Normative | Post di Sbertani

Le basi del GDPR spiegate in modo semplice

Il GDPR - in inglese General Data Protection Regulation, Regolamento (UE) n. 2016/679 - è un atto normativo dell'Unione europea entrato in vigore il 24 maggio 2016 ed operativo a partire dal 25 maggio 2018 sul tema del trattamento dei dati personali e della privacy.

Al contrario di quanto si potrebbe supporre, non riguarda solo le grandi aziende che operano in ambito B2C ma tutte le imprese, che siano multinazionali o partite Iva individuali, operanti sul mercato europeo.

Il Regolamento si propone l’obiettivo di rafforzare la protezione dei dati personali dei cittadini dell'Unione europea (UE) e dei residenti nell'UE e, per fare questo, interviene attraverso una sorta di “responsabilizzazione” dei titolari di impresa.

Qui nasce subito un primo equivoco da chiarire: non vengono indicate le misure minime di protezione da adottare, se non sommariamente, ma pone il titolare dell’impresa nella condizione di trovare le migliori misure capaci di garantire la protezione dei dati ai propri “contatti”, che siano clienti, fornitori, dipendenti eccetera, sulla base degli effettivi trattamenti effettuati e i relativi rischi derivanti.

Senza entrare troppo nei tecnicismi, che non sono lo scopo di questo post, il titolare deve innanzitutto affrontare la questione scattando una sorta di fotografia alla propria azienda, analizzando tutte le procedure interne e gli strumenti utilizzati, andando quindi a identificare come e dove vengono gestiti i dati delle persone. Fatto questo, nel caso di eventuali criticità e falle, che possono riguardare per esempio il furto ma anche la perdita dei dati, definire le procedure correttive. Da qui è facile capire l’importanza di conoscere le procedure interne, dalla semplice attività di “lead generation” fino alla gestiore vera e propria del contatto, per fare due esempi.

Un secondo equivoco da chiarire è definire quali dati sono da considerarsi personali. Per la grande maggioranza dei casi sono i classici dati “da carta d’identità” di qualsiasi persona con la quale si entra in contatto. Ma non solo: anche tutte quelle informazioni finalizzate a tracciare i comportamenti. A semplice titolo esplicativo sono gli indirizzi IP e le abitudini di navigazione o di acquisto di prodotti e servizi

Quindi, cosa fare? Innanzitutto informare i propri contatti che stiamo iniziando a gestire i loro dati, in che modo e con quale finalità. Quasto avviene attraverso la presentazione della classica “informativa” nella quale viene riportato il tutto.

Ad eccezione di alcuni casi particolari - per esempio per i dati sanitari, giudiziari e gli orientamenti di tipo sessuale, politico e religioso - se il trattamento è necessario per la sottoscrizione di un contratto o per fini normativi o legali, è sufficiente presentare l’informativa come una sorta di “atto formale dovuto”. Se invece il trattamento va oltre e, soprattutto, è finalizzato al tracciamento dei comportamenti e quindi alla profilazione, è necessaria l’autorizzazione esplicita degli interessati.

Tutto questo, comprese le procedure di sicurezza e protezione dei dati (ad esempio dei computer dove sono conservati i dati dei clienti ma anche gli armadi dove vengono conservati i documenti cartacei, comprese le procedure di backup), dovrà essere riportato su un documento chiamato “Registro dei trattamenti” che dovrà essere conservato come “guida” e mostrata nel caso di controllo da parte degli Organi incaricati.

Attenzione a non confondere il Regolamento sulla privacy con la normativa sui cookie. La cosiddetta Cookies law indica, in questo caso si, una serie di dettami tecnici per gestire la profilazione dei comportamenti su applicazioni di tipo digital. Da qui la necessità di pubblicare dei banner informativi che non sono altro che delle informative privacy semplificate che rimandano a quelle estese.

Tutto qui? Certamente non è tutto ma quanto descritto è un buon punto di partenza per comprendere a grandi linee cosa di intende per “GDPR”.

Anche se potrebbe sembrare la classica norma che complica il nostro lavoro quotidiano, il Regolamento ci offre invece una grande opportunità per analizzare le procedure della nostra organizzazione e, se necessario, migliorarle. Oltre ad essere, a mio modesto parere, un atto di buon senso e civiltà.

Responsabilizziamoci.

