con l’introduzione del GDPR ti consigliamo di seguire il seguente ordine dei passi:

  1. Nella prima fase, assicurati che i tuoi processi e sistemi siano compatibili con il GDPR. Questo lo devi fare assolutamente prima del 25 di Maggio.
    Nella seconda fase, assicurati che tutti i dati personali ottenuti dopo il 25 di Maggio siano raccolti rispettando il GDPR
  2. Nella terza fase, assicurati di ottenere tutti i consensi dei tuoi contatti di prima. Qui si suppone che le istituzioni di controllo permetteranno un periodo di passaggio, dove i titolari potranno finalizzare al 100% la loro compatibilità.
  3. Allo stesso modo, guardando dal punto di vista legale, restano aperte alcune domande sulla retroattività prevista dal GDPR. Queste probabilmente verranno esaminate e risposte con delle situazioni più pratiche.
  4. Alle fine, elimina tutti i dati personali, per i quali non hai ottenuto il consenso di trattamento. Così come menzionato prima, anche qui ti consigliamo di non avere fretta.
L’autore di questo articolo e l’azienda SqualoMail Srl. non prendono alcuna responsabilità in merito all’accuratezza o all’irregolarità delle informazioni date in questo articolo. Il lettore (non) tiene conto del contenuto di questo articolo a seconda della proprio scelta.

Con i dati e con le conclusioni sovrastanti abbiamo presentato un’analisi completa del GDPR. Da sottolineare è, tuttavia, che questo non rappresenta in alcun modo tutto ciò che comprende il GDPR, soprattutto se stiamo parlando in un contesto dell’azienda più grande, e non solo nel contesto dell’email marketing.

Per delle informazioni più dettagliate ti consigliamo di rivolgerti ai studi legai specializzati per la privacy o di leggere da solo il GDPR completo.

La traduzione del GDPR in lingua italiana la puoi trovare qui..

2° – 10° passo: Prossima settimana

La prossima settimana pubblicheremo la seconda parte di questo articolo con le risposte alle seguenti domande:

  1. Come documentare i propri processi di trattamento dei dati?
  2. Come preparare la Valutazione d’impatto sulla protezione dei dati (data protection impact assessments (DPIA)?
  3. Che tipo di contratto devi stipulare con i titolari del trattamento?
  4. Che cosa comprende la traccia di audit?
  5. Cosa bisogna fare riguardo la raccolta dei dati personali?
  6. Come ottenere i consensi dai destinatari esistenti?
  7. Come può SqualoMail semplificare e velocizzare l’intero processo con il wizard per GDPR?

Tutte le risposte avranno anche degli esempi pratici che spiegano cosa bisogna fare.

Prepareremo anche i template dei documenti richiesti dal GDPR con spiegazioni su come compilarli e amministrarli.

Se sei un destinatario già esistente delle nostre news verrai avvisato automaticamente appena il post sarà pubblicato, se invece non ti sei ancora abbonato alle nostre news, iscriviti compilando il modulo di sotto.

Post correlati