In che modo il GDPR ti influenzerà

C'è stato molto rumore sull'imminente legislazione sul regolamento generale sulla protezione dei dati (GDPR) che entrerà in vigore il 25 maggio 2018. Il nostro CEO, John Paterson, esamina i fatti e offre suggerimenti pratici agli imprenditori per prepararsi al cambiamento.

Cos'è il GDPR?

Il GDPR è un regolamento CE progettato per proteggere la privacy dei cittadini CE, garantire che i loro dati non vengano esportati fuori dalla CE verso paesi che non dispongono di leggi sulla privacy adeguate e assicura che i cittadini abbiano il controllo su come vengono utilizzati i loro dati.

Privacy:quale privacy?

Ai lettori al di fuori della CE, deve sembrare che siamo ossessionati dalla "privacy". In effetti, il concetto è recente che è nato con il cambiamento che la tecnologia ha apportato alla società.

Il diritto alla privacy derivante dalla sorveglianza del governo è sancito da molti documenti, tra cui la Dichiarazione dei diritti dell'uomo delle Nazioni Unite (1948), la Convenzione europea dei diritti dell'uomo e il quarto emendamento al Costituzione degli Stati Uniti. Non è stato fino all'avvento di Internet che anche le grandi aziende sono state in grado di condurre, in effetti, una sorveglianza di massa. Nel 1999, Scott McNealy, allora CEO di Sun Microsystems, disse (in)famoso:"La privacy è morta. Farsene una ragione!" e l'allora presidente di Google, Eric Schmidt, ha rilasciato diverse dichiarazioni pubbliche secondo cui la privacy era una cattiva idea.

Negli Stati Uniti non esiste quasi alcuna legislazione sulla privacy, l'HIPAA è un'eccezione, essendo lasciata al dio del libero mercato. Se desideri la privacy, non utilizzare servizi gratuiti come Facebook o Ricerca Google. Questo è il problema, i servizi sono gratuiti e paghi fornendo loro i tuoi dati in modo che possano venderli agli inserzionisti. Esiste anche una serie di leggi che consentono alle agenzie governative un accesso illimitato ai dati con un controllo giudiziario estremamente limitato, in particolare negli Stati Uniti.

Al di fuori della CE solo pochi paesi prendono sul serio la privacy, vale a dire Australia, Canada e Nuova Zelanda. Anche altri paesi come la Russia e la Cina stanno cercando di far rispettare che i dati sui loro cittadini siano archiviati solo all'interno della loro giurisdizione legale, ma questo riguarda meno i diritti dei cittadini e più la sorveglianza del governo. Mi è stato detto che in cinese il pittogramma più vicino alla "privacy" è "solitudine".

Il GDPR esporta di fatto la nozione europea di diritto alla privacy a qualsiasi azienda che raccolga dati personali su cittadini comunitari, supportata da severe sanzioni per la non conformità.

Cosa comporta il GDPR per le aziende

• Consenso:non puoi contattare le persone a meno che non abbiano espressamente acconsentito
• Violazioni dei dati:regole rigorose di segnalazione per le violazioni dei dati
• Ammende e sanzioni:grandi multe per aver infranto le regole
• Diritto alla cancellazione:un aggiornamento del diritto all'oblio
• Portabilità dei dati:i dati personali devono essere messi a disposizione del cittadino se lo richiede
• Protezione dei dati:i dati devono essere conservati in modo sicuro

Dati personali

I dati personali sono tutti i dati che consentirebbero di identificare un individuo vivente. In particolare include cookie, indirizzi IP, nonché nome ovvio, indirizzo, indirizzo e-mail, telefono fisso e numero di cellulare/cellulare.

Consenso

A partire dal 25 maggio 2018 nessuna organizzazione, indipendentemente dal paese in cui ha sede, sarà in grado di inviare e-mail di marketing o messaggi SMS a cittadini comunitari a meno che tale cittadino non abbia fornito il consenso esplicito per essere contattato da tale organizzazione sull'argomento specifico.

Niente più caselle di accettazione preselezionate, nessun testo che dice "consulta la nostra politica sulla privacy"; deve essere una casella di controllo deselezionata che descrive cosa accadrà se la selezioni. In alternativa, è necessario fornire un doppio consenso tramite un'e-mail di conferma in cui la persona deve fare clic su un collegamento per acconsentire.

Dovrai anche essere in grado di registrare come e quando è stato dato il consenso per fornire una prova nel caso in cui l'organismo di regolamentazione (nel Regno Unito questo l'Ufficio del Commissario per le informazioni) dovesse ricevere un reclamo.

Ottenere il consenso

Il consenso può essere acquisito tramite una casella di controllo dedicata su un modulo o facendo clic su un collegamento dedicato da un'e-mail. Consegnare un biglietto da visita o telefonare non significa dare il consenso!

