Il GDPR sta arrivando: come prepararsi

Nota: questo è solo a scopo informativo generale e non intende costituire analisi legale o consulenza legale. Dovresti contattare un avvocato per saperne di più sui tuoi obblighi particolari ai sensi del GDPR.

Se fai parte di un'organizzazione che fa affari con cittadini dell'Unione Europea, allora potresti aver sentito parlare delle imminenti modifiche che coinvolgono il Regolamento generale sulla protezione dei dati (GDPR). Il GDPR è una legge dell'Unione Europea intesa a rafforzare e unificare le norme e i diritti sulla protezione dei dati a beneficio dei cittadini dell'UE. Il GDPR si applica alle organizzazioni dell'UE e alle organizzazioni non UE (di qualsiasi dimensione) che forniscono beni e servizi nell'UE o che utilizzano tecnologie di tracciamento (come cookie o pixel di tracciamento) per monitorare il comportamento degli utenti dell'UE.

Il GDPR entrerà in vigore a partire dal 25 maggio 2018.

In quel momento, tutte le organizzazioni non conformi possono essere soggette a multe e altre sanzioni normative. Per una panoramica del GDPR, questo articolo è un ottimo punto di partenza.

Principi chiave del GDPR

Tieni a mente i seguenti principi mentre tu e il tuo team vi preparate per il prossimo GDPR:

• I dati personali raccolti devono essere trattati in modo equo, legale e trasparente. Non dovrebbe essere utilizzato in alcun modo che una persona non si aspetterebbe ragionevolmente.
• I dati personali dovrebbero essere raccolti solo per soddisfare una finalità specifica e non ulteriormente utilizzati in modo incompatibile con tali finalità. Le organizzazioni devono specificare perché hanno bisogno dei dati personali quando li raccolgono.
• I dati personali detenuti devono essere mantenuti aggiornati e accurati. Non dovrebbe essere trattenuto più del necessario per raggiungere il suo scopo.
• I cittadini dell'UE hanno il diritto di accedere ai propri dati personali. Possono anche richiedere una copia dei loro dati e che i loro dati vengano aggiornati, eliminati, limitati o spostati in un'altra organizzazione senza impedimenti.
• Tutti i dati personali devono essere mantenuti al sicuro e le aziende che svolgono determinati tipi di attività sono ora obbligate a nominare un responsabile della protezione dei dati.

Che cosa sono i dati personali?

La definizione GDPR dei dati personali include ciò che generalmente consideriamo informazioni di identificazione personale (PII)—nome, numero di passaporto, data di nascita, ecc.—ma include anche dati che potremmo considerare non PII, come indirizzi IP o dispositivo ID.

I dati personali possono anche includere dati su un individuo che è stato sottoposto a hash o crittografato.

Per un elenco completo di ciò che GDPR considera dati personali, si prega di leggere l'articolo 4, paragrafo 1, del GDPR.

Inoltre, nella definizione di dati personali è incluso un sottoinsieme di dati noto come "categorie speciali di dati personali". Le categorie speciali di dati personali sono un elenco specifico di dati, espressamente previsto dal GDPR, e include elementi come razza, religione, opinioni politiche, dati sanitari, ecc.

Passaggi per prepararsi al GDPR

Mappatura dei dati: determina (e documenta) quanto segue:

• Quali dati personali possiedi o raccogli?
• Per quali finalità vengono utilizzati i dati personali?
• Da dove provengono questi dati e con quali parti sono stati condivisi?
• Dove risiedono attualmente questi dati?
• Per quanto tempo vengono archiviati i dati?
• Come verranno cancellati o modificati questi dati se un interessato presenta una richiesta?

Diritti – Controlla le tue attuali procedure per assicurarti di poter rispettare i diritti degli interessati. I cittadini dell'UE hanno il diritto di accedere ai propri dati personali. Possono anche richiedere una copia dei loro dati e che i loro dati vengano aggiornati, cancellati, limitati o spostati in un'altra organizzazione senza impedimenti, in determinate circostanze.

Consenso – Quando si fa affidamento sul consenso come base per il trattamento dei dati personali, indicare come si persegue, si ottiene e si documenta il consenso. Per alcuni (ma non tutti) tipi di attività, il consenso dovrebbe generalmente essere ottenuto da un individuo al fine di utilizzare i propri dati, ad esempio durante il trattamento di categorie speciali di dati personali. Il GDPR afferma che il consenso dovrebbe essere dato da un chiaro atto affermativo: il silenzio, le caselle preselezionate o l'inattività in genere non costituiscono consenso. Anche il consenso dovrebbe essere informato.

Le organizzazioni dovranno fornire informazioni sul motivo per cui stanno raccogliendo i dati personali e per cosa verranno utilizzati.

Ti verrà inoltre richiesto di conservare un registro di tutti i consensi ottenuti, incluso chi ha acconsentito, quando e a quali dichiarazioni specifiche acconsente. I cittadini dell'UE avranno il diritto di revocare il consenso in qualsiasi momento.

Norme sulla privacy: esamina la tua attuale politica sulla privacy e determina se sono necessari aggiornamenti.

Design del prodotto: dovresti integrare la privacy in base alla progettazione nei progetti e considerare come ridurre al minimo l'impatto sulla privacy dei tuoi prodotti. Cerca di utilizzare la pseudonimizzazione, l'anonimizzazione e la crittografia ove appropriato o necessario. Informazioni più dettagliate sulla privacy by design sono disponibili all'articolo 25 del GDPR.

Procedure di violazione dei dati: assicurati di disporre di procedure in atto per rilevare, segnalare e indagare su eventuali violazioni dei dati. Il GDPR richiede alle organizzazioni di segnalare una violazione alle autorità per la protezione dei dati generalmente entro 72 ore dal rilevamento, a meno che sia improbabile che la violazione comporti un rischio per i diritti alla privacy delle persone.

Responsabile della protezione dei dati: determinare se è necessario nominare un responsabile della protezione dei dati (DPO). Il GDPR afferma che un DPO deve essere nominato quando le attività principali dell'organizzazione implicano "il monitoraggio regolare e sistematico degli interessati su larga scala" o quando l'organizzazione conduce un trattamento su larga scala di "categorie speciali di dati personali". Il DPO è responsabile della supervisione della conformità ai requisiti del GDPR e funge da punto di contatto tra l'organizzazione e le autorità di controllo.

Fornitori di terze parti: fai un elenco di tutte le soluzioni di terze parti che utilizzi attualmente (inclusi i cookie di monitoraggio del sito Web) che hanno accesso o elaborano i dati personali degli interessati. Dovresti rivedere tutti i tuoi contratti con fornitori di terze parti. Includi nei tuoi contratti clausole di riservatezza e privacy dei dati che, ove necessario, sono conformi al GDPR. Chiedi ai fornitori di terze parti che hai determinato rientrano nell'ambito di applicazione se sono conformi al regolamento GDPR.

Consapevolezza: istruisci i tuoi dipendenti sul GDPR e sul suo impatto sulla raccolta e sulla gestione dei dati personali dei clienti.

E per quanto riguarda lo scudo per la privacy?

Il GDPR ha requisiti specifici per quanto riguarda il trasferimento di dati personali al di fuori dell'UE.

Ad esempio, il trasferimento dei dati deve avvenire solo in paesi che sono stati determinati a disporre di adeguate leggi sulla protezione dei dati o in cui sono stati messi in atto meccanismi di esportazione dei dati appropriati.

L'UE non ritiene che gli Stati Uniti dispongano di leggi sulla protezione dei dati adeguate, tuttavia, il Privacy Shield è un programma di autocertificazione volontario a cui le organizzazioni statunitensi possono partecipare per dimostrare di disporre di pratiche di protezione dei dati adeguate per soddisfare questo requisito del GDPR .

SendGrid è certificato Privacy Shield e offre anche clausole contrattuali standard ai clienti come meccanismo alternativo di esportazione dei dati.

In che modo questo influisce sull'e-mail?

Il GDPR avrà un impatto sulle pratiche di marketing. Tutti gli e-mail marketing interessati al GDPR devono affrontare il modo in cui perseguono, ottengono e documentano il consenso dove è necessario. Gli esperti di marketing vorranno anche assicurarsi di poter aggiornare, eliminare, limitare o spostare i dati di un individuo, se richiesto. Rispettando il GDPR e rimuovendo gli indirizzi email dei soggetti indesiderati dalle tue liste, puoi migliorare la tua deliverability!

Cosa succede dopo?

Se ritieni che la tua organizzazione sarà interessata dal GDPR, contatta un avvocato per saperne di più sui tuoi obblighi particolari ai sensi del GDPR. Lo scopo di questo post è evidenziare alcuni dei cambiamenti che potrebbero verificarsi per le organizzazioni a seguito del GDPR. Il testo completo del GDPR è disponibile qui. Puoi anche trovare maggiori informazioni relative all'utilizzo dei cookie, al regolamento e-privacy e come si collega al GDPR qui.