fbpx

MANUALE DI SOPRAVVIVENZA AL GDPR: cos’è, cosa c’è da sapere e cosa cambia

Il GDPR andrà a breve a sostituire il vecchio d.lgs. 196/2003 riguardo la tutela del trattamento dei dati personali.

Il vecchio regolamento verrà abrogato e sostituito nella sua interezza dalla nuova direttiva europea sulla privacy dal 25 maggio 2018.

Anche se molte delle grandi aziende si sono già da tempo adeguate alla nuova normativa sulla privacy, magari con l’aiuto di un consulente esterno che suggerisca gli adattamenti necessari, per le piccole e medie imprese non è altrettanto facile ed immediato, ancor più che non si riesce ancora bene a capire cosa comporti questo GDPR.

FACCIAMO CHIAREZZA

GDPR è un acronimo per General Data Protection Regulation, all’inglese. All’italiana suonerebbe come: regolamento generale per la protezione dei dati. Dati che fino ad oggi erano stati raccolti con facilità dalle aziende, condivisi con leggerezza e incoscienza dagli utenti, e che ora invece dovranno essere affidati e gestiti in modo più consapevole.

L’utente dovrà essere informato in maniera dettagliata quali dati verranno raccolti e per quale scopo, e gli dovrà essere concessa la possibilità in qualsiasi momento di cancellare i suoi dati sensibili, totalmente o parzialmente; avrà inoltre la possibilità di trasferirli e di modificarli, in parte o nella loro interezza. Possibilità che prima non si prendeva nemmeno in considerazione, acconsentendo superficialmente ad un banner che ci avvertiva dell’utilizzo generico dei nostri dati, accettato (la maggior parte delle volte, ammettiamolo) solo per continuare a navigare, senza nemmeno affannarci a leggere cosa contenesse l’informativa sulla privacy. Saranno per questo motivo da aggiornare nei siti le privacy policy, come qualcuno ha già fatto, rendendo chiaro ed immediato quali sono i dati dell’utente che il sito web nel quale si sta navigando deduce ed utilizza.

Tutto ciò dovrà essere garantito da una figura fisica interna all’azienda, il cosiddetto responsabile (o garante, o titolare che dir si voglia) del trattamento e della protezione dei dati, che si assicurerà che tutti i dati raccolti dalla sua azienda:

  • Saranno “Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (testualmente dall’art.5 par.1)
  • Verranno custoditi in maniera sicura (meglio se sotto pseudonimi o crittografia, anche se non obbligatorio)
  • Verranno utilizzati per i fini e per gli scopi che si elencheranno all’utente/cliente
  • Verranno utilizzati dall’azienda e/o da altre aziende anche di paesi terzi, di cui si è preventivamente informato l’utente/cliente
  • Saranno utilizzati entro un arco di tempo specificato o conservati per un intervallo che segua dei criteri logici in base alla necessità dell’azienda stessa
  • Potranno essere in qualsiasi momento accessibili, cancellabili, modificabili e/o trasferibili. Se l’utente lo richiederà, sarà necessario cancellare i suoi dati anche dal database delle altre aziende con cui sono stati condivisi, così come dovranno essere modificati in caso di modifica.
  • Sono stati acquisiti grazie ad un consenso ESPLICITO dell’utente, consenso chiesto con una formula che risulti comprensibile, semplice e chiara (se non acquisiti presso l’utente, l’informativa sui dati deve essere data immediatamente in formato elettronico o comunque non dopo un mese dalla raccolta dei dati) Si vedano in questo senso le condizioni per il consenso esposte nell’articolo 7.
  • Se violati, dovrà essere resa nota la cosa all’autorità di controllo competente e, nel caso in cui le informazioni perse possano recare danno, al possessore dei dati entro 72 ore dal momento in cui ne è venuto a conoscenza.

In pratica l’obiettivo principale sembrerebbe essere quello di voler responsabilizzare al massimo i due personaggi in gioco: da una parte le aziende, che dovranno rendere ben chiaro in che modo useranno i dati raccolti, dall’altra gli utenti, che capiranno finalmente in che modo vengono trattati i dati da loro forniti e per che motivazioni; e saranno proprio questi ultimi, di fronte a tale consapevolezza, a poter scegliere SE e QUALI dati condividere, autorizzando il trattamento dei dati personali da loro scelti.

Particolare attenzione è ovviamente riservata ai minori e al trattamento dei loro dati, di cui si parla profusamente in tutto il regolamento.

Tutto ciò a fronte delle molteplici problematiche che si sono verificate e si potranno verificare in materia di trattamento dei dati, soprattutto a partire dall’era digitale.

IN CONCRETO

Ok, questo può essere molto utile in teoria. Ma in pratica, cosa significa?

Cosa significa per la mia attività tutto questo? Come mi può toccare nella quotidianità questa novità? Può interessarmi tra le quattro mura del mio negozio?

Può eccome, e concretamente.

Nella raccolta di dati personali per emettere carte fedeltà da consegnare a un cliente. Nella richiesta del numero di telefono o dell’email per poter mandare promozioni o sconti dedicati. Nella profilazione delle preferenze d’acquisto di un cliente, anche attraverso software. Nella privacy policy del proprio sito web ed e-commerce.

Queste sono solo alcuni esempi di come la nuova informativa sulla privacy possa entrare anche nell’ambito del nostro lavoro, e per questo motivo diventa necessario anche nel nostro piccolo stare molto attenti a tutto quello che sta succedendo.

Evitiamo comunque il panico: per quanto manchi poco all’adeguamento, bisogna ricordare che per le aziende con meno di 250 dipendenti le regole previste sono meno ferree (basti pensare alla deroga riguardante la conservazione di un registro per i trattamenti svolti sui dati, art. 30 paragrafo 5), sarà sicuramente necessario semplicemente poter garantire ad un’ente esterno che si è reso consapevole il cliente finale del trattamento dei suoi dati. Molti gestionali per negozi si stanno adeguando alla normativa, così da rendere tutto il processo più facilmente gestibile direttamente dal software, un aiuto in più per evitare spiacevoli situazioni più avanti, e così anche DUE Retail ®.

Il 25 maggio si avvicina.

Festina lente.

One comment

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *