Nuovo regolamento GDPR: tra responsabilità ed adeguamento per PMI.

Con l’entrata in vigore del Regolamento generale per la protezione dei dati (GDPR), la responsabilità legata al diritto alla privacy è tornata ad essere un tema fortemente discusso anche per le PMI.

Ma perché dovresti saperne di più?

I concetti strettamente connessi di privacy e data protection spesso vengono confusi. Tuttavia rappresentano due sfere ben distinte.
La privacy fa riferimento al diritto di riservatezza delle informazioni personali e della vita privata, strumento a tutela della sfera intima del singolo individuo. La protezione dei dati personali invece riguarda il trattamento dei dati stessi che identificano una persona in maniera diretta o indiretta.

Tutte le piattaforme, dopo l’entrata in vigore del GDPR, si sono trovate ad affrontare questa tematica e, almeno all’inizio, ognuno ha scelto un approccio differente rispettando solo parte della regolamentazione.
Nel mondo della comunicazione si è generato del caos.

Proviamo a fare ordine partendo dai concetti di base. Cosa è il GDPR e perché se n’è tanto parlato negli ultimi anni?

Più data protection per tutti

Il General Data Protection Regulation (GDPR) è il regolamento generale per la protezione dei dati personali n. 2016/679, normativa entrata in vigore nel 2016 e attuata dal 25 maggio 2015.

L’intento alla base della regolamentazione è rendere più omogenea e armoniosa la materia della protezione dei dati personali all’interno dell’Unione Europea.
Tutto ha avuto inizio con il Trattato di Lisbona, grazie al quale la protezione dei dati personali è oggi considerata un diritto del cittadino e deve essere garantita.

“C'è ancora un livello di superficialità, sia da parte dei gestori di banche dati che degli utenti. Ma dobbiamo capire che la protezione dei dati è una questione di libertà, in gioco c'è un diritto fondamentale che non può essere sacrificato in nome della sicurezza o degli interessi economici”

GDO

Il motivo per cui nasce il bisogno di affermare un diritto alla protezione dei dati personali è la ricerca di una maggiore libertà nell’era digitale.
La funzione del regolamento GDPR n. 2016/697 è infatti unificare la protezione dei dati per i cittadini dell’Unione Europea senza alcuna distinzione, ma allo stesso tempo anche agevolare il processo di scambio dati tra aziende e singoli individui.

Sono considerabili come dati personali tutte le informazioni sul tuo conto, a partire da nome, dati di nascita, indirizzi e contatti vari. Si tratta di quei dati che spesso le aziende ti richiedono e con questa regolamentazione si stabilizza il processo di gestione dei dati ed anche una maggiore responsabilità nella richiesta e nell’utilizzo in sicurezza degli stessi.

Quali sono i concetti cardine della nuova regolamentazione GDPR?

Acconsento o Non acconsento? Questo è il problema

Hai presente quel pop up che ti capita di incontrare quando entri per la prima volta in un sito web? Ti compare in sovraimpressione un’opzione da scegliere: “Non Acconsento” e “Acconsento”.

Saresti portato a chiederti di cosa si tratta, ma la necessità di navigare, a volte, porta ad un click casuale, non molto consapevole di cosa ci sia dietro. In caso non ti fossi fermato a leggere cosa c’è scritto o tu non abbia idee chiare su cosa possa significare per te quel pop up, noi ne parliamo qui.

Ad esempio qui troverai: “Utilizziamo i cookies 🍪 per fornirvi un’esperienza di navigazione migliore. Continuando a utilizzare il nostro sito Web, accetti la nostra cookie policy”.

Tutto ciò che deve interessarti, se sei un’azienda e stai creando o vorresti sviluppare il tuo sito web, riguarda il principio del legittimo interesse del consumatore legato alla gestione e memorizzazione dei dati sensibili, cookie e requisiti previsti, nonché privacy policy.

