A tutti i DATI PERSONALI, trattati dalla tua organizzazione.
Questo include anche i dati dei tuoi clienti o acquirenti, e attenzione, anche i dati dei tuoi partner (fornitori) e dei tuoi dipendenti.
Dati personali e dati pubblici
Fondamentale è distinguere tra i dati personali e i dati di carattere pubblico. I dati di carattere pubblico non sono (necessariamente) i dati pubblicati!
Esempi di dati personali, che sono pubblicamente accessibili, ma non è permesso usarli senza il consenso:
- Se per esempio una persona rivela pubblicamente il suo indirizzo email (p.es. su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tanto meno inviare a questo indirizzo un messaggio email. Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.
- Anche l’indirizzo email professionale non è un dato pubblico, nonostante sia pubblicato sul sito web. Nome.cognome@certa-azienda.it è ritenuto come dato personale, che senza permesso non hai il diritto di trattare.
Esempi di dati, che sono pubblicamente accessibili ed è permesso usarli senza il consenso:
- Gli indirizzi email generici sono dati di carattere pubblico. Info@certa-azienda.it non rientra sotto la giurisdizione del GDPR e per il trattamento di questi dati non hai bisogno di alcun consenso esplicito. Devo però, se invii messaggi email a questi indirizzi, sempre dare e rispettare la possibilità di cancellare l’iscrizione.
Esempi di dati, che puoi usare senza il consenso:
- Un ulteriore esempio di raccolta legittima di dati è la raccolta di dati aggregati. Questi infatti non determinano nessuna persona fisica in particolare, perciò raccoglierli, secondo il GDPR, è consentito.
Un esempio di questi dati è il numero di click fatti su un certo collegamento nella newsletter. Ma, a questo riguardo, è necessario fare molta attenzione, visto che bisogna effettivamente garantire che i dati siano anonimizzati in modo che non sia più possibile ripristinare le informazioni sull’individuo a cui si riferiscono.
Dati obbligatori e non obbligatori
Bisogna poi evidenziare la differenza tra i dati obbligatori e quelli non obbligatori – e qui non si tratta di un obbligo determinato dal titolare (per esempio come campo obbligatorio all’iscrizione, perché così ha deciso e perché questi dati gli “faranno comodo”), ma di una necessità obiettiva di un dato personale.
Il GDPR precisa che è consentito raccogliere dati che sono appropriati, rilevanti e necessari per eseguire il servizio ordinato (adequate, relevant, and not excessive in relation to the purposes for which they are processed).
Esempio: Per ricevere una Newsletter è necessario che il titolare ottenga l’indirizzo email, ma non è necessario che il titolare ottenga anche i dati sulla data di nascita.
Per questo motivo il GDPR chiede ai titolari di raccogliere sempre il minor numero di dati necessari per ogni scopo.
In pratica questo significa che i dati su un determinato click, legato all’indirizzo email, sono dati personali.
Allo stesso tempo, la cronologia dei click per un destinatario non è necessariamente indispensabile per garantire il servizio primario (p.es. l’invio delle news). Perciò è necessario dare al destinatario la possibilità di cancellarsi solamente da questa sezione di dati e, di conseguenza, dalla profilazione – dove vengono create nuove liste e segmenti!
Dati raccolti prima dell’introduzione del GDPR
È molto importante anche la nuova richiesta, che dice che il GDPR si applica anche ai dati raccolti prima dell’introduzione del GDPR. In pratica questo significa che devi:
- Controllare innanzitutto quali sono i consensi che hai per i tuoi dati esistenti – se sono (già) in conformità al GDPR. Se la risposta è Sì, non hai bisogno di raccogliere ulteriori consensi.
- Se non è così, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati, ad esempio per lo scopo do inviare le newseletter. Leggi le istruzioni su come raccogliere i consensi dei destinatari già esistenti nell’applicazione di SqualoMail.
Il condizionamento dei servizi con il consenso per il trattamento dei dati personali non è (più) consentito!
In pratica questo significa che bisognerà modificare le campagne di email marketing, dove, per esempio, proponi al destinatario un e-book chiedendogli di registrarsi per il trasferimento del libro e di iscriversi automaticamente alle tue e-news.L’iscrizione alle e-news deve essere proposta come opzione indipendente (essere indicata con un segno di spunta) e non deve essere implicita (già selezionata).