Inutile dire che l'acquisto di dati personali sotto forma di mailing list è morto poiché i consensi "raggruppati" sono specificamente vietati.

Violazione dei dati

Hai 72 ore per segnalare eventuali violazioni dei dati all'autorità di controllo. Dovresti quindi informare gli interessati "senza indebito ritardo", la tempistica dipendente dal probabile rischio di danno per quell'individuo.

Una violazione è definita come "una violazione della sicurezza che porta alla distruzione, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso accidentale o illegale ai dati personali trasmessi, archiviati o altrimenti elaborati".

Ammende e sanzioni

Sono stati scritti molti titoli spaventosi sulle sanzioni draconiane per la violazione del GDPR. Le multe massime sono di 20 milioni di euro o fino al 4% dei ricavi globali, a seconda di quale sia maggiore.

Ma queste sono le sanzioni massime allo stesso modo in cui potresti, in teoria, essere condannato al carcere per non aver acquistato un biglietto del treno. In pratica, è improbabile che l'organismo di regolamentazione faccia nulla se una persona si lamenta se non inviando una lettera di avvertimento. Le sanzioni sono lì per fermare quelle aziende che abusano palesemente e ripetutamente del GDPR, come gli spammer e le aziende che effettuano chiamate a freddo fastidiose. E, naturalmente, i frustini preferiti della CE, Google e Facebook.

Diritto alla cancellazione

Gli individui possono richiedere la cancellazione dei dati in loro possesso. Ci sono alcune esenzioni a questo, ma in pratica per la maggior parte delle aziende dovrai rispettare. Devi adempiere senza indugio e sicuramente entro un mese.

Portabilità dei dati

Gli individui possono richiedere una copia dei propri dati in formato leggibile dalla macchina. Questo vale per i dati che ti hanno fornito e, oltre ai loro dati personali, sono incluse le loro e-mail memorizzate e la cronologia degli acquisti e dei pagamenti.

Protezione dei dati

Se detieni dati personali, hai il dovere di diligenza nella salvaguardia di tali dati. Ciò include la limitazione dell'accesso solo a coloro che hanno bisogno dell'accesso per svolgere il proprio lavoro, assicurandosi che i dati siano conservati in modo sicuro. Devi anche dimostrare la conformità al GDPR.

In determinate circostanze, come il trattamento di dati sensibili (ad es. casellario giudiziario, dati sanitari) e laddove il trattamento dei dati avrà conseguenze legali, sarà necessario condurre una valutazione dell'impatto sulla privacy.

Puoi trasferire dati personali solo verso paesi all'interno della CE o quelli in cui la Commissione ha stabilito che il paese ha livelli adeguati di protezione dei dati. Tale elenco comprende attualmente Andorra, Argentina, Canada, Svizzera, Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Uruguay e Nuova Zelanda. Tieni presente che l'elenco non include gli Stati Uniti.

Separare il fatto dalla finzione

C'è stata molta disinformazione sul GDPR. Qui ho dato uno sguardo ai malintesi più comuni.

Le aziende statunitensi possono conformarsi al GDPR

Le società statunitensi possono probabilmente rispettano il GDPR ma solo se memorizzano i dati personali su server con sede all'interno della CE. Se archiviano dati personali negli Stati Uniti, non lo fanno, nonostante ciò che potrebbero affermare. Questo è un argomento complesso e controverso ma la logica è questa:

• Se i dati personali devono essere trasferiti fuori dalla CE, l'individuo deve esserne informato in anticipo
• L'accordo Safe Harbor negoziato tra il 1998 e il 2000 tra l'UE e gli Stati Uniti è stato concepito per consentire alle aziende statunitensi di conformarsi alle leggi sulla privacy dei dati della CE. Tuttavia, nell'ottobre 2015 la Corte di giustizia europea (CGUE) ha stabilito che Safe Harbor non era valido in quanto non offriva una protezione adeguata
• Nel luglio 2016 è stato negoziato lo scudo per la privacy dei dati USA – CE nel tentativo di superare le riserve della Corte di giustizia. Ancora una volta, tuttavia, il GDPR è molto più rigoroso delle precedenti direttive sui dati e gli stessi problemi persistono negli Stati Uniti, per quanto riguarda la capacità del governo degli Stati Uniti di accedere ai dati di chiunque. Esistono salvaguardie minime per i dati dei cittadini statunitensi e tutti gli altri non ne hanno
• Il 12 aprile 2017 il gruppo di lavoro articolo 29 sulla protezione dei dati ha concluso che lo scudo UE-USA per la privacy non soddisfa gli standard dell'UE perché, tra le altre preoccupazioni, "la posizione sulla raccolta massiccia e indiscriminata di dati a fini di sicurezza nazionale non è chiara .” Nell'attuale clima politico negli Stati Uniti è difficile immaginare che l'amministrazione offra ai cittadini dell'UE una protezione migliore della propria.
• È un punto controverso se i dati siano completamente al sicuro se detenuti da società statunitensi nella CE. In teoria dovrebbe esserlo, ma i tribunali statunitensi stanno ancora cercando di costringere aziende come Microsoft a consegnare i dati archiviati nella CE

