nordpass logo

Una semplice guida per essere conformi all'RGPD

Cos'è l'RGPD?

Il Regolamento generale sulla protezione dei dati (RGPD) è una legislazione sulla privacy dei dati introdotta e approvata dalla Commissione europea e dal Parlamento europeo, che è entrata in vigore nel maggio 2018.

L'RGPD fornisce regole e orientamenti sia alle società europee che a quelle non europee che raccolgono, condividono e gestiscono i dati dei loro utenti europei. Dà ai residenti dell'UE il diritto di sapere quali dati vengono raccolti su di loro e come vengono archiviati, protetti e trasferiti. L'RGPD include anche il diritto all'oblio e il diritto di accesso. Ciò significa che i clienti possono richiedere di visualizzare i dati raccolti e chiederne la cancellazione.

Devo essere conforme all'RGPD?

Tutte le aziende che raccolgono dati di utenti nell'Unione Europea devono rispettare l'RGPD, indipendentemente dalla loro sede. La mancata conformità all'RGPD potrebbe comportare pesanti multe, che possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, a seconda di quale sia la cifra più elevata.

Proteggere le informazioni personali degli utenti seguendo l'RGPD influenzerà l'intera azienda, in quanto la maggior parte delle procedure potrebbe dover essere rivista e adattata. Tuttavia, non esistono regole chiare applicabili a ogni singola organizzazione. Le modalità di protezione dei dati dipenderà dal tipo di informazioni che la tua azienda elabora.

Alcuni consulenti RGPD affermano che non è possibile essere totalmente conformi all'RGPD, e che la soddisfazione dei relativi requisiti è più una questione di revisione della gestione dei dati e delle attività di elaborazione da un punto di vista etico, che il fatto di spuntare le caselle di una lista di controllo. Un buon punto di partenza consiste nell'esaminare i 7 principi dell'RGPD.

I 7 principi dell'RGPD

  • Liceità, correttezza e trasparenza. I dati devono essere trattati in modo lecito, equo e trasparente;

  • Limitazione della finalità e minimizzazione dei dati. I dati devono essere raccolti solo per scopi commerciali specifici e legittimi.

  • Accuratezza. Tutti gli sforzi, ove necessari, devono essere compiuti per mantenere i dati aggiornati. Se i dati sono imprecisi oppure obsoleti, devono essere eliminati.

  • Limitazione della conservazione. I dati devono essere conservati solo per il tempo necessario a fornire prodotti o servizi. Possono essere conservati più a lungo solo per scopi di archiviazione nell'interesse pubblico, per scopi di ricerca scientifica o storica, o per scopi statistici.

  • Integrità e riservatezza. L'azienda deve fare tutto il possibile per garantire la sicurezza dei dati personali. Dovrebbe proteggerli dall'accesso illegale, come le violazioni dei dati, così come dalla perdita, dalla distruzione o dal danneggiamento accidentale.

  • Responsabilità. La maggior parte delle aziende è tenuta a conservare i registri del trattamento dei dati e a presentarli alle autorità di controllo quando necessario.

Come essere conformi all'RGPD

Tieni presente che le seguenti informazioni devono essere considerate solo come una guida indicativa. Sono intese solo per scopi di informazione generale e non costituiscono una consulenza legale. La legislazione dell'RGPD è composta da 11 capitoli, 99 articoli e quasi duecento considerando: pertanto, per conformarsi completamente al regolamento, ti consigliamo di richiedere una consulenza legale al tuo referente o all'autorità di vigilanza.

  1. Verifica tutte le procedure di gestione dei dati

    Siediti e disegna una mappa per illustrare l'intera procedura di raccolta dei dati della tua azienda. Dovrebbe aiutarti a identificare i punti che necessitano di un esame più attento. Per esempio:

    • Potresti aver bisogno di rivedere le tue mailing list. Se non hai motivi legittimi per elaborare i dati dei tuoi clienti per scopi di marketing o di altro tipo, non puoi utilizzare tali dati personali. Scopri se è utile creare liste segmentate per i tuoi clienti europei;

    • Dovresti verificare se disponi di motivi legittimi (ad esempio, consenso, interesse legittimo) per il trattamento dei dati personali per tutti i diversi canali di raccolta dei dati, compresi gli eventi, le iscrizioni alla newsletter o anche le liste a pagamento;

    • Analizza le tue future campagne di marketing europee finalizzate a raccogliere i dati degli utenti: potresti aver bisogno di adattare i processi.

