Una matassa piuttosto intricata. Così molte aziende vedono il GDPR nonostante l’entrata in vigore della Riforma europea sia questione di settimane.
Per far luce sui punti fondamentali del testo di legge, MailUp si è affidata alle competenze di Marco Maglio, Avvocato, Presidente dell’Osservatorio Europeo sulla Data Protection e fondatore di Lucerna Iuris, con la cui collaborazione sono nati un hub dedicato e un ciclo di webinar (prossimi appuntamenti i 3 e 17 maggio).
Oggi invece ci soffermeremo su alcune domande e dubbi frequenti, relativi al GDPR e agli adempimenti che impone alle aziende.
1. Che cos’è il GDPR e quando entra in vigore?
GDPR è l’acronimo di General Data Protection Regulation, la nuova normativa pan-europea che promette di rivoluzionare il modo in cui vengono intesi e gestiti i dati personali sul web, in un’ottica di trasparenza, semplificazione e unificazione tra Paesi.
Approvato dall’Unione Europea nel 2016, il GDPR è formalmente già entrato in vigore, ma diverrà pienamente operativo il 25 maggio 2018.
2. Qual è la differenza rispetto alla normativa attuale?
Il GDPR non impone soltanto nuove regolamentazioni, ma segna una vera e propria rivoluzione nell’approccio al trattamento dei dati personali. Oggi i dati sono una materia prima (alla base, per esempio, della sharing economy, del marketing comportamentale, dell’Internet of Things). Da una parte il GDPR permette di sviluppare questo potenziale economico, dall’altra mira a tutelare i diritti di coloro che concedono i propri dati.
3. Quali sono le novità nella raccolta del consenso?
Partiamo dalle regole vigenti oggi in Italia, dove il meccanismo (molto rigido e formale) del consenso espresso (o metodo opt-in) impone che tale consenso sia valido solo se raccolto tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. Insomma, non basta il silenzio-assenso.
La nuova regolamentazione, per armonizzare istanze e regole diverse, trova un punto di equilibrio: il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti positivi. Non deve quindi essere esplicitato con una casella barrata o con la firma di un modulo, ma vale se deriva da un’azione compiuta dall’utente. Qualcosa che ricorda il funzionamento dei banner dei cookies. Tuttavia, è bene ricordarlo, restano valide le forme di consenso tipicamente italiane (con caselle da barrare e moduli da firmare).
4. Come comportarsi con i dati che le aziende divulgano pubblicamente, ad esempio reperibili online?
Anche se liberamente consultabili, questi dati non possono essere utilizzati liberamente per iniziative di marketing diretto in assenza di un consenso informato, specifico e formulato in modo non equivoco dall’interessato.
5. Il double-opt in è ancora raccomandato?
Pur non essendo legalmente obbligatorio, il double opt-in è certamente un meccanismo virtuoso e raccomandato, perché prevede un doppio step di conferma, da parte dell’utente, della volontà di ricevere le comunicazioni.
6. Come cambia l’informativa?
Il GDPR rivoluziona l’informativa, che dovrà essere semplice, trasparente, comprensibile, senza riferimenti normativi (siamo invece abituati a informative chilometriche, ostiche se non illeggibili).
La nuova informativa deve consentire di comprendere, a colpo d’occhio, che fine fanno i dati forniti; deve essere strutturata per facilitare una lettura progressiva: un primo livello molto semplice a cui far seguire paragrafi di approfondimento.
7. Che cosa fare dei dati raccolti in base alla vecchia normativa?
I dati già raccolti non vanno ritenuti persi: devono essere sottoposti a un’accurata analisi (definita assessment) per valutare se possono continuare a essere utilizzati anche alla luce della nuova normativa.
Entro il 25 maggio 2018 ogni azienda deve aver effettuato tale verifica e aver definito un eventuale programma di raccolta aggiornato secondo le nuove regole.
Per rivitalizzare i dati sarà necessario inviare una comunicazione chiara ed esplicita che tranquillizzi l’utente circa l’utilizzo e le finalità dei dati.
8. Se in azienda non vi fosse nessuno qualificato per seguire il GDPR, esistono realtà in gradi di farsi carico del processo di messa a norma?
La normativa prevede che la gestione degli obblighi relativi al GDPR sia affidata all’esterno, in outsourcing, sulla base di un contratto di servizio. Esistono aziende che gestiscono in outsourcing il processo di adeguamento e la successiva verifica dei processi di trattamento dei dati.
9. Quali sono le sanzioni previste per le aziende?
Facciamo un po’ di chiarezza. Le sanzioni imposte dal GDPR saranno più alte delle attuali. Il limite massimo sarà stabilito dall’autorità nazionale (in Italia, il Garante per la protezione dei dati e i giudici), in base ai seguenti criteri: se l’autore della sanzione è un’azienda singola (non parte di gruppi), la sanzione massima arriva a 20 milioni di euro; se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale.