Attenzione: questa breve guida è fornita a puro scopo informativo e non intende dare alcun consiglio legale. Per capire l'effettiva portata del GDPR sul vostro business, vi consigliamo di avvalervi dei servizi di un legale o di un esperto privacy indipendente
Con GDPR si intende nuovo Regolamento Generale per la Protezioni dei Dati, dunque il nuovo regolamento che l'Unione Europea si è data in ambito di trattamento dei dati personali di chiunque abiti in un qualsiasi stato membro.
Il regolamento, già approvato, entrerà in vigore il 25 Maggio 2018; è il primo tentativo dotare una regolamentazione comune a tutti gli stati membri, volta a proteggere i diritti dei singoli cittadini in ambito privacy e protezione dati personali.
Il GDPR si applica a chiunque collezioni, registri, immagazzini, organizzi, usi in senso generico dati relativi a persone fisiche residenti in EU.
GDPR e Email Marketing
A centro del GDPR ci sono due figure, che, nella versione italiana del documento, hanno mantenuto nomi noti: Il Titolare del trattamento dati (Data Controller) "determina scopi e modalità del trattamento dei dati personali", per cui è colui che ha responsabilità e titolarità sui dati raccolti. A lui fa riferimento la privacy policy ed è sempre a lui che gli utenti dovranno rivolgersi per far valere i propri diritti. Se avete una vostra lista di email, siete indubbiamente Titolari del trattamento dati nei confronti dei singoli che ve li hanno rilasciati, limitatamente al consenso prestato al momento del rilascio stesso.
Il Responsabile del trattamento dati (Data Processor) è colui che "processa i dati personali su incarico del Titolare", quindi, ad esempio, VOXmail assume questo ruolo quando invia email su vostra indicazione ai vostri contatti.
Cosa cambia dunque rispetto alla legge precedente? In realtà, per quel che riguarda l'email marketing, non troppo.
Consenso
Il Regolamento determina, in maniera piuttosto chiara, che il consenso al trattamento dati deve essere fornito dall'utente in maniera esplicita, tramite una azione positiva, e che al momento del consenso deve essere informato dei termini del trattamento (informativa privacy) in maniera chiara e sintetica.
I consensi che siano stati ottenuti prima del 25 maggio, se raccolti in modalità "compatibili" con il nuovo regolamento (i termini imposti dall'attuale legge sono da considerarsi compatibili), sono da ritenersi ancora validi.
Le settimane che ci separano dal 25 maggio sono comunque un buon momento per una revisione completa del nostro database: ricordiamo che il GDPR pone in capo al Titolare l'onere della prova del consenso, per cui è bene assicurarsi di avere la documentazione relativa (database con ip e timestamp della conferma dell'iscrizione, moduli cartacei)...
In pratica, tre punti da tenere in considerazione:
- Controllo del consenso per gli iscritti attuali (come detto non è necessario riottenerlo se era stato raccolto in modalità compatibili)
- Controllo dei form e delle modalità di iscrizione, per assicurarsi che avvengano nelle modalità richieste (consensi separati per i singoli trattamenti, link alla privacy policy...)
- Controllo e aggiornamento delle privacy policy, assicurandosi che siano in linea con le nuove richieste (anche in questo caso vi consigliamo di chiedere il parere di uno specialista)
Ricordate che l'utente deve sempre aver chiaro chi sia il Titolare al trattamento dati, inoltre nel documento di privacy policy devono essere chiaramente indicate tutte le operazioni di trattamento eseguite da voi o dai responsabili da voi nominati, in maniera concisa, trasparente, intellegibile e facilmente accessibile, usando un linguaggio chiaro e semplice.
Il GDPR garantisce all'utente una serie di diritti che devono poter essere esigibili in maniera chiara e semplice, entro tempi certi (il regolamento dichiara espressamente un tempo di risposta di massimo 30 giorni).
In sostanza i nostri utenti hanno il diritto a:
- Informazione trasparente circa il trattamento dei dati
- Cancellazione
- Correzione
- Portabilità
Al momento dell'iscrizione è opportuno informare l'utente sulle modalità con cui ottenere risposta a queste richieste, magari ripetendo l'informazione anche nell'email di conferma iscrizione. Le risposte devono sempre essere precise e puntuali, per cui è opportuno assicurarsi che sia possibile esportare in un formato portabile (CSV, ad esempio) i dati trattati.
Cosa farà VOXmail per aiutarvi in questo processo
VOXmail si sta preparando da tempo alla scadenza del 25 maggio: tutti i nostri sistemi nelle prossime settimane subiranno piccole e grandi modifiche proprio per essere completamente compliant con il nuovo regolamento.
Oltre alla formazione specifica che riguarda tutte le figure che operano in VOXmail (dipendenti, collaboratori, manager), verranno rilasciati una serie di strumenti che vi saranno d'aiuto nei vostri obblighi di Titolari al trattamento dati.
Revisione delle condizioni di servizio e delle privacy policy: le nuove condizioni di servizio specificheranno meglio il nostro ruolo di Responsabile del trattamento dati, per un'aderenza completa al GDPR.
Procedure di sicurezza e privacy: tutti gli operatori e gli sviluppatori VOXmail possono già da ora accedere alle liste dei nostri clienti solamente in forma anonimizzata, a meno di verifiche specifiche su incarico diretto del Titolare al trattamento dati. Verrà mantenuto un documento tecnico sulle procedure di sicurezza utilizzate internamente. Stiamo effettuando anche verifiche intensive su fornitori, per garantire il massimo rispetto del regolamento.
Diritti dell'interessato al trattamento: VOXmail mette da tempo in campo una serie di strumenti che vi aiuteranno nell'adempiere ai vostri doveri nei confronti dell'interessato.
Il 25 maggio è un punto di partenza: le domande, anche fra gli addetti ai lavori, sono ancora molte e siamo sicuri che molte questioni andranno definendosi dopo la data del 25 maggio. VOXmail sarà sempre al fianco dei suoi clienti, garantendo il massimo livello di compliance alle richieste dei regolamenti europei e nazionali, fornendo strumenti adeguati e assistenza di prim'ordine.
Commenti
Buongiorno, a proposito di
Buongiorno, a proposito di aderenza al GDPR vorrei sapere se i vostri server risiedono all'interno della UE. Grazie.
Salve,
Quindi nella privacy policy
Quindi nella privacy policy di iscrizione alla newsletter, come responsabile del trattamento dovrei mettere VoxMail? A differenza del Titolare del trattamento, che è solitamente la società, il Responsabile non deve essere una persona fisica? E quindi Mario Rossi, Vox Mail, indirizzo...?
Salve, secondo il GDPR il
Perfetto, chiederemo come
Perfetto, chiederemo come consigliato un parere da un'avvocato.
Continuate a tenerci informati.
Buongiorno,
Buongiorno,
ci sono novità sugli strumenti di cui parlate?
Grazie.
Buonasera e grazie per le
Buonasera e grazie per le infomazioni, vorrei sapere se anche il testo di privacy policy presente in ogni nostra email in uso su Gmail è da cambiare o resta lo stesso facente riferimento al D.Lgs. 196/03
Grazie per l'informazione.
Finalmente una spiegazione
Finalmente una spiegazione chiara sull'esatto da farsi su questo argomento (e di come farlo), senza paroloni allarmistici.
Ben fatto!
Aggiungi un commento