Il marketing B2B non è coperto dal GDPR

Ci sono alcuni articoli in circolazione che affermano che la comunicazione B2B sarà consentita dal GDPR perché la prossima legislazione sulla privacy elettronica che sarà emanata contemporaneamente al GDPR farà questa distinzione e consentirà l'opt-out piuttosto che il consenso opt-in. In altre parole un link di annullamento dell'iscrizione.

Il nuovo regolamento e-privacy sostituisce l'attuale direttiva e-privacy ed è concepito per offrire chiarezza per le comunicazioni elettroniche, ad esempio e-mail e messaggi SMS. È un regolamento e non una direttiva, il che significa che mentre il GDPR diventerà automaticamente legge in tutta la CE, ogni Stato membro dovrà emanare una legislazione per abilitare la e-Privacy. Questo dà a ciascun paese una certa libertà per quanto riguarda la formulazione esatta e quindi potrebbe fare una distinzione tra B2B e B2C.

Fino a quando ogni paese non avrà approvato la legislazione non sapremo come verranno trattate le comunicazioni B2C, se si distingue. Inoltre, non sappiamo quali dati saranno considerati dati B2B anziché dati B2C. Gli account Gmail personali, i numeri di cellulare e gli indirizzi IP potrebbero essere tutti personali. Non sappiamo nemmeno se la normativa sarà effettivamente convertita in legge in tempo.

Pertanto, la nostra conclusione è che se e fino a quando la normativa sulla e-Privacy non distingue tra B2B e B2C, il GDPR non opera tale distinzione e non ci sono esenzioni per le comunicazioni B2B.

Se non risiedo nell'UE, la sentenza non si applica

Se detieni dati personali su cittadini della CE e fai affari con clienti nella CE, sarai interessato dal GDPR. Se la CE possa fare qualcosa al riguardo è un'altra questione.

Conformità

Hai tempo fino al 25 ^esimo maggio 2018 per ottemperare e da allora non potrai inviare comunicazioni elettroniche a cittadini comunitari senza il loro specifico consenso. Per la maggior parte delle aziende ciò significa che non saranno in grado di inviare e-mail a nessuno sul loro database di marketing esistente poiché non avranno raccolto formalmente tali consensi verificabili. È quindi necessario iniziare a raccogliere tali consensi ora, sia dai nuovi contatti che dal database esistente.

Elenco di controllo del regolamento generale sulla protezione dei dati

1. Nominare un responsabile del trattamento dei dati che dovrebbe aggiornarsi rapidamente con la legislazione
2. Fai un elenco di tutti i tuoi sistemi che contengono dati personali:il tuo CRM, il sistema di contabilità, il sistema delle risorse umane, i database dei contatti nei client di posta elettronica come Outlook, tutti quei fogli di calcolo sparsi sui laptop delle persone con i dati dei contatti al loro interno
3. Fai un elenco di tutti i tuoi Responsabili del trattamento, quei sistemi esterni che utilizzi che contengono dati personali. Assicurati che contengano dati solo nella CE e siano, o saranno, conformi al GDPR. Se operi in un settore regolamentato, ottieni un certificato o un contratto che ne garantisca la conformità
4. Inizia subito ad acquisire i consensi dalle nuove richieste
5. Scopri come otterrai i consensi dai contatti nel tuo database esistente da qui al 25 ^esimo maggio 2018
6. Elaboro una procedura per la gestione delle notifiche di violazione, sia per l'organismo di regolamentazione che per i contatti stessi. Se si verifica una violazione, non avrai il tempo di considerare il modo migliore per farlo, quindi fallo mappare in anticipo
7. Rivedi e aggiorna le informative sulla privacy e i termini e le condizioni sul tuo sito web

Leggi di più sul GDPR

Abbiamo scritto una serie di blog per aiutarti a comprendere il GDPR e cosa devi fare per essere conforme:

La conformità al GDPR per sistemi davvero semplici spiega la nostra conformità al CRM
Il buono, il cattivo e il... GDPR? esamina i pro e i contro del GDPR
Il lancio della conformità al marketing GDPR introduce la prima fase delle nostre funzionalità di conformità al GDPR