    In questa fase, ti consigliamo di nominare una persona nel tuo dipartimento di marketing (o l'intero team) per consultare gli avvocati specializzati in materia di RGPD. Questa persona o team dovrebbe lavorare a stretto contatto con un responsabile della protezione dei dati (RPD) se quest'ultimo è stato nominato all'interno della società. Potranno rivedere e approvare le campagne di marketing.

  2. Rendi il tuo sito web conforme all'RGPD

    Se hai un sito web, stai senza dubbio raccogliendo dei dati, in un modo o nell'altro. Per rendere il tuo sito web conforme all'RGPD, dovresti considerare i seguenti elementi:

    • Includere un consenso sull'uso dei cookie. Tutti i moduli web dovrebbero prevedere un consenso all'uso dei cookie che informi i visitatori sul tipo di dati raccolti e permetta di scegliere se accettare o meno tale tracciamento.

    • Creazione della verifica dell'età. Se i tuoi visitatori hanno meno di 16 anni (il limite di età potrebbe essere diverso in alcuni paesi dell'UE), l'RGPD richiede il consenso dei genitori per la raccolta dei dati. Assicurati di includere tale verifica.

    • Aggiorna i moduli di raccolta dei dati. È necessario indicare, in un linguaggio facile da capire, quali dati vengono raccolti e per quale scopo. (Negli articoli 13 e 14 dell'RGPD è presente un elenco completo delle informazioni che devono essere presentate a un utente). Se la tua azienda opera al di fuori dell'UE, dovresti anche considerare di aggiungere il campo "Paese di residenza", in modo da poter separare i database, se necessario.

  3. Aggiorna il database corrente

    È consigliabile aggiornare il database regolarmente. Puoi farlo inviando ai tuoi clienti un'e-mail con un'opzione per scegliere che tipo di informazioni desiderano ricevere. Così facendo, è più probabile che non si cancellino. Qualsiasi corrispondenza dovrebbe includere anche un pulsante "Annulla iscrizione" o "Aggiorna le tue preferenze".

    Inoltre, non contattare gli utenti che hanno annullato l'iscrizione in precedenza. È vietato dalla direttiva sulla privacy e sulle comunicazioni elettroniche.

  4. Preparati al peggio

    Uno degli obiettivi principali dell'RGPD è rendere le aziende più trasparenti in merito alle loro attività di trattamento dei dati, quindi devi anche aggiornare la tua Informativa sulla privacy includendo tutte le modifiche che hai implementato. Scrivi in modo chiaro e conciso. I tuoi utenti dovrebbero trovare facilmente le informazioni, tra cui quali dati raccogli, per quale scopo, con chi li condividi e perché, come vengono conservati, come gli utenti possono accedervi e come possono richiederne la cancellazione. (Puoi trovare l'elenco completo di ciò che la tua Informativa sulla privacy deve includere negli articoli 13 e 14 dell'RGPD).

    Continua ad aggiornare la tua Informativa sulla privacy nelle stesse modalità e tempistiche con cui aggiorni le tue pratiche di trattamento dei dati. Ti consigliamo di effettuare controlli regolari sulla privacy e sulla sicurezza. Non tenere nulla nascosto. Informa i tuoi clienti di eventuali modifiche alle tue tecniche di trattamento dei dati e di qualsiasi problema che possa influire in qualche modo sulla loro privacy.

  5. Aggiorna l'Informativa sulla privacy

    Eventuali violazioni devono essere segnalate entro 72 ore ai sensi dell'RGPD (con alcune eccezioni). Pertanto, è una buona idea preparare un piano contro la violazione dei dati e istruire i dipendenti su cosa fare in tali circostanze. Dovresti valutare:

    • In che modo i dipendenti che si interfacciano con i clienti dovrebbero rispondere a questi ultimi;

    • Come gestirai i canali dei social media e se avrai abbastanza personale per rispondere a tutti i messaggi;

    • Quali canali utilizzerai per informare le parti interessate, come ad esempio i tuoi clienti e fornitori, se necessario;

    • Come informerai i media e quali canali utilizzerai per fornire aggiornamenti;

    • Come comunicherai la violazione a livello interno;

    • Quali procedure hai adottato per permettere ai clienti di presentare reclami oppure ottenere rimborsi;

    • Come ti assicurerai che il problema non si manifesti di nuovo.

    L'RGPD non è un progetto estemporaneo e non dovresti considerarlo come tale. Si tratta di un lavoro costante per migliorare gli standard di privacy e sicurezza della tua azienda.