Come il GDPR influenza le tue attività di online marketing

Blog Commenti disabilitati su Come il GDPR influenza le tue attività di online marketing

La raccolta del consenso al trattamento dei dati

Per essere conforme al nuovo regolamento privacy, il consenso al trattamento dei dati raccolto attraverso i moduli del tuo sito web deve avere le seguenti caratteristiche:

  • Deve essere “Informato”: l’interessato deve conoscere quali suoi dati sono trattati, con quali modalità e per quali finalità.
  • Deve essere “Specifico”: il consenso deve essere relativo alla singola finalità per la quale viene raccolto. In presenza di più finalità (marketing diretto, profilazione..) dovrebbe essere raccolto un consenso specifico per ognuna.
  • Deve essere “Libero”: l’utente deve poter effettuare una scelta libera, senza subire raggiri, intimidazioni, o conseguenze negative se non presta il consenso.
  • Deve essere “Revocabile” in qualsiasi momento da parte dell’utente.
  • Deve essere “Documentato” ma non necessariamente scritto: l’azienda deve comunque essere in grado di dimostrare che ha acquisito il consenso per una specifica finalità, collegato ad una precisa informativa.

Il nuovo regolamento GDPR non ammette il consenso tacito o presunto. Ad esempio, form precompilati o caselle pre-spuntate non costituiscono una manifestazione di consenso, e quindi un trattamento effettuato su dati raccolti in questo modo non è conforme alla nuova legge sulla privacy.
È importante quindi prestare attenzione alle caratteristiche dei moduli presenti nel proprio sito web, come il modulo di contatto, di richiesta preventivo, di iscrizione newsletter.

Un’Informativa Privacy a norma di GDPR

Il nuovo regolamento GDPR prevede che nell’informativa privacy del sito web siano obbligatoriamente indicati dei contenuti specifici. In particolare è necessario includere:

  • Dati di contatto del Responsabile della protezione dei dati (DPO), quando esistente
  • Base giuridica del trattamento dei dati
  • Se i dati personali raccolti vengono trasferiti in Paesi terzi, e se sì, attraverso quali strumenti
  • Il periodo di conservazione dei dati personali (che non potranno essere mantenuti “per sempre”)
  • Informativa sulla possibilità per l’utente di presentare un reclamo all’autorità di controllo
  • Se il trattamento dei dati comporta processi decisionali automatizzati (inclusa la profilazione)

I diritti degli interessati al trattamento dati

Tra le novità introdotte dal GDPR, troviamo una serie di diritti di cui godono gli interessati, ovvero le persone di cui trattiamo i dati:

  • Diritto di accesso
    Le persone hanno il diritto di sapere e accedere ai dati personali che vengono trattati dall’azienda. In ogni caso la persona ha il diritto di ricevere una copia dei dati personali oggetto di trattamento.
  • Diritto alla modifica
    Le persone possono rettificare e modificare i propri dati personali. L’azienda deve informare le “terze parti” ammesse ad utilizzarli per interrompere l’uso dei dati rettificati (o cancellati).
  • Diritto di cancellazione
    Le persone hanno il diritto di chiedere e ottenere la cancellazione dei propri dati personali (diritto all’oblio).
    È previsto, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”
  • Diritto di limitazione del trattamento
    Le persone possono limitare o revocare il trattamento dei propri dati con la stessa semplicità con la quale l’hanno concesso. Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato.
  • Diritto alla portabilità dei dati
    Le persone hanno diritto ad avere i propri dati personali in un formato strutturato e comunemente usato
  • Diritto di opporsi al trattamento
    Le persone hanno il diritto di opporsi all’utilizzo dei propri dati anche per profilazione o commercializzazione e devono essere messe nelle condizioni di poter esercitare questo diritto.

Data protection by default and by design

Rappresentano i criteri necessari per progettare processi e strumenti che prevedano fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

Contitolarità del trattamento

È imposto ai titolari di definire con un atto ufficiale il rispettivo ambito di responsabilità e i rispettivi compiti, con particolare riguardo all’esercizio dei diritti degli interessati.

Nomina di un sub-responsabile

È consentita al titolare la nomina di un sub-responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali del titolare stesso e previa la sottoscrizione di un accordo tra le parti.

Registro dei trattamenti

I titolari e i responsabili di trattamento devono tenere un registro delle operazioni di trattamento, come parte integrante del sistema per la corretta gestione dei dati personali.

Sicurezza dei dati

Vanno applicate misure di sicurezza adeguate al rischio del trattamento e che considerino non solo i rischi esterni (es.: attacchi informatici) ma anche quelli interni (es.: fattore umano). Tale valutazione è a carico del titolare e al responsabile in rapporto ai rischi specificamente individuati.

Violazione dei dati

In caso di violazione di dati (data breach) il titolare dovrà notificare entro 72 ore all’Autorità di controllo l’accaduto, ma soltanto se ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Formazione e limitazioni riguardo il trattamento dei dati

Le aziende hanno l’obbligo di fornire informazioni e formazione opportune a tutto il personale autorizzato al trattamento dei dati e prevedere dei limiti relativi al tipo ed alla quantità di dati personali a cui hanno accesso i dipendenti.