Regolamento generale sulla protezione dei dati (GDPR): tutto ciò che devi sapere
Pubblicato: 2018-04-02L'obiettivo principale del nuovo Regolamento generale sulla protezione dei dati (GDPR) è rafforzare e combinare il trattamento dei dati personali provenienti da vari paesi membri e adattarli sotto un unico regolamento dell'Unione Europea (UE).
Attualmente, i 28 paesi membri dell'UE hanno ciascuno le proprie norme sulla protezione dei dati e applicano tali leggi al proprio commercio internazionale, il che rende piuttosto difficile l'esercizio dei diritti di protezione dei dati personali.
Il nuovo GDPR include una vasta gamma di regole che hanno un impatto su tutte le aziende, indipendentemente dalle dimensioni o dal settore, e molto spesso dovranno essere preparate a concentrarsi su diverse aree della loro attività.
Il 25 maggio 2018 entra in vigore il nuovo regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, due anni dopo l'adozione del Regolamento 2016/679 da parte del Parlamento Europeo e del Consiglio. In questo articolo, vogliamo aiutarti a capire cosa puoi e cosa non puoi fare per soddisfare i requisiti di questo nuovo regolamento e rassicurarti che Benchmark, il tuo strumento di email marketing, soddisfa anche i requisiti di questo nuovo regolamento.
Il nuovo GDPR non elimina le legislazioni sulla protezione dei dati di ciascuno dei paesi membri attualmente in vigore. Invece aiuta a sincronizzare tutti i paesi membri dell'UE. Alcune delle decisioni saranno comunque prese a livello nazionale per ciascuno dei paesi membri, ma tieni presente che i responsabili devono ora fare riferimento al GDPR come norma e non alle normative sulla protezione dei dati dei propri paesi .
Se attualmente soddisfi i requisiti per la protezione dei dati per il tuo paese, hai già una buona base. Tuttavia, sarà comunque necessario rivedere e modificare alcuni aspetti per conformarsi alle nuove normative.
Ci sono tre punti principali che devi tenere a mente con la tua strategia di email marketing, sono: consenso, accesso e raccolta dati.
Consenso
Ai sensi dell'articolo 4, paragrafo 11, per "consenso" dell'interessato si Come affermato nella definizione, il consenso dell'utente deve essere inequivocabile ed anche esplicito. Queste due parole eliminano ogni dubbio o ambiguità.
(32) Il consenso dovrebbe essere espresso mediante un chiaro atto affermativo che stabilisca un'indicazione libera, specifica, informata e inequivocabile del consenso dell'interessato al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche per via elettronica mezzi o una dichiarazione orale. Ciò potrebbe includere la spunta di una casella quando si visita un sito Internet, la scelta di impostazioni tecniche per i servizi della società dell'informazione o un'altra dichiarazione o comportamento che indichi chiaramente in questo contesto l'accettazione da parte dell'interessato del trattamento proposto dei propri dati personali. Il silenzio, le caselle preselezionate o l'inattività non devono quindi costituire consenso. Il consenso dovrebbe riguardare tutte le attività di trattamento svolte per la stessa o le stesse finalità. Quando il trattamento ha più finalità, il consenso dovrebbe essere prestato per tutte. Se il consenso dell'interessato deve essere prestato a seguito di una richiesta per via telematica, la richiesta deve essere chiara, concisa e non inutilmente disgregante per la fruizione del servizio per il quale è fornita.
Esempio:
Di recente ho partecipato a una fiera e durante la giornata ho accumulato un bel po' di biglietti da visita, che utilizzerò per creare un database che poi caricherò sul mio account Benchmark con l'obiettivo di inviare newsletter.
Con il nuovo Regolamento è legale?
No. Il networking realizzato tra te e le persone presenti in fiera non ti dà il diritto di utilizzare i loro dati personali, anche con conferma verbale da parte dell'interessato. Il GDPR ora richiede che esistano prove di questo accordo tra entrambe le parti.
Il GDPR afferma che deve esserci un consenso inequivocabile ed esplicito da parte dell'individuo che può essere supportato da prove in caso di audit. È necessario dimostrare che l'individuo sta dando il proprio consenso all'utilizzo dei propri dati personali.
RACCOMANDAZIONE:
- Rivedi i tuoi metodi per la raccolta dei dati ed elimina qualsiasi ambiguità che potrebbe esistere.
- Analizza il tuo database e solo i dati per i quali puoi fornire la prova che il consenso ti è stato dato dall'individuo.
Accesso
Il titolare del trattamento dei dati personali deve fornire a ciascun utente un accesso semplice e diretto per modificare i propri dati personali. Il responsabile deve inoltre fornire uno sbocco in cui l'interessato può confermare di prestare il proprio consenso tramite mezzi elettronici, sia tramite il proprio sito Web, moduli di iscrizione o e-mail di conferma.
Il responsabile avrà un mese di tempo per fornire una risposta al cliente, con la possibilità di estenderlo a due mesi nel caso si tratti di una richiesta complessa, in cui si stanno prendendo le misure necessarie per completare la richiesta dei singoli.
Nel caso del nostro strumento di email marketing, l'opzione Gestisci abbonamenti consente all'individuo di accedere ai propri dati personali e modificare i dati se necessario o annullare l'abbonamento a titolo definitivo.
All'interno di questo punto, c'è un nuovo diritto, che è il DIRITTO ALLA CANCELLAZIONE (Articolo 17), l'utente può esercitare il proprio “diritto all'oblio” e far cancellare definitivamente i propri dati personali dal database. Abbiamo selezionato due dei sei motivi che sono inclusi nel sub-punto 1, che forniscono all'individuo la possibilità di esercitare il proprio diritto:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
d) i dati personali sono stati trattati illecitamente;
Compilazione:
Il GDPR sostiene la semplicità nella raccolta dei dati personali. Come marketer tendiamo a chiedere più dettagli del necessario quando tutto ciò che stiamo facendo è inviare una newsletter settimanale. Per questo motivo, queste nuove normative incoraggiano a raccogliere e compilare solo un minimo di dati personali per la nostra strategia attuale e non la raccolta di dati aggiuntivi che ritieni possano essere utili in futuro.
Se il tuo obiettivo è informare il tuo database delle prossime promozioni, la compilazione del nome e dell'indirizzo email di una persona è più che sufficiente per raggiungere il tuo obiettivo.
Brexit
Il Regno Unito lascerà ufficialmente e non farà più parte dell'UE nel 2019. Con questa uscita, i regolamenti non saranno applicabili a loro. Al momento non sappiamo come il Regno Unito, o le società all'interno del Regno Unito, gestiranno la protezione dei dati, ma riteniamo che passeranno normative simili che saranno comparabili con l'UE.
Cosa succede se non soddisfo i nuovi requisiti GDPR?
Il Regolamento generale sulla protezione dei dati stabilisce una serie di strumenti per conformarsi al nuovo regolamento, comprese sanzioni e ammende. Una serie di fattori saranno presi in considerazione e attentamente valutati quando verrà comminata una sanzione per non conformità con il nuovo GDPR come:
- la gravità/durata della violazione;
- il numero di interessati interessati e il livello del danno da essi subito;
- il carattere intenzionale della violazione;
- eventuali azioni intraprese per mitigare il danno;
- il grado di collaborazione con l'autorità di controllo.
Il regolamento fissa due massimali per le multe in caso di mancato rispetto delle regole. Il primo massimale prevede sanzioni pecuniarie fino a un massimo di 10 milioni di euro o, in caso di impresa, fino al 2% del fatturato mondiale annuo. Questa prima categoria di sanzione verrebbe applicata, ad esempio, se un responsabile del trattamento non effettua valutazioni d'impatto, come previsto dal regolamento. Il tetto massimo delle sanzioni arriva fino a un massimo di 20 milioni di euro o il 4% del fatturato annuo mondiale. Un esempio potrebbe essere una violazione dei diritti degli interessati ai sensi del regolamento. Le ammende sono adeguate alle circostanze di ogni singolo caso.
Dovrai tenere a mente i punti principali di cui sopra (Consenso, Accesso e Compilazione) quando arriva il momento di pianificare la tua strategia di email marketing.
Prova delle prestazioni
In Benchmark, stiamo lavorando duramente per aggiornare la nostra Informativa sulla privacy al fine di rispettare i requisiti delle normative. Nel caso del GDPR non ci viene rilasciata alcuna certificazione che dichiari di essere in regola con le nuove normative così come con il Privacy Shield Framework.
Noi di Benchmark vogliamo rassicurarti che i tuoi dati personali vengono gestiti in conformità con il nuovo GDPR.
Per la prima volta, l'UE mostra leadership e unità nel modo in cui i dati personali devono essere trattati e costringe il resto del mondo, senza eccezioni, a seguire queste normative per qualsiasi paese se desidera gestire i dati personali europei.
Non dimenticare di condividere questo articolo con il tuo pubblico e lasciare i tuoi commenti. Grazie per aver letto!