Una guida semplice per la conformità al GDPR

Cos'è l'RGPD?

Il Regolamento generale sulla protezione dei dati (RGPD) è una legislazione sulla privacy dei dati introdotta e approvata dalla Commissione europea e dal Parlamento europeo, che è entrata in vigore nel maggio 2018.

Il GDPR fornisce regole e linee guida alle aziende europee e non europee che raccolgono, condividono e gestiscono i dati dei propri utenti nell'UE. Offre alle persone che risiedono nell'Unione europea il diritto di sapere quali dati vengono raccolti su di loro, nonché come vengono conservati, protetti e trasferiti. Il GDPR include anche il diritto all'oblio e il diritto di accesso: ciò significa che i clienti possono esigere di consultare i dati raccolti su di loro e richiederne l'eliminazione.

Devo essere conforme all'RGPD?

Tutte le aziende che raccolgono dati di utenti nell'Unione Europea, indipendentemente dall'ubicazione della propria sede, devono ottemperare al GDPR. La mancata conformità al GDPR può comportare pesanti sanzioni, fino a 20 milioni di euro o al 4% del fatturato annuo a livello mondiale, a seconda di quale sia l'importo maggiore.

Proteggere le informazioni personali degli utenti nel rispetto degli standard di conformità del GDPR avrà ripercussioni sull'intera azienda, poiché è possibile che la maggior parte delle procedure interne debba essere rivista e adattata. Non esistono però delle regole specifiche e universali che si applicano a ogni singola organizzazione. Le modalità di protezione dei dati dipendono infatti dal tipo di dati trattati dall'azienda.

Alcuni consulenti che si occupano di GDPR affermano che non esiste una conformità del 100% a tale regolamento, e che il soddisfacimento dei requisiti GDPR riguarda più la revisione da un punto di vista etico delle attività di trattamento e gestione dei dati, piuttosto che l'osservanza di una lista precompilata di aspetti. Un buon punto di partenza per comprendere la questione consiste nell'esaminare i sette principi del GDPR.

I requisiti del GDPR

Il GDPR ha avuto un notevole impatto sulla privacy dei dati e sulle prassi in materia di sicurezza in tutto il mondo, comprese quelle delle aziende con sede negli Stati Uniti. Per comprendere meglio i requisiti di conformità al GDPR, è fondamentale avere chiari i principi e le disposizioni che rappresentano le basi del regolamento.

Per prima cosa, i requisiti del GDPR per le aziende statunitensi sono applicabili se un'impresa effettua il trattamento dei dati personali di soggetti residenti nell'UE, indipendentemente dall'ubicazione della sede fisica dell'azienda stessa. In sostanza, tutte le organizzazioni con sede negli Stati Uniti che operano coi dati di persone residenti nell'UE devono rispettare le disposizioni del GDPR.

Uno dei principali requisiti di sicurezza del GDPR consiste nel garantire la protezione dei dati personali da accessi non autorizzati, perdite, alterazioni e distruzioni. Per soddisfare tale requisito le aziende devono implementare misure tecniche e organizzative adeguate, come la crittografia, il controllo degli accessi e valutazioni periodiche della sicurezza.

In aggiunta a ciò, le disposizioni del GDPR per le aziende statunitensi includono la nomina di un Responsabile della protezione dei dati (Data Protection Officer – DPO) se l'organizzazione conduce elaborazioni su larga scala di dati sensibili o attività sistematiche di monitoraggio delle persone. Il DPO è responsabile del monitoraggio della conformità al GDPR; deve inoltre fornire indicazioni in materia di protezione dei dati ed essere il referente di contatto per le autorità incaricate della protezione dei dati.

Le società statunitensi devono inoltre essere trasparenti in merito alle loro attività di raccolta, trattamento e conservazione dei dati personali. Ciò significa che devono fornire informative sulla privacy chiare, ottenere un consenso valido da parte dei soggetti interessati e garantire alle persone la possibilità esercitare i propri diritti ai sensi del GDPR, come il diritto di accesso, di rettifica e di cancellazione dei propri dati.

I sette principi del GDPR

Ecco i sette principi cardine del GDPR:

  1. Liceità, correttezza e trasparenza. I dati devono essere trattati in modo lecito, equo e trasparente.

  2. Limitazione delle finalità e minimizzazione dei dati. I dati devono essere raccolti solo per finalità commerciali specifiche e legittime.

  3. Minimizzazione dei dati. I dati personali raccolti devono essere limitati a quelli necessari in riferimento allo specifico scopo per i quali vengono raccolti.

  4. Accuratezza. Ogni possibile sforzo, ove necessario, deve essere compiuto per mantenere i dati aggiornati. Se i dati sono imprecisi o obsoleti, devono essere eliminati.

  5. Limitazione della conservazione. I dati devono essere conservati solo per il periodo di tempo necessario alla fornitura di prodotti o servizi. Possono essere conservati più a lungo solo per finalità di archiviazione di interesse pubblico, per scopi di ricerca scientifica o storica, oppure ancora per finalità statistiche.

