,

GDPR: guida pratica per negozi

Che cos’è il GDPR?

Il General Data Protection Regulation (acronimo GDPR) è il regolamento generale dell’Unione europea sulla protezione dei dati personali. È stato emesso il 27 aprile 2016 dal Parlamento europeo e il termine ultimo per adeguarsi è il 25 maggio 2018.

Questo nuovo regolamento si affianca alla vecchia legge sulla privacy che era già in vigore in Italia dal 2003 (D.Leg. 196/2003), integrandone alcuni aspetti importanti come il diritto all’oblio e la portabilità dei dati.

Un regolamento europeo è direttamente valido in modo uguale in tutti i paesi membri e non prevede ulteriori leggi da parte degli Stati. Quindi il GDPR è già valido così com’è.

Perché mi riguarda il GDPR?

Se raccogli qualsiasi dato personale dei tuoi clienti (nome, numero di telefono, indirizzo mail, taglia indossata…) devi farlo rispettando la normativa europea.

Il GDPR si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, che sono cittadini dei paesi dell’Unione europea.

L’organizzazione è qualunque cosa sia diverso da una persona fisica, cioè può essere un’azienda, una ditta individuale, un’istituzione nazionale, un’associazione, un sindacato, partito politico e altre forme di organizzazioni.

 

I termini tecnici

Per capire meglio di che cosa stiamo parlando, ecco un piccolo vocabolario con tutti i termini e i concetti che fanno riferimento alla normativa.

Dato personale – qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, ecc.

 

Persona Fisica ≠ Persona giuridica –  i dati di un’azienda non sono dati personali. I dati dei dipendenti dell’azienda, invece sì. Quindi non c’è bisogno di autorizzazioni per fatturare, ma hai bisogno del consenso se vuoi mandare mail per invitarli a una svendita nel negozio (questo in linea teorica, ovviamente!)

 

A tal proposito, vi segnalo che il GDPR non si applica a indirizzi generici:

cognome@gmail.com Persona fisica Serve autorizzazione
cognome@nome-azienda.it Persona fisica Serve autorizzazione
info@nome-azienda.it Persona giuridica NON serve autorizzazione

 

Trattamento – qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali. Sono trattamenti: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

 

Titolare del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Cioè probabilmente tu che stai leggendo, se hai un negozio!

 

Responsabile del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Nel tuo caso potrebbero esserlo i tuoi dipendenti, un’agenzia di comunicazione o chiunque – a qualunque titolo – tratti in qualche modo i dati dei tuoi clienti.

 

Profilazione – qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

 

 

A quali dati si applica il GDPR?

Il GDPR si applica a tutti i dati personali, trattati dalla tua organizzazione. Facciamo un po’ di chiarezza distinguendo tra i dati personali e i dati di carattere pubblico.

I dati di carattere pubblico non sono (necessariamente) i dati pubblicati! Se per esempio una persona rivela pubblicamente il suo indirizzo email (p.es. su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tantomeno inviar un messaggio email a questo indirizzo.

Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.

Consenso esplicito = firma su un modulo cartaceo o flag su un modulo online

ESEMPI:

Indirizzo mail pubblicato su FB Dato personale reso pubblico Serve consenso
Indirizzo IP anonimizzato Dato anonimo Non serve consenso
Percentuale di apertura newsletter Dati aggregati Non serve consenso

 

ATTENZIONE!

Il GDPR è retroattivo, cioè si applica anche ai dati raccolti prima dell’introduzione del GDPR.

In pratica questo significa che devi controllare se hai il consenso espresso per tutti i dati in tuo possesso:

Se la risposta è Sì, sei già a buon punto.

Se la risposta è no, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati. Puoi farlo quando vengono in negozio, facendo firmare l’apposito modulo oppure mandando a tutti una mail/sms, chiedendo di dare autorizzazione tramite un link apposito verso il tuo database.

 

Chi fa cosa?

Vediamo con alcuni esempi pratici che cosa dobbiamo fare per adeguarci al nuovo regolamento senza rischiare sanzioni o problemi.

CASO 1: fai tutto tu

CASO 2: ti affidi a un fornitore esterno (es. agenzia)

Un cliente viene in negozio oppure visita sita il sito web. Decide di iscriversi alla newsletter/carta fedeltà firmando un modulo oppure dando il consenso tramite il form sul sito. In questo modo il cliente diventa un Destinatario.

Dall’altra parte tu ottieni i dati ed il relativo consenso ad usarli. Diventi così il Titolare del trattamento dei dati personali del Destinatario.

Decidi di affidarti a un fornitore esterno per la gestione dei dati (CRM, servizio di mail online, agenzia…). Il fornitore diventa il Responsabile del trattamento. A sua volta, se subappalterà parte del lavoro, ad esempio con sistemi online esterni, dovrà fare un contratto con un altro responsabile.

ATTENZIONE: anche le varie piattaforme online (MailChimp, MailUp…) sono considerate responsabili del trattamento e ti forniranno un accordo in cui specificano in che modo trattano e proteggono i dati che tu affidi loro.

Come Titolare, sei tenuto a dare istruzioni a tutti i responsabili ai vari livelli. Ora vediamo meglio di che si tratta.

 

Gli obblighi del titolare

Il GDPR richiede al titolare di garantire ai destinatari, in maniera semplicetrasparente e sicura, determinati diritti, che fin ora erano garantiti solo parzialmente o non lo erano affatto. Ne derivano degli obblighi per chi è il titolare dei dati.

QUI li puoi vedere in dettaglio, ma di seguito c’è un piccolo riassunto per quello che riguarda più verosimilmente il tuo caso:

1. Avere il consenso esplicito a utilizzare i dati personali di qualcuno

2. Fare un’informativa chiara della privacy, specificando:

Quali dati si raccolgono

A quale scopo (invio mail, promozioni…), in maniera dettagliata

Per quanto tempo vengono custoditi e dove

Come si garantisce la protezione degli stessi

3. Dare la possibilità in qualunque momento al destinatario (cioè il cliente) di accedere ai dati, modificarli, cancellarli o trasferirli a qualcun altro

4. Avere un registro delle operazioni effettuate con i dati personali (chiamato traccia di audit). Questo è forse uno dei punti più complicati: bisogna fornire i dati su chi e quando ha avuto accesso ai dati e che questo vale sia per i destinatariche per i dipendenti del titolare o del titolare del trattamento.

5. Non è obbligatorio avere un DPO (Data Protection Officer), a meno che non si abbiano più di 250 dipendenti e/o si trattino dati sensibili (i dati sensibili NON corrispondono ai dati personali e riguardano orientamenti sessuali e religiosi, malattie, fedina penale…).

6. Non è obbligatorio fare dei corsi , anche se – data la complessità della materia – sarebbe caldamente consigliabile un approfondimento o l’affidamento a un consulente esterno.

 

Un’ultima nota: il GDPR non ha una precedenza “assoluta” rispetto alle altre leggi e il titolare può anche respingere la richiesta di cancellazione o soddisfarla solo parzialmente, se ha altre basi giuridiche per custodire tali informazioni.

Esempio: i dati degli acquirenti nel negozio online.
L’azienda è tenuta a conservare i dati degli account e, di conseguenza, degli acquirenti anche diversi anni dopo l’acquisto per motivi fiscali, perciò non potrà soddisfare la richiesta di cancellazione.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *