Che cos'è il regolamento generale sulla protezione dei dati dell'UE (GDPR) e in che modo influirà sulla tua attività online?
Pubblicato: 2018-06-04La tua casella di posta è inondata di e-mail che aggiornano le politiche sulla privacy? C'è una ragione per questo, e quella ragione è il regolamento generale sulla protezione dei dati, o GDPR.
Sembra che tutti parlino del GDPR in questi giorni. Ma perché adesso?
Bene, il fatto è che il GDPR è in lavorazione da sette anni. Ma di recente, c'è stato un accordo su cosa comporterà veramente questa riforma della protezione dei dati.
Fondamentalmente, il GDPR è un insieme di regolamenti progettati per fornire un maggiore controllo sui dati personali per i cittadini europei. Oltre a ciò, questa riforma regolerà anche le leggi generali sul consenso e sulla privacy nel mondo online, creando nuovi standard per l'elaborazione e l'archiviazione dei dati in generale.
Almeno il 50 percento delle organizzazioni ha dichiarato che farà fatica a essere conforme al GDPR a meno che non cambi in modo significativo le proprie operazioni. E questo potrebbe essere un regolamento europeo, ma non riguarda solo l'Europa.
Si consiglia alle aziende online di tutto il mondo di conformarsi alle nuove normative GDPR: il GDPR si applica a tutte le aziende all'interno dell'Unione Europea E a qualsiasi organizzazione al di fuori dell'UE che fornisce prodotti o servizi a clienti o aziende all'interno dell'UE. È probabile che la maggior parte delle aziende in tutto il mondo dovrà essere conforme al GDPR... incluso te, se la tua azienda rientra nel Data Protection Act del Regno Unito.
Pensala in questo modo: la sede principale di Facebook è in America, ma le persone che vivono in Europa e in tutto il mondo possono iscriversi a Facebook. Quindi, poiché Facebook offre servizi agli europei e raccoglie i loro dati, Facebook deve essere conforme al GDPR, anche se si trova principalmente in America.
Non aver paura di diventare conforme al GDPR, però. Anche se tecnicamente non devi esserlo.
La conformità al GDPR può solo farti del bene. Utilizzerai un sistema che elaborerà informazioni personali e sensibili sui tuoi clienti (o abbonati e-mail) mantenendo tutti questi dati al sicuro. In realtà, tutti possono beneficiare del GDPR.
La cosa buona del GDPR è che viene fornito con regole e linee guida rigorose per quanto riguarda la raccolta dei dati. Ciò significa niente più linee sfocate e più regolamentazione. Ma ciò significa anche che coloro che devono essere conformi al GDPR dovranno affrontare sanzioni se non aderiscono alle nuove normative.
Esistono due distinte tipologie di trattamento dei dati: gli incaricati (o agenzia, autorità, ecc.) del trattamento e gli incaricati del controllo. Con questa configurazione, ciascuna delle due parti è pienamente responsabile in caso di uso improprio, ma se tutti seguono le regole sulla protezione dei dati, le violazioni saranno meno probabili. Prima del GDPR, non esisteva una soluzione reale se fosse successo qualcosa ai dati.
Come la tua azienda può diventare conforme al GDPR
Il primo passo per diventare conformi al GDPR è dare un'occhiata ai dati che raccogli. Sono dati personali? Se lo è, allora dovresti applicare le regole e i regolamenti GDPR.
Se qualche dato (un singolo pezzo o l'intero gruppo) può identificare la persona, allora sono dati personali. In tal caso, devi ottenere il consenso da queste persone, informarle su come verranno utilizzati i loro dati e per quanto tempo. Inoltre, devi fornire loro informazioni dettagliate sui dati che hai e consentire loro di eliminarli se lo desiderano.
Alcuni esempi tipici di dati personali includono nomi, indirizzi, foto e persino l'indirizzo IP è considerato un dato personale.
Inoltre, se non vogliono cancellare i dati, devi eseguire una certa attività per proteggere quei dati. Uno dei modi per farlo è la pseudonimizzazione.
Che cos'è la pseudonimizzazione?
Mentre il nome è complicato, l'idea è abbastanza semplice. La pseudonimizzazione è una tecnica di gestione dei dati in cui l'obiettivo principale è spersonalizzare i dati in modo che non possano essere ricondotti a una persona, a meno che non si utilizzino dati aggiuntivi: è come una chiave. Senza quella chiave, non puoi scoprire il pezzo di dati originale che lo rende crittografato.
Il GDPR ha anche un elenco di regole sull'archiviazione di tutte quelle chiavi crittografate in modo che il processo di depersonalizzazione e le informazioni rimangano al sicuro.
Sia i dati personali che quelli crittografati rappresentano diversi pezzi del puzzle, dove se ne togli uno dall'equazione, non puoi vedere l'intera immagine.
La differenza tra pseudonimizzazione e crittografia
Sebbene ci siano somiglianze, la differenza principale è chiara. La crittografia non è scolpita nella pietra e ci sono diversi modi per ottenerla. Il risultato finale è lo stesso: i dati sono protetti e crittografati.
La differenza tra crittografia e pseudonimizzazione risiede nel fatto che non è possibile elaborare i dati crittografati a meno che non vengano restituiti al loro stato originale non crittografato. Con la pseudonimizzazione, anonimizzi solo temporaneamente i dati personali in modo che durante l'elaborazione dei dati nessuno possa collegarli alla persona reale.
Fondamentalmente, sebbene la crittografia sia molto più sicura e completa, è anche tecnicamente molto complessa da ottenere e la pseudonimizzazione consente di crittografare solo le parti sensibili dei dati. Potrebbe essere approssimativamente tradotto in una situazione di vita reale in cui stai conducendo un questionario pubblico e le risposte sono anonime, ma il risultato finale è lo stesso: ottieni i dati che stavi cercando.
GDPR e protezione efficace dei dati
Per elaborare i dati, le aziende devono utilizzare la pseudonimizzazione se vogliono essere conformi al GDPR. Possono scegliere di non esserlo, ma dovranno affrontare multe multiple che potrebbero arrivare fino a milioni di dollari.
Con la pseudonimizzazione, i dati possono essere utilizzati in ricerche analitiche, esplorative e statistiche, ma anche con il consenso del proprietario dei dati. E anche le aziende dovranno disporre di tale consenso prontamente disponibile.
Oltre alla pseudonimizzazione, ci sono diverse soluzioni tecniche che le aziende possono implementare per assicurarsi che questi dati siano protetti. È meglio raggiungere la crittografia completa, se possibile, ma a parte questo, le aziende possono assicurarsi che i loro sistemi attuali possano sostenere le modifiche alle politiche.
Un altro modo per proteggere i dati è rafforzare i sistemi esistenti. Crea le necessarie protezioni nei sistemi, ma assicurati anche che siano integrate nei prodotti e nei servizi fin dalle prime fasi di sviluppo.
Le regole GDPR inizieranno ad essere applicate il 25 maggio 2018. A partire da questa data, tutte le organizzazioni e le aziende dell'UE dovranno essere conformi al GDPR.
Quali sono i vantaggi del GDPR?
- Meno violazioni dei dati, hacking e uso improprio.
- La protezione dei dati sarà integrata in ogni prodotto o servizio fin dall'inizio.
- Le aziende avranno comunque accesso ai dati necessari se utilizzano meccanismi di protezione dei dati come la pseudonimizzazione.
- Verranno creati nuovi posti di lavoro.
- Le persone avranno il controllo completo sui propri dati.
- Le aziende dovranno informare i consumatori se i loro dati sono stati violati, limitando gli insabbiamenti.
Sei preoccupato per come la legislazione influirà sulla tua attività? Rimani aggiornato iscrivendoti al DesignRush Daily Dose!
Sanzioni e multe GDPR
Sebbene molte aziende pensino che il GDPR sia solo una seccatura, sono incentivate a conformarsi alle nuove regole GDPR perché le multe sono gigantesche. Le sanzioni possono variare da 10 milioni di euro (più di 11,5 milioni di dollari) a 20 milioni di euro (23 milioni di dollari), ovvero dal due al quattro per cento del fatturato globale annuo di un'azienda, che potrebbe valere miliardi di dollari per alcune aziende.
Le aziende possono essere multate se trasferiscono dati senza autorizzazione, ignorando la richiesta delle persone di informazioni dettagliate e rimozione dei dati. Le multe possono anche avere un impatto sulle aziende che non informano utenti e autorità nelle prime 72 ore dopo che si è verificata una violazione. Un'altra istanza che può incorrere in una multa è la mancata nomina di una persona responsabile delle regole e della conformità GDPR, una persona responsabile della protezione dei dati all'interno dell'organizzazione.
