A quali dati si applica il GDPR

A tutti i DATI PERSONALI, trattati dalla tua organizzazione.

Questo include anche i dati dei tuoi clienti o acquirenti, e attenzione, anche i dati dei tuoi partner (fornitori) e dei tuoi dipendenti.

Per il trattamento dei dati il GDPR richiede sempre un consenso esplicito. Questo significa che il destinatario deve chiaramente dare il consenso al titolare per trattare i suoi dati per uno scopo preciso, che deve essere chiaramente determinato.

 

Dati personali e dati pubblici

Fondamentale è distinguere tra i dati personali e i dati di carattere pubblico. I dati di carattere pubblico non sono (necessariamente) i dati pubblicati!

Esempi di dati personali, che sono pubblicamente accessibili, ma non è permesso usarli senza il consenso:

  • Se per esempio una persona rivela pubblicamente il suo indirizzo email (p.es. su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tanto meno inviare a questo indirizzo un messaggio email. Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.
  • Anche l’indirizzo email professionale non è un dato pubblico, nonostante sia pubblicato sul sito web. Nome.cognome@certa-azienda.it è ritenuto come dato personale, che senza permesso non hai il diritto di trattare.

Esempi di dati, che sono pubblicamente accessibili ed è permesso usarli senza il consenso:

  • Gli indirizzi email generici sono dati di carattere pubblico. Info@certa-azienda.it non rientra sotto la giurisdizione del GDPR e per il trattamento di questi dati non hai bisogno di alcun consenso esplicito. Devo però, se invii messaggi email a questi indirizzi, sempre dare e rispettare la possibilità di cancellare l’iscrizione.

Esempi di dati, che puoi usare senza il consenso:

  • Un ulteriore esempio di raccolta legittima di dati è la raccolta di dati aggregati. Questi infatti non determinano nessuna persona fisica in particolare, perciò raccoglierli, secondo il GDPR, è consentito.
    Un esempio di questi dati è il numero di click fatti su un certo collegamento nella newsletter. Ma, a questo riguardo, è necessario fare molta attenzione, visto che bisogna effettivamente garantire che i dati siano anonimizzati in modo che non sia più possibile ripristinare le informazioni sull’individuo a cui si riferiscono.
Un esempio di scarsa anonimizzazione è, ad esempio, disporre dei dati sulla via, il numero civico e la città. A prima vista questi sembrano dati anonimizzati, visto che allo stesso indirizzo possono vivere anche più persone, ma in caso ci viva una sola persona, si tratta di dati personali, visto che la persona può essere determinata. Il GDPR prevede anche casi di questo tipo, che vengono interpretati come dati personali.

 

Dati obbligatori e non obbligatori

Bisogna poi evidenziare la differenza tra i dati obbligatori e quelli non obbligatori – e qui non si tratta di un obbligo determinato dal titolare (per esempio come campo obbligatorio all’iscrizione, perché così ha deciso e perché questi dati gli “faranno comodo”), ma di una necessità obiettiva di un dato personale.

Il GDPR precisa che è consentito raccogliere dati che sono appropriati, rilevanti e necessari per eseguire il servizio ordinato (adequate, relevant, and not excessive in relation to the purposes for which they are processed).

Esempio: Per ricevere una Newsletter è necessario che il titolare ottenga l’indirizzo email, ma non è necessario che il titolare ottenga anche i dati sulla data di nascita.

Per questo motivo il GDPR chiede ai titolari di raccogliere sempre il minor numero di dati necessari per ogni scopo.

In pratica questo significa che i dati su un determinato click, legato all’indirizzo email, sono dati personali.

 

Allo stesso tempo, la cronologia dei click per un destinatario non è necessariamente indispensabile per garantire il servizio primario (p.es. l’invio delle news). Perciò è necessario dare al destinatario la possibilità di cancellarsi solamente da questa sezione di dati e, di conseguenza, dalla profilazione – dove vengono create nuove liste e segmenti!

L’impossibilità di ottenere la cronologia dei click per i destinatari non significa necessariamente che non sia possibile raccogliere il numero o il grado dei click – questi sono, infatti, dati aggregati.

 

Dati raccolti prima dell’introduzione del GDPR

È molto importante anche la nuova richiesta, che dice che il GDPR si applica anche ai dati raccolti prima dell’introduzione del GDPR. In pratica questo significa che devi:

  1. Controllare innanzitutto quali sono i consensi che hai per i tuoi dati esistenti – se sono (già) in conformità al GDPR. Se la risposta è Sì, non hai bisogno di raccogliere ulteriori consensi.
  2. Se non è così, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati, ad esempio per lo scopo do inviare le newseletter. Leggi le istruzioni su come raccogliere i consensi dei destinatari già esistenti nell’applicazione di SqualoMail.

Il condizionamento dei servizi con il consenso per il trattamento dei dati personali non è (più) consentito!

In pratica questo significa che bisognerà modificare le campagne di email marketing, dove, per esempio, proponi al destinatario un e-book chiedendogli di registrarsi per il trasferimento del libro e di iscriversi automaticamente alle tue e-news.L’iscrizione alle e-news deve essere proposta come opzione indipendente (essere indicata con un segno di spunta) e non deve essere implicita (già selezionata).