Letture: 161 | Allegati: 0 | Commenti: 0
Aggiornato il 16-11-2023

Normative | Post di Sbertani

Il GDPR - in inglese General Data Protection Regulation, Regolamento (UE) n. 2016/679 - è un atto normativo dell'Unione europea entrato in vigore il 24 maggio 2016 ed operativo a partire dal 25 maggio 2018 sul tema del trattamento dei dati personali e della privacy. Al contrario di quanto si potrebbe supporre, non riguarda solo le grandi aziende che operano in ambito B2C ma tutte le imprese, che siano multinazionali o partite Iva individuali, operanti sul mercato europeo. Il Regolamento si propone l’obiettivo di rafforzare la protezione dei dati personali dei cittadini dell'Unione europea (UE) e dei residenti nell'UE e, per fare questo, interviene attraverso una sorta di “responsabilizzazione” dei titolari di impresa. Qui nasce subito un primo equivoco da chiarire: non vengono indicate le misure minime di protezione da adottare, se non sommariamente, ma pone il titolare dell’impresa nella condizione di trovare le migliori misure capaci di garantire la protezione dei dati ai propri “contatti”, che siano clienti, fornitori, dipendenti eccetera, sulla base degli effettivi trattamenti effettuati e i relativi rischi derivanti. Senza entrare troppo nei tecnicismi, che non sono lo scopo di questo post, il titolare deve innanzitutto affrontare la questione scattando una sorta di fotografia alla propria azienda, analizzando tutte le procedure interne e gli strumenti utilizzati, andando quindi a identificare come e dove vengono gestiti i dati delle persone. Fatto questo, nel caso di eventuali criticità e falle, che possono riguardare per esempio il furto ma anche la perdita dei dati, definire le procedure correttive. Da qui è facile capire l’importanza di conoscere le procedure interne, dalla semplice attività di “lead generation” fino alla gestiore vera e propria del contatto, per fare due esempi. Un secondo equivoco da chiarire è definire quali dati sono da considerarsi personali. Per la grande maggioranza dei casi sono i classici dati “da carta d’identità” di qualsiasi persona con la quale si entra in contatto. Ma non solo: anche tutte quelle informazioni finalizzate a tracciare i comportamenti. A semplice titolo esplicativo sono gli indirizzi IP e le abitudini di navigazione o di acquisto di prodotti e servizi Quindi, cosa fare? Innanzitutto informare i propri contatti che stiamo iniziando a gestire i loro dati, in che modo e con quale finalità. Quasto avviene attraverso la presentazione della classica “informativa” nella quale viene riportato il tutto. Ad eccezione di alcuni casi particolari - per esempio per i dati sanitari, giudiziari e gli orientamenti di tipo sessuale, politico e religioso - se il trattamento è necessario per la sottoscrizione di un contratto o per fini normativi o legali, è sufficiente presentare l’informativa come una sorta di “atto formale dovuto”. Se invece il trattamento va oltre e, soprattutto, è finalizzato al tracciamento dei comportamenti e quindi alla profilazione, è necessaria l’autorizzazione esplicita degli interessati. Tutto questo, comprese le procedure di sicurezza e protezione dei dati (ad esempio dei computer dove sono conservati i dati dei clienti ma anche gli armadi dove vengono conservati i documenti cartacei, comprese le procedure di backup), dovrà essere riportato su un documento chiamato “Registro dei trattamenti” che dovrà essere conservato come “guida” e mostrata nel caso di controllo da parte degli Organi incaricati. Attenzione a non confondere il Regolamento sulla privacy con la normativa sui cookie. La cosiddetta Cookies law indica, in questo caso si, una serie di dettami tecnici per gestire la profilazione dei comportamenti su applicazioni di tipo digital. Da qui la necessità di pubblicare dei banner informativi che non sono altro che delle informative privacy semplificate che rimandano a quelle estese. Tutto qui? Certamente non è tutto ma quanto descritto è un buon punto di partenza per comprendere a grandi linee cosa di intende per “GDPR”. Anche se potrebbe sembrare la classica norma che complica il nostro lavoro quotidiano, il Regolamento ci offre invece una grande opportunità per analizzare le procedure della nostra organizzazione e, se necessario, migliorarle. Oltre ad essere, a mio modesto parere, un atto di buon senso e civiltà. Responsabilizziamoci.

Pubblica

Post di Sbertani Aggiornato il 16-11-2023

Letture: 161 | Allegati: 0 | Commenti: 0

Post per Categoria

Post consigliati

Marketing e Comunicazione

Le difficoltà nel fare marketing in ambito sportivo

Strategia e Organizzazione

La strategia del cambiamento: il pivoting

Marketing e Comunicazione

Le unità di misura editoriali: cosa sapere quando si scrive e invia un articolo o un comunicato stampa

Web, Internet e New media

Per migliorare le performance online non sono importanti solo gli algoritmi

Marketing e Comunicazione

Il conflitto d'interessi nell'attività di consulenza