Giacomo CerriAdeguarsi al GDPR è semplice: ecco quali sono le novità introdotte dal regolamento UE.
Il GDPR è ormai al secondo anno di vita, ma molte aziende operanti anche sul web non hanno ancora adeguato le proprie pratiche e i propri portali. Vediamo quali sono le principali normative contenute nel GDPR e come adeguarsi, in modo da non rischiare una multa salata
Il GDPR, acronimo di General Data Protection Regulation, è un regolamento UE che si applica a tutti i cittadini residenti all’interno dell’Unione Europea. Lo scopo del GDPR è regolare e creare una normativa unica per i dati personali. Si è trattato di una vera e propria rivoluzione: l’Unione Europea è entrata a gamba tesa su un argomento molto spinoso, che necessita di strumenti legislativi costantemente aggiornati.
È possibile dire che in una bilancia tra esigenze commerciali e diritti del cittadino, il GDPR tende molto di più verso il secondo elemento: si tende infatti a dare valore al consenso dell’utente/cittadino in merito ai propri dati personali. Prima di spiegare come è possibile adeguare il tuo sito web o le tue strategie di lead generation, vediamo quali sono le principali novità introdotte a partire dal 2018.
Caratteristiche GDPR: cosa cambia rispetto a prima
Il GDPR, prima di tutto, impone che ogni sito presenti una chiara interfaccia per fornire il consenso al trattamento dei dati personali. Non basta più che l’utente accetti un’unica clausola omnicomprensiva: tutti i consensi devono essere selezionati individualmente. I siti web non possono, inoltre, negare i propri servizi a chi nega le autorizzazioni.
I consensi dati in passato, inoltre, devono essere revocabili in maniera immediata, in qualsiasi momento. Si stabilisce anche il titolare dei dati e le modalità di trattamento. L’elemento della responsabilità diventa infatti centrale: il titolare diventa il fulcro del discorso.
Chi è il DPO?
Accanto al titolare viene a configurarsi una nuova figura, il DPO (Data Protection Officer). La figura deve essere individuata in ogni azienda e si accerta che siano rispettate tutte le disposizioni del GDPR. In particolare l’esperto, che dovrà essere preventivamente formato, si occuperà di monitorare eventuali violazioni del protocollo, riferendo direttamente al titolare. Il DPO sarà anche il primo intermediario con gli utenti/cittadini.
Il principio dell’extraterritorialità e l’ammontare delle sanzioni
La parte più innovativa del GDPR risiede proprio nel suo raggio di applicazione. Il web è infinitamente vasto e mette in contatto senza alcun problema parti del mondo lontanissime. Si correva il rischio che, ponendo norme restrittive alle aziende registrate in uno degli stati membri UE, aziende extra-UE fossero esentate dall’applicare il GDPR. Uno scenario del genere avrebbe indubbiamente favorito, ad esempio, tutti gli attori operanti negli Stati Uniti come Apple, Facebook, Google e altri big della tecnologia.
In realtà il GDPR si applica anche ad aziende che operano nel territorio extra-UE e raccolgono dati di cittadini UE. In altre chi non tratta adeguatamente i dati dei cittadini europei rischia egualmente una sanzione. Questa è la ragione per cui, nei primi periodi di entrata in vigore della norma, erano molteplici i siti extra-UE per noi oscurati.
Altro esempio pratico? Dopo l’ufficializzazione della Brexit, alcuni big come Google hanno annunciato che i cittadini britannici afferiranno ai server ospitati negli Stati Uniti, con il regolamento applicato in tale area geografica. Una differenza di non poco conto.
Come funzionano le sanzioni?
Le sanzioni per i violatori del GDPR sono molto salate e – anche se i controlli potrebbero non essere capillari – il rischio è molto alto. Le aziende che non sono in regola con i regolamenti UE rischiano una multa che può arrivare fino al 4% del fatturato annuo globale o, in alternativa, di 20 milioni di euro. Il principio di proporzionalità è proprio studiato per incentivare anche le grandi aziende al rispetto delle regole.
Il diritto all’oblio
I casi di cronaca portano alla nostra attenzione sempre più casi di intrusioni del digitale nella nostra vita passata. In altre parole abbiamo imparato, a nostre spese, che i contenuti pubblicati sul web durano potenzialmente per sempre, e rimuoverli potrebbe non essere così facile. Il diritto all’oblio rende molto più semplice cancellare le proprie informazioni da siti o da motori di ricerca, facendo una semplice richiesta circostanziata. Naturalmente la norma non si applica quando le informazioni sono effettivamente di pubblica utilità, in tutti gli altri casi un utente o un cittadino può decidere di far rimuovere tutti i riferimenti che lo riguardano sul web.
Come adeguarsi al GDPR e come chiedere il consenso al trattamento dei dati personali
Adeguarsi alle norme del GDPR non è dispendioso ed è abbastanza semplice se si affida il compito a uno dei tanti tool o a professionisti del settore. Devi considerare, inoltre, che non solo il tuo sito web andrà adeguato, ma anche i tuoi archivi. Se, ad esempio, la tua azienda offre una newsletter e l’archivio contatti contiene voci inserite prima del GDPR con le vecchie norme, quest’ultimo dovrà essere aggiornato. Bisognerà tornare a chiedere il consenso agli iscritti.
Stesso discorso va fatto con il sito web. Bisognerà scrivere una privacy policy ben circostanziata e fornire tutti gli strumenti per fornire il consenso a ogni capitolo e revocarlo. Basterà inserire tutti i dati necessari e incollare il codice HTML fornito nel proprio sito web. La normativa non esclude strumenti custom per raccogliere il consenso, l’importante è che la forma si adegui al regolamento UE.
OfficeAdOk ti aiuta a proteggere i dati dei tuoi clienti
Se hai bisogno di una consulenza specialistica sulle formule del trattamento dati e cerchi un intervento operativo per adeguare i tuoi portali e il tuo direct marketing, puoi rivolgerti a OAO. OfficeAdOk ti fornirà tutte le soluzioni adatte, proponendoti anche un’assistenza tecnica continua. Contattaci per saperne di più!