  • Gestione e memorizzazione dei dati sensibili.
    Da una visione proprietaria dei dati che non permetteva il trattamento del consenso, ad una visione di controllo per la libera circolazione che rafforza la consapevolezza dei diretti interessati sui dati che forniscono.
  • Cookie.
    File usati per memorizzare le preferenze e le informazioni di navigazione durante la visita su un sito web; hanno una scadenza impostata dai proprietari dei siti web.
    Con il GDPR è necessario richiedere espressamente il consenso al loro utilizzo, in un’ottica di legislazione opt-in.
  • Privacy policy.
    Nel caso in cui un utente acquistasse un bene o un servizio, questo sarebbe sufficiente a far pensare al titolare del trattamento che l’utente sia interessato a comunicazioni commerciali su articoli simili. Il problema sussiste se non avviene la corretta informazione dei soggetti coinvolti.

 

Ogni sito poi potrebbe richiedere precise modifiche, legate ai dati raccolti ed al sistema attuato in materia di protezione. Dunque partendo da buone pratiche comuni è utile poi analizzare il caso specifico, perché può variare di volta in volta.

Gestione e memorizzazione dei dati sensibili sono normati, così da garantire più sicurezza agli utenti.

Prima e dopo il GDPR 2016/697

A distanza di tre anni dalla promulgazione del regolamento a livello europeo ed a livello italiano cosa è successo?

In Europa in molti hanno scelto di utilizzare un box di accettazione dei cookie, a partire dai grandi motori di ricerca (es. Google) fino ad aziende private in ogni settore (es. automotive). C’è una forte attenzione al tema, agli aspetti tecnici ed alle misure di sicurezza. Ma ogni nazione ha dato spazio alla legislazione in maniera e con interpretazione differenti.

In Italia la situazione è leggermente diversa perchè per le PMI l’elevato grado di dettaglio ha generato una sensazione di spaesamento iniziale accompagnata dal fatto che in generale l’interpretazione di legge consente all’utente di utilizzare specifiche configurazioni di browser o client di posta elettronica, grazie ai quali si possono memorizzare o meno i cookie.

Il GDPR rende ogni individuo, in maniera uniforme in tutta Europa, libero di scegliere dove inserire il proprio flag.

Sono un PMI. Cosa mi aspetta?

Il modo migliore per allinearsi alla normativa del 2016 è scegliere un approccio intelligente caratterizzato da:

  • Trasparenza nella raccolta dati.

  • Visibilità sull’elaborazione dei dati.

  • Informazione dei diritti propri di tutti gli utenti.

Come in ogni processo di sviluppo e adeguamento strategico di un’azienda a una specifica normativa, alla base di un ottimo funzionamento devono esserci la cooperazione e l’adozione di un approccio efficace per affrontare i cambiamenti e trasformarli in punti di forza e non in punti di debolezza. Questo porta un significativo miglioramento nelle modalità in cui si affronta tale situazione.

Per rendere ancora più efficace questo processo ti suggeriamo di ricordare:

  • Un uso di un linguaggio semplice e chiaro, che non generi fraintendimenti o confusione in chi legge.

  • I tuoi utenti potranno chiedere l’accesso ai dati in tuo possesso.

  • La conservazione dei dati ha un tempo definito di permanenza legato allo scopo che si cerca di raggiungere.

  • I tuoi utenti potranno invocare il diritto all’oblio, cioè la visualizzazione dei dati e la contestazione e/o il cancellamento degli stessi.

  • Bisogna sempre avere archiviate tutte le informazioni relative al consenso del trattamento dei dati e si deve dare la possibilità al singolo individuo di revocare il consenso in maniera semplice, come in fase di scelta.

  • Il consenso è legato alla finalità di impiego e dovrebbe riguardare tutte le attività di trattamento effettuate, per ogni scopo è necessario un apposito consenso.

  • In caso un utente sia anche un minore, sarà necessario il consenso di un genitore o del suo tutore.

  • Evita di utilizzare le caselle pre-compilate. Non sono ammesse!

  • In caso di violazione illecita dei dati personali che generi la perdita o la distruzione, sussiste l’obbligo di notifica sia agli interessati che all’autorità garante.

  • Sensibilizzazione e formazione del personale sono obbligatorie per chi svolge attività legate al trattamento dei dati.

Un esempio concreto: la GDPR in uno studio odontoiatrico

In ambito medico-sanitario la questione legata al GDPR è ancora più importante ed ha inizio con il dovere di responsabilizzazione (fondamentale!) che ogni studio medico ha verso il singolo paziente/individuo sul trattamento dei suoi dati.

Se anche tu hai uno studio medico o odontoiatrico o nei fai parte, tutti i giorni parlerai con i tuoi pazienti di Anamnesi, Diagnosi, Terapia sanitaria, Prevenzione o Riabilitazione attraverso uno scambio di moduli cartacei o informatizzati.


Ecco, alla base della responsabilizzazione, c’è l’informazione che ogni paziente è tenuto ad avere circa il suo percorso all’interno dello Studio medico/odontoiatrico, attraverso il parallelismo tra le finalità per cui si raccolgono i dati e le modalità di trattamento.

Alla luce di ciò, quali informazioni è giusto veicolare? Quali possono confondere il paziente?

Il principio imprescindibile riguarda la necessità di adottare un linguaggio chiaro e preciso veicolando specifiche informazioni al paziente. Per questo è importante conoscere chi è il destinatario del tuo trattamento: una segmentazione dei pazienti che frequentano il tuo studio può essere un ottimo punto di partenza.


Ad esempio, svolgi prevalentemente trattamenti legati alla pedodonzia? I tuoi pazienti avranno una fascia di età molto specifica e dovrai trattare sicuramente la tematica del consenso dei minori!

Un altro tema è quello del marketing online.


Nel tuo studio svogli o hai intenzione di svolgere attività di web marketing? Anche in questo caso è importante conoscere il contenuto del GDPR n° 2016/697.
Alla luce della regolamentazione, cambiano le modalità di gestione di un sito web, dei social dello studio ed anche della messaggistica istantanea.
Diventa necessario adeguare il sito web, inserendo la privacy policy con tutte le novità, disciplinare i cookie ed i rispettivi banner, la newsletter, i contatti, le prenotazioni.
Molta attenzione va prestata ai social network, la disciplina rimane la stessa dei siti web ed è fondamentale veicolare le informazioni in maniera chiara.

Conclusioni

Con il cambiamento della protezione dei dati personali, cambia anche la programmazione delle attività di marketing e di gestione per una PMI.

La normativa risulta un po’ meno restrittiva rispetto agli obblighi previsti per le grandi aziende. Ad esempio per le PMI non sussiste la necessità di nominare un DPO (Data Protection Officer) che supervisioni il trattamento dei dati dell’impresa; oppure non si devono fare notifiche ordinarie all’autorità garante, ma rimarranno esclusivamente le comunicazioni straordinarie.

I due concetti cardine, alla base di un corretto perseguimento della normativa, sono quindi la responsabilità che è in capo al titolare dell’azienda e l’adeguamento alla regolamentazione.

In conclusione l’azienda, nel ruolo di responsabile del trattamento dati, deve ricordare che l’intero processo è subordinato all’utente, l’unico titolare effettivo del trattamento.
Trattare i dati personali non è solo una questione di impresa ma riguarda la sfera più personale dei diritti, per cui la cautela e l’adempimento degli obblighi previsti nel GDPR n°2016/697 sono auspicabili al fine di un miglioramento costante della materia e di una maggiore libertà ed una maggiore chiarezza nella gestione dell’argomento a livello nazionale.

Chiarezza e libertà sono il miglior modo di vivere il mondo online. È importante ricordare sempre che le nostre libertà confinano con i diritti degli altri. Nel mezzo puoi generare un rapporto di fiducia tra la tua azienda e tutti i possibili utenti, l’importante sarà partire dal rispetto delle norme.

Scopri come applicare questi concetti anche all'interno della tua azienda.

Prenota un’ora di meeting per raccontarci chi sei e quali sono i tuoi progetti in cantiere.

oppure
Utilizziamo i cookies 🍪 per fornirvi un’esperienza di navigazione migliore.
Continuando a utilizzare il nostro sito Web, accetti la nostra cookie policy.