Vai al contenuto principale

Una guida semplice per la conformità al GDPR

GDPR

Cos'è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è una normativa sulla privacy dei dati personali introdotta e approvata dalla Commissione europea e dal Parlamento europeo, ed entrata in vigore nel maggio 2018.

Il GDPR fornisce regole e indicazioni alle aziende, europee e non, che raccolgono, condividono e gestiscono i dati dei propri utenti europei. Offre alle persone che risiedono nell'Unione europea il diritto di sapere quali dati vengono raccolti su di loro, nonché come vengono conservati, protetti e trasferiti. Il GDPR prevede anche il diritto all'oblio e il diritto di accesso: ciò significa che i clienti non solo possono richiedere di visualizzare i dati raccolti, ma anche che questi vengano cancellati.

Devo essere conforme al GDPR?

Tutte le aziende che raccolgono dati di utenti nell'Unione Europea, indipendentemente dall'ubicazione della propria sede, devono ottemperare al GDPR. La mancata conformità al GDPR può comportare pesanti sanzioni, fino a 20 milioni di euro o al 4% del fatturato annuo a livello mondiale, a seconda di quale sia l'importo maggiore.

Proteggere le informazioni personali degli utenti nel rispetto degli standard di conformità del GDPR avrà ripercussioni sull'intera azienda, poiché è possibile che la maggior parte delle procedure interne debba essere rivista e adattata. Non esistono però delle regole universali applicabili a tutte le imprese; le specifiche modalità di protezione dei dati dipendono infatti dal tipo di informazioni trattate dall'azienda.

Alcuni esperti di questa normativa sostengono che non sia possibile essere conformi al 100% al GDPR e che il soddisfacimento dei suoi requisiti riguardi più la revisione a livello etico delle attività di trattamento e gestione dei dati, piuttosto che il barrare una serie di voci su un elenco. Un buon punto di partenza per comprendere la questione consiste nell'esaminare i sette principi del GDPR.

I requisiti del GDPR

Il GDPR ha avuto un notevole impatto sulla privacy dei dati e sulle prassi in materia di sicurezza in tutto il mondo, comprese quelle delle aziende con sede negli Stati Uniti. Per comprendere meglio i requisiti di conformità al GDPR, è fondamentale avere chiari i principi e le disposizioni che rappresentano le basi del regolamento.

Per prima cosa, i requisiti del GDPR per le aziende statunitensi sono applicabili se un'impresa effettua il trattamento dei dati personali di soggetti residenti nell'UE, indipendentemente dall'ubicazione della sede fisica dell'azienda stessa. In sostanza, tutte le organizzazioni con sede negli Stati Uniti che operano coi dati di persone residenti nell'UE devono rispettare le disposizioni del GDPR.

Uno dei principali requisiti di sicurezza del GDPR consiste nel garantire la protezione dei dati personali da accessi non autorizzati, perdite, alterazioni e distruzioni. Per soddisfare tale requisito le aziende devono implementare misure tecniche e organizzative adeguate, come la crittografia, il controllo degli accessi e valutazioni periodiche della sicurezza.

In aggiunta a ciò, le disposizioni del GDPR per le aziende statunitensi includono la nomina di un Responsabile della protezione dei dati (RPD) se l'organizzazione conduce elaborazioni su larga scala di dati sensibili o attività sistematiche di monitoraggio delle persone. L'RPD è responsabile del monitoraggio della conformità al GDPR; deve inoltre fornire indicazioni in materia di protezione dei dati ed essere il referente di contatto per le autorità incaricate della protezione dei dati.

Le società statunitensi devono inoltre essere trasparenti in merito alle loro attività di raccolta, trattamento e conservazione dei dati personali. Ciò significa che devono fornire informative sulla privacy chiare, ottenere un consenso valido da parte dei soggetti interessati e garantire alle persone la possibilità di esercitare i propri diritti ai sensi del GDPR, come il diritto di accesso, di rettifica e di cancellazione dei propri dati.

I sette principi del GDPR

Ecco i sette principi cardine del GDPR:

  1. Liceità, correttezza e trasparenza. I dati devono essere trattati in modo lecito, equo e trasparente.

  2. Limitazione delle finalità e minimizzazione dei dati. I dati devono essere raccolti solo per scopi commerciali specifici e legittimi.

  3. Minimizzazione dei dati. I dati personali raccolti devono essere limitati a quanto necessario per la finalità per cui sono stati raccolti.

  4. Accuratezza. Ogni possibile sforzo, ove necessario, deve essere compiuto per mantenere i dati aggiornati. Se i dati sono imprecisi o obsoleti, devono essere eliminati.

  5. Limitazione della conservazione. I dati devono essere conservati solo per il tempo necessario per fornire prodotti o servizi. Possono essere conservati più a lungo solo per finalità di archiviazione di interesse pubblico, per scopi di ricerca scientifica o storica, oppure ancora per finalità statistiche.

  6. Integrità e riservatezza. L'azienda deve fare tutto il possibile per garantire la sicurezza dei dati personali. È tenuta a proteggerli dagli accessi illeciti come le violazioni di dati, nonché da perdite, distruzioni o danni accidentali.

  7. Responsabilità. La maggior parte delle aziende è tenuta a conservare i registri del trattamento dei dati e a presentarli alle autorità di controllo quando necessario.

Come essere conformi al GDPR

Ricordiamo che le informazioni riportate di seguito devono essere considerate solo come indicazioni a grandi linee: sono intese solo per scopi di informazione generale e non costituiscono una consulenza legale. Il GDPR è costituito da 11 capi, 99 articoli e quasi duecento considerando: pertanto, per essere pienamente conforme al regolamento, ti consigliamo di richiedere una consulenza legale al tuo referente giuridico o all'autorità di vigilanza.

1. Verifica tutte le procedure di trattamento dei dati

Siediti e disegna una mappa che illustri l'intera procedura di raccolta dei dati della clientela da parte della tua azienda: dovrebbe aiutarti a identificare gli aspetti che necessitano di un esame più attento. Ad esempio:

  • Potresti aver bisogno di rivedere gli elenchi di indirizzi fisici ed e-mail per l'invio di comunicazioni. Se non hai motivi legittimi per elaborare i dati personali dei clienti per scopi di marketing o di altro tipo, non puoi utilizzarli. Verifica se può essere utile creare degli elenchi segmentati per i clienti europei.

  • Devi inoltre appurare se l'azienda ha motivi legittimi (es. consenso o interesse legittimo) per il trattamento dei dati personali su tutti i diversi canali attraverso cui vengono raccolti, inclusi eventi, iscrizioni a newsletter o persino annunci a pagamento.

  • Analizza le tue future campagne di marketing europee finalizzate a raccogliere i dati degli utenti: potresti aver bisogno di adattare i processi.

In questa fase, inoltre, ti consigliamo di incaricare una persona del reparto marketing (o l'intero team) di consultare legali specializzati in materia di GDPR. La persona o il gruppo di lavoro incaricato dovrebbe lavorare a stretto contatto con un responsabile della protezione dei dati (RPD), se è stato designato nell'azienda; sarà in grado di esaminare e approvare le campagne di marketing.

2. Fai in modo che il tuo sito web rispetti il GDPR.

Se hai un sito internet, stai senza dubbio raccogliendo dei dati, in un modo o nell'altro. Per renderlo conforme al GDPR, valuta i seguenti aspetti:

  • Includi la possibilità di acconsentire all'uso dei cookie. Tutti i moduli web dovrebbero prevedere un consenso all'uso dei cookie che informi i visitatori sul tipo di dati raccolti e permetta di scegliere se accettare o meno tale tracciamento.

  • Creazione di un sistema di verifica dell'età. Se i tuoi visitatori hanno meno di 16 anni (l'età minima può essere diversa in alcuni Paesi dell'UE), il GDPR richiede il consenso dei genitori per raccoglierne i dati. Assicurati di includere questa verifica.

  • Aggiorna i moduli per la raccolta di dati. Questi moduli devono dichiarare, utilizzando un linguaggio di facile comprensione, quali dati vengono raccolti e per quali finalità (un elenco completo delle informazioni che devono essere presentate agli utenti è disponibile negli articoli 13 e 14 del GDPR). Se la tua azienda opera al di fuori dell'UE, dovresti anche valutare l'aggiunta del campo "Paese di residenza", in modo tale da poter separare i database se necessario.

3. Aggiorna l'attuale database

È consigliabile aggiornare regolarmente i database e puoi farlo inviando alla clientela un'e-mail contenente un'opzione per scegliere quali tipi di informazioni desidera ricevere. Così facendo, aumentano le probabilità che i clienti non annullino del tutto la propria iscrizione. Ogni comunicazione deve inoltre contenere un pulsante o un link "Annulla l'iscrizione" o "Aggiorna le tue preferenze".

Inoltre, non contattare gli utenti che hanno annullato l'iscrizione in precedenza. È vietato dalla Direttiva sulla privacy e sulle comunicazioni elettroniche.

4. Preparati al peggio

Uno degli obiettivi principali del GDPR è rendere le aziende più trasparenti in merito alle loro attività di trattamento dei dati; di conseguenza, devi anche aggiornare l'informativa sulla privacy includendo tutte le modifiche implementate. Scrivi in modo chiaro e conciso. Gli utenti devono avere la possibilità di trovare facilmente le informazioni che cercano, come ad esempio le tipologie di dati raccolti, le finalità di tale raccolta, con quali soggetti e perché vengono condivisi, ma anche come vengono conservati, in che modo è possibile accedere a tali dati e come richiederne la cancellazione (l'elenco completo degli elementi da includere nell'informativa sulla privacy è indicato negli articoli 13 e 14 del GDPR).

Mantieni sempre aggiornata l'informativa sulla privacy con le stesse modalità e tempistiche con cui aggiorni le pratiche di trattamento dei dati. Ti consigliamo inoltre di effettuare controlli regolari sulla privacy e sulla sicurezza. Non tenere nascosto nulla: informa i clienti di eventuali modifiche ai metodi di trattamento dei dati e di ogni questione che potrebbe influire in qualche modo sulla loro privacy.

5. Aggiorna la tua informativa sulla privacy

In caso di violazione, il GDPR impone di segnalare l'accaduto entro 72 ore (salvo alcune eccezioni); è quindi opportuno predisporre un piano d'azione per le violazioni di dati e istruire i dipendenti su cosa fare in tali circostanze. Dovresti valutare:

  • Come i dipendenti a contatto col pubblico devono rispondere ai clienti.

  • Come verranno gestiti i canali sui social media e se sarà disponibile un numero sufficiente di addetti per rispondere a tutti i messaggi.

  • Quali canali verranno utilizzati per informare le parti interessate, come clienti e venditori, in caso di necessità.

  • Come verranno informati i mezzi di comunicazione e quali canali usare per fornire aggiornamenti.

  • Come verrà comunicata una violazione all'interno dell'azienda.

  • Quali procedure sono previste in caso di reclami o richieste di rimborso da parte della clientela.

  • Come ti assicurerai che il problema non si verifichi di nuovo.

Cos'è il diritto all'oblio?

Il diritto all'oblio è una rivoluzionaria innovazione di natura legale che consente alle persone di richiedere la rimozione da internet di specifiche informazioni che le riguardano. Questo importante concetto è emerso dall'Unione europea ed è sancito nel GDPR come un diritto fondamentale dei cittadini dell'UE.

L'essenza del diritto all'oblio incarna il concetto secondo cui le persone devono beneficiare del pieno controllo dei propri dati personali e avere la possibilità di lasciarsi alle spalle il passato.

Benché il diritto all'oblio non sia assoluto, esistono dei casi di applicazione chiaramente definiti. In caso di informazioni non più pertinenti, imprecise o che sono state trattate in modo illegale, i soggetti interessati possono presentare una richiesta affinché vengano rimosse.

GDPR e CCPA a confronto

Benché il CCPA e il GDPR siano accomunati dall'obiettivo di migliorare i diritti alla privacy dei consumatori, essi presentano al contempo alcune differenze significative.

In primo luogo, i due regolamenti differiscono per il campo di applicazione a livello normativo. Il GDPR è generalmente considerato un regolamento di più ampia portata, dal momento che disciplina tutte le organizzazioni che raccolgono e conservano i dati di persone all'interno dell'Unione europea (UE) e dello Spazio economico europeo (SEE). Al contrario, il CCPA (California Consumer Privacy Act) si applica solo alle organizzazioni a scopo di lucro che soddisfano determinati criteri di entrate e volumi di dati, e che raccolgono informazioni relative a soggetti residenti in California.

In secondo luogo, il CCPA e il GDPR sono caratterizzati da un diverso approccio al consenso degli utenti. Il CCPA non prevede il consenso esplicito per la raccolta dei dati, a meno che l'utente in questione non sia minorenne; il GDPR, al contrario, richiede il consenso esplicito per la raccolta delle informazioni personali.

Un'altra differenza significativa tra i due consiste nella categoria di strumenti normativi a cui appartengono: il GDPR è una norma di regolamentazione, mentre il CCPA ha un valore legale. In parole povere, ciò significa che una violazione del CCPA può essere usata per intentare una causa civile nello stato della California, mentre il GDPR non ha un impatto diretto sui contenziosi civili, anche se comunque può essere incorporato nelle leggi nazionali.

Infine, esistono notevoli differenze in termini di applicazione e sanzioni in caso di inadempienza. Il GDPR è applicato dall'UE e può imporre sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale dei due importi sia maggiore. L'Ufficio del Procuratore generale della California è l'istituzione deputata a far rispettare il CCPA; la mancata osservanza può essere sanzionata fino a 2.500 dollari per violazione e a 7.500 dollari per violazione intenzionale.

NordPass è conforme al GDPR?

Noi di NordPass prendiamo molto sul serio la protezione e la riservatezza dei dati. In qualità di soluzione sicura e affidabile per la gestione di informazioni sensibili, NordPass si impegna ad assicurare la piena conformità al GDPR.

L'architettura a conoscenza zero garantisce che tutti i dati sensibili vengano crittografati in locale sui dispositivi degli utilizzatori prima che raggiungano i nostri server. Ciò significa che non abbiamo accesso alle password o ad altri dati che la tua azienda potrebbe aver memorizzato su NordPass: questo garantisce la massima privacy.

Attribuiamo un grande valore alla trasparenza, ed è per questo che forniamo un'informativa sulla privacy dettagliata che definisce le nostre procedure per il trattamento dei dati, che includono i tipi di dati raccolti, le finalità della raccolta e le misure di sicurezza in atto.

In più, le nostre solide misure di sicurezza includono l'autenticazione a più fattori (MFA) e l'autenticazione biometrica, che aggiungono un ulteriore livello di protezione.

Nella remota ipotesi di una violazione di dati, ci impegniamo a informare tempestivamente gli utenti interessati e le autorità competenti, come stabilito dal regolamento GDPR.

Ricorda che il GDPR non è un progetto "una tantum": di conseguenza, non deve essere trattato come tale. Si tratta invece di un impegno continuativo per migliorare gli standard di privacy e sicurezza della tua azienda.

Scegli NordPass per una gestione delle password affidabile e trasparente, che ti aiuterà a rispettare le politiche di conformità e a ridurre i rischi di violazioni di dati.