Nominare un Titolare del trattamento dei dati
Ogni organizzazione che gestisce dati sensibili, inclusi elaborazione, monitoraggio e monitoraggio del comportamento, deve nominare un responsabile della protezione dei dati. Ciò significa che le aziende che utilizzano strategie di marketing digitale probabilmente devono essere conformi al GDPR.
Essere un DPO non richiede un certificato e ci sono solo una serie di linee guida, non una legislazione effettiva, su chi dovrebbe essere un responsabile della protezione dei dati. Principalmente, quella persona dovrebbe avere esperienza e comprensione delle leggi sulla protezione dei dati e dovrebbe svolgere attività per assicurarsi che l'azienda sia conforme. Quella persona è anche ritenuta responsabile se la società non è conforme.
Inoltre, a seconda delle dimensioni dell'azienda, potrebbe esserci un solo DPO o l'intero reparto dedicato alla minimizzazione dei rischi e alla massimizzazione della protezione dei dati.
Fare del GDPR un valore fondamentale
Esistono diversi modi in cui le aziende possono garantire che il GDPR sia preso sul serio ed eseguito dall'azienda.
- Formazione del personale
- Revisioni delle norme
- Regolamento delle risorse umane
- Audit interni
- Documentare tutti i processi e le attività che coinvolgono l'uso dei dati
- Ridurre al minimo l'utilizzo dei dati
- Usare tattiche come la pseudonimizzazione
Come le aziende possono preparare la legislazione GDPR
I reparti di marketing all'interno delle aziende sono quelli che generalmente utilizzano i dati sensibili degli utenti, ma non importa chi gestisce i dati all'interno dell'azienda. L'azienda nel suo insieme deve essere conforme ed ecco un elenco di controllo per semplificare il processo.
Passaggio 1: nominare un responsabile della protezione dei dati
Devi avere qualcuno che supervisionerà e revisionerà tutti i processi interni e si assicurerà che la tua azienda aderisca alle linee guida. Se ritieni di non avere nessuno all'interno della tua azienda in grado di svolgere un ruolo del genere, dovresti cercare di assumere qualcuno che possa farlo. Inoltre, ora ci sono corsi di formazione sul GDPR che il tuo personale attuale può seguire per saperne di più sul GDPR.
Passaggio 2 - Rivedi la tua mailing list
Fai una revisione completa della tua intera mailing list. Invia le email necessarie in merito al nuovo aggiornamento dell'informativa sulla privacy e chiedi alle persone se desiderano ancora condividere i propri dati con te. Se non ti danno il consenso, rimuovili dall'elenco. Se utilizzi l'automazione dell'email marketing, utilizza semplicemente un nuovo elenco in cui segmenterai gli utenti europei in modo da poter ottenere il loro consenso.
Passaggio 3: approvare le campagne di marketing tramite un responsabile della protezione dei dati
Fino a quando il tuo staff di marketing non imparerà le basi, un DPO dovrebbe supervisionare le tue campagne di marketing e approvarle prima del lancio. In questo modo, puoi essere sicuro che tutto sia in ordine e di rimanere conforme al GDPR.
Passaggio 4: flussi e processi di dati del documento
È probabile che la tua lista di e-mail verrà eliminata, ma come ora sai, è una necessità. Tuttavia, devi comunque assicurarti che anche tutta la futura raccolta di dati sia conforme al GDPR. Anche i tuoi punti di ingresso dei dati devono rimanere al sicuro. Questi includono l'iscrizione alla newsletter, tutte le registrazioni dell'account, vari eventi, liste di acquisto, protezione dei dati trasferiti ai partner e, beh, qualsiasi tipo di utilizzo e raccolta dei dati. Gli utenti dovrebbero darti il consenso per tutte le tue operazioni sui dati e dovresti indicare esplicitamente tutte le attività che eseguirai con i loro dati.
Passaggio 5: aggiorna la tua politica sulla privacy
Assicurati che il tuo sito web disponga di una pagina di politica sulla privacy facilmente accessibile, in cui puoi descrivere pubblicamente come raccogli e gestisci i dati e quali azioni intraprendi per proteggerli.
Passaggio 6: implementare la formazione del personale e della direzione sul GDPR
Insegna a tutti i decisori e al personale di marketing la protezione dei dati e i protocolli in vigore. Puoi persino ridimensionarlo per istruire tutti i tuoi dipendenti sulle nuove regole e processi. Questo potrebbe essere fatto attraverso seminari, formazione, distribuzione di opuscoli o manuali online, qualunque cosa funzioni per la tua attività.
Passaggio 7: eliminare i dati che la tua azienda non utilizza
Uno dei passaggi per diventare conformi al GDPR è ridurre al minimo i dati che stai utilizzando nei processi quotidiani, se possibile, e cancellare i dati quando non ne hai più bisogno.
Passaggio 8 – Nuova verifica
Invia una mail a tutti i residenti in Europa e chiedi loro di rinnovare il consenso se vogliono essere nella tua lista. Questo può essere fatto tramite e-mail, app mobile o anche posta diretta. Le politiche GDPR proibiscono severamente l'invio di una nuova email a persone che si sono precedentemente cancellate dalla tua lista.
Privacy per impostazione predefinita e privacy per design: qual è la differenza?
Ci sono due nuovi termini che dovrebbero essere riconosciuti e osservati in questa nuova era del GDPR. Fondamentalmente, abbiamo già detto che i nuovi prodotti e servizi devono essere dotati di un meccanismo integrato conforme alle regole GDPR. Privacy by design significa che le aziende dovrebbero pensare e pianificare in anticipo come includere politiche di protezione dei dati, anche nelle prime fasi del progetto, così come nel resto del ciclo di vita di un progetto.
I responsabili del trattamento dei dati devono garantire la privacy dei dati per impostazione predefinita, il che significa che i dati personali non sono disponibili per nessuno tranne il proprietario dei dati. Inoltre, i responsabili del trattamento dovrebbero raccogliere solo i dati personali minimi necessari ai fini del trattamento, senza memorizzare questi dati dopo il completamento.
Cosa puoi fare per automatizzare il processo
Cerca di ottenere una soluzione tecnica che risolva molti di questi problemi per te. Potrebbe trattarsi, ad esempio, di un software che cancellerà automaticamente determinati dati personali.
Rivalutazione e test
Per fermare le possibili violazioni e per conformarsi al GDPR, è meglio che le aziende mettano in moto vari test, casi di studio e processi di rivalutazione.
Crea una lista di controllo della conformità al GDPR per ogni nuovo sistema, campagna mediatica, azione di pianificazione del progetto o qualcosa di simile. In questo modo, i tuoi dipendenti possono valutare rapidamente il processo e informare i responsabili se il progetto non è conforme e abusa dei dati in alcun modo. Certo, le aziende o i dipendenti potrebbero pensare a questi passaggi aggiuntivi come un peso, ma è meglio prevenire che curare.
Ricorda solo quelle multe da un milione di dollari.
Nuove politiche di raccolta dei dati
Oltre a proteggere i dati raccolti in precedenza, devi assicurarti che la futura raccolta di dati sia sicura fin dall'inizio. Puoi usare un linguaggio semplice e naturale quando chiedi il consenso.
Mascherarlo dietro un gergo complicato può essere molto fuorviante. Il consenso fornito dalle persone dovrebbe essere chiaro e non ambiguo. Assicurati di delineare chiaramente come utilizzerai le informazioni appena raccolte.
È anche il momento per un altro consenso sulla cookie policy sul tuo sito web. Devi assicurarti che le persone che si iscrivono siano maggiorenni, perché secondo le nuove regole GDPR, solo le persone di età pari o superiore a 16 anni possono fornire i propri dati personali. I minori di 16 anni devono avere il consenso dei genitori.
Le aziende devono capire che non possono chiedere informazioni personali senza una giusta causa. Nemmeno se l'archiviazione di tali informazioni è in linea con le regole GDPR. Le aziende dovrebbero chiedere assistenza legale per preparare una base legale per ogni attività di raccolta e trattamento dei dati.
I nuovi moduli potrebbero includere l'età dell'utente e persino il paese di residenza per determinare se le regole GDPR si applicano o meno. Inoltre, i tuoi clienti hanno il diritto di sapere se i loro dati verranno trasferiti oltre confine. In ogni momento devi assicurarti che sia in atto un meccanismo che consenta agli utenti di ritirare il proprio consenso o persino di presentare un reclamo.
Se le persone chiedono approfondimenti sulle loro informazioni, le aziende devono conformarsi e fornire una risposta che non venga ritardata senza motivo e, al più tardi, dovrebbe essere inviata entro un mese dalla ricezione della richiesta.
La nuova legge sulla e-Privacy
Il Comitato Europeo ha pubblicato una nuova proposta di legge riguardante il Regolamento ePrivacy. Si intende come aggiornamento della vigente “Cookie Law”, che sarà anche conforme alla già utilizzata legge GDPR.
La differenza tra GDPR e legge sulla e-Privacy
Mentre il GDPR si occupa della protezione dei dati personali, la legge ePrivacy vuole regolamentare la privacy della vita personale di un utente. In questo modo, la comunicazione online può proteggere l'utente. Ci sono molti settori e industrie che sono interessati da queste leggi. Il Comitato europeo ritiene che dovrebbero esistere due diverse serie di norme basate su diritti umani diversi.
Questa nuova legge sulla ePrivacy può avere un notevole impatto sul settore del marketing. Oltre il 92% delle persone è preoccupato per la propria privacy online e per il modo in cui i propri dati vengono utilizzati per scopi di marketing. Sono estremamente preoccupati per l'intuizione che le aziende hanno nella loro vita, specialmente quando monitorano le loro attività online, il contenuto delle e-mail e i messaggi. Ecco perché questa nozione si è evoluta dal GDPR e dalla protezione dei dati personali, alla legge ePrivacy e al resto dei dati.
Fondamentalmente, ci saranno regole e politiche molto più regolamentate riguardo all'ottenimento del consenso per tutte le finalità di marketing. Ciò include anche le strategie di marketing comportamentale. Con la nuova legge ePrivacy, le aziende non potranno utilizzare alcun dato della comunicazione elettronica, informazioni memorizzate nei dispositivi utilizzati dai consumatori o qualsiasi altra informazione, senza il consenso dell'utente, a meno che non sia necessario per l'immediato trattamento dei dati.
Parole al saggio: attenzione alle truffe
Poiché le aziende hanno inviato e-mail offrendo alle persone di rinunciare alle loro mailing list, i truffatori hanno trovato un modo per utilizzare l'intera conformità GDPR per le loro truffe di phishing. Non puoi davvero sfuggire all'ironia che gli hacker prendono di mira di proposito le persone che stanno cercando di proteggere i propri dati con le nuove regole GDPR.
Ecco come riconoscere una truffa di phishing GDPR:
Se l'azienda chiede se vuoi rimanere nel suo database, probabilmente non si tratta di una truffa di phishing. Tuttavia, se in qualsiasi momento ricevi un messaggio in cui dovresti inviare nuovamente dati o informazioni personali, come nomi, indirizzi, nomi utente, password e persino informazioni di pagamento, stai alla larga. Una vera azienda non lo farebbe mai tramite e-mail.
Il futuro della protezione dei dati e il modo in cui la tua azienda può utilizzare tali informazioni
Ancora una volta, come con il GDPR, il potere del controllo della privacy sta tornando al proprietario dei dati. Con questa nuova legge, gli utenti potranno fornire il consenso per l'utilizzo dei cookie o revocarlo, direttamente nel proprio browser internet.
In questo modo, si pensa che non dovrà esserci la politica sui cookie per ogni sito Web, ma più come un registro software che se ne occuperà. Ciò significa anche che i siti Web non dovranno utilizzare noiosi pop-up per chiedere il consenso se i siti Web utilizzano solo la raccolta di dati anonimi.
Queste nuove leggi sulla privacy saranno applicabili a tutti i servizi di messaggistica, inclusa l'app Messenger di Facebook, Viber, WhatsApp e Gmail.
Molte di queste misure avranno un impatto diretto sul futuro del marketing digitale, ma è ancora presto per dire o addirittura prevedere come andrà a finire. Non ci resta che aspettare e vedere, tenendo d'occhio nel frattempo i nostri dati.
La tua azienda ha bisogno di aiuto per tenersi al passo con tutte queste nuove normative sui dati? Dai un'occhiata all'elenco di DesignRush delle migliori società di sicurezza informatica e gestione dei rischi che possono aiutare a semplificare il processo quando le normative GDPR entrano in vigore.
Vuoi più approfondimenti aziendali? Iscriviti alla nostra newsletter!