  6. Integrità e riservatezza. L'azienda deve fare tutto il possibile per garantire la sicurezza dei dati personali. È tenuta a proteggerli dagli accessi illeciti come le violazioni di dati, nonché da perdite, distruzioni o danni accidentali.

  7. Responsabilità. La maggior parte delle aziende è tenuta a conservare registri del trattamento dei dati, nonché a presentarli alle autorità di vigilanza qualora venissero richiesti.

Come essere conformi all'RGPD

Ricordiamo che le informazioni riportate di seguito devono essere considerate solo come un orientamento a grandi linee. Hanno esclusivamente finalità informative generali e non rappresentano una consulenza legale. Il regolamento GDPR è costituito da 11 capi, 99 articoli e quasi duecento considerando; per ottemperare in modo integrale al GDPR, consigliamo quindi di rivolgersi a un consulente legale specializzato o all'autorità di vigilanza.

  1. Verifica tutte le procedure di gestione dei dati

    Siediti e disegna una mappa per illustrare l'intera procedura di raccolta dei dati della tua azienda. Dovrebbe aiutarti a identificare i punti che necessitano di un esame più attento. Per esempio:

    • Potrebbe essere necessario rivedere gli elenchi di indirizzi fisici e di posta elettronica. Se la tua azienda non ha motivi legittimi per elaborare i dati dei clienti per finalità di marketing o altri scopi, allora non può utilizzare tali dati personali. Verifica se può essere utile creare degli elenchi segmentati per i clienti europei.

    • Devi inoltre appurare se l'azienda ha motivi legittimi (es. consenso o interesse legittimo) per il trattamento dei dati personali su tutti i diversi canali attraverso cui vengono raccolti, inclusi eventi, iscrizioni a newsletter o persino annunci a pagamento.

    • Analizza le tue future campagne di marketing europee finalizzate a raccogliere i dati degli utenti: potresti aver bisogno di adattare i processi.

    In questa fase, ti consigliamo di nominare una persona nel tuo dipartimento di marketing (o l'intero team) per consultare gli avvocati specializzati in materia di RGPD. Questa persona o team dovrebbe lavorare a stretto contatto con un responsabile della protezione dei dati (RPD) se quest'ultimo è stato nominato all'interno della società. Potranno rivedere e approvare le campagne di marketing.

  2. Rendi il tuo sito web rispettoso del GDPR.

    Se hai un sito web, stai senza dubbio raccogliendo dei dati, in un modo o nell'altro. Per rendere il tuo sito web conforme all'RGPD, dovresti considerare i seguenti elementi:

    • Includi la possibilità di acconsentire all'uso dei cookie. Tutti i moduli web devono essere provvisti di un'opzione per il consenso all'uso dei cookie, che informa i visitatori riguardo ai tipi di dati raccolti e offre la possibilità di acconsentire al loro utilizzo se accettano tale tracciamento.

    • Creazione di un sistema di verifica dell'età. Se i visitatori di un sito hanno meno di 16 anni (il limite di età può variare da un paese UE all'altro), il GDPR richiede il consenso dei genitori per raccoglierne i dati. Assicurati di includere questa verifica.

    • Aggiorna i moduli per la raccolta di dati. Questi moduli devono dichiarare, utilizzando un linguaggio di facile comprensione, quali dati vengono raccolti e per quali finalità (un elenco completo delle informazioni che devono essere presentate agli utenti è disponibile negli articoli 13 e 14 del GDPR). Se la tua azienda opera al di fuori dell'UE, dovresti anche valutare l'aggiunta del campo "Paese di residenza", in modo tale da poter separare i database se necessario.

  3. Aggiorna il database corrente

    È consigliabile aggiornare regolarmente i database. Puoi farlo inviando alla clientela un'e-mail contenente un'opzione per scegliere quali tipi di informazioni desidera ricevere. Così facendo, aumentano le probabilità che i clienti non annullino del tutto la propria iscrizione. Ogni messaggio deve inoltre contenere un pulsante o un link "Annulla l'iscrizione" o "Aggiorna le tue preferenze".

    Inoltre, non contattare gli utenti che hanno annullato l'iscrizione in precedenza. È vietato dalla direttiva sulla privacy e sulle comunicazioni elettroniche.

  4. Preparati al peggio

    Uno degli obiettivi principali del GDPR consiste nel rendere le aziende più trasparenti in merito alle loro attività di trattamento dei dati; di conseguenza, è necessario anche aggiornare l'informativa sulla privacy inserendo tutte le modifiche implementate. Fai in modo che i testi siano chiari e concisi. Gli utenti devono avere la possibilità di trovare facilmente le informazioni che cercano, come ad esempio le tipologie di dati raccolti, le finalità di tale raccolta, con quali soggetti e perché vengono condivisi, ma anche come vengono conservati, in che modo è possibile accedere a tali dati e come richiederne la cancellazione (l'elenco completo degli elementi da includere nell'informativa sulla privacy è indicato negli articoli 13 e 14 del GDPR).

    Continua ad aggiornare la tua Informativa sulla privacy nelle stesse modalità e tempistiche con cui aggiorni le tue pratiche di trattamento dei dati. Ti consigliamo di effettuare controlli regolari sulla privacy e sulla sicurezza. Non tenere nulla nascosto. Informa i tuoi clienti di eventuali modifiche alle tue tecniche di trattamento dei dati e di qualsiasi problema che possa influire in qualche modo sulla loro privacy.

  5. Aggiorna l'Informativa sulla privacy

    In caso di violazione, il GDPR impone di segnalare l'accaduto entro 72 ore (sono previste alcune eccezioni). È quindi opportuno mettere a punto un piano da attuare qualora si verificasse una violazione di dati e formare i dipendenti su come comportarsi in tali circostanze. È necessario tenere in considerazione i seguenti aspetti:

    • Come i dipendenti a contatto col pubblico devono rispondere ai clienti.

    • Come verranno gestiti i canali sui social media e se sarà disponibile un numero sufficiente di addetti per rispondere a tutti i messaggi.

    • Quali canali verranno utilizzati per informare le parti interessate, come clienti e venditori, in caso di necessità.

    • Come verranno informati i mezzi di comunicazione e quali canali usare per fornire aggiornamenti.

    • Come verrà comunicata una violazione all'interno dell'azienda.

    • Quali procedure sono previste in caso di reclami o richieste di rimborso da parte della clientela.

    • Come ti assicurerai che il problema non si manifesti di nuovo.

Cos'è il diritto all’oblio?

Il diritto all'oblio è una rivoluzionaria innovazione di natura legale che consente alle persone di richiedere la rimozione da internet di specifiche informazioni che le riguardano. Questo importante concetto è emerso dall'Unione europea ed è sancito nel GDPR come un diritto fondamentale dei cittadini dell'UE.

L'essenza del diritto all'oblio incarna il concetto secondo cui le persone devono beneficiare del pieno controllo dei propri dati personali e avere la possibilità di lasciarsi alle spalle il passato.

Benché il diritto all'oblio non sia assoluto, esistono dei casi di applicazione chiaramente definiti. In caso di informazioni non più pertinenti, imprecise o che sono state trattate in modo illegale, i soggetti interessati possono presentare una richiesta affinché vengano rimosse.

GDPR e CCPA a confronto

Benché il CCPA e il GDPR siano accomunati dall'obiettivo di migliorare i diritti alla privacy dei consumatori, essi presentano al contempo alcune differenze significative.

In primo luogo, i due regolamenti differiscono per il campo di applicazione a livello normativo. Il GDPR è generalmente considerato un regolamento di più ampia portata, dal momento che disciplina tutte le organizzazioni che raccolgono e conservano i dati di persone all'interno dell'Unione europea (UE) e dello Spazio economico europeo (SEE). Al contrario, il CCPA (California Consumer Privacy Act) si applica solo alle organizzazioni a scopo di lucro che soddisfano determinati criteri di entrate e volumi di dati, e che raccolgono informazioni relative a soggetti residenti in California.

In secondo luogo, il CCPA e il GDPR sono caratterizzati da un diverso approccio al consenso degli utenti. Il CCPA non prevede il consenso esplicito per la raccolta dei dati, a meno che l'utente in questione non sia minorenne. Il GDPR, al contrario, richiede il consenso esplicito per la raccolta dei dati.

Un'altra differenza significativa tra i due regolamenti consiste nella tipologia di strumenti normativi che sono: il GDPR è una norma di regolamentazione, mentre il CCPA ha un valore legale. In parole povere, ciò significa che una violazione del CCPA può essere usata per intentare una causa civile nello stato della California, mentre il GDPR non ha un impatto diretto sui contenziosi civili, anche se comunque può essere incorporato nelle leggi nazionali.

Infine, esistono notevoli differenze in termini di applicazione e sanzioni in caso di inadempienza. Il GDPR è applicato dall'UE e può imporre sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo, a seconda di quale dei due importi sia maggiore. L'Ufficio del Procuratore generale della California è l'istituzione deputata a far rispettare il CCPA; la mancata osservanza può essere sanzionata fino a 2.500 dollari per violazione e a 7.500 dollari per violazione intenzionale.

NordPass è conforme al GDPR?

Noi di NordPass prendiamo molto sul serio la protezione e la riservatezza e dei dati. In qualità di soluzione sicura e affidabile per la gestione di informazioni sensibili, NordPass si impegna ad assicurare la piena conformità al GDPR.

L'architettura a conoscenza zero garantisce che tutti i dati sensibili vengano crittografati in locale sui dispositivi degli utilizzatori prima che raggiungano i nostri server. Ciò significa che non abbiamo accesso alle password o ad altri dati che la tua azienda potrebbe aver memorizzato su NordPass: questo garantisce la massima privacy.

Attribuiamo un grande valore alla trasparenza, ed è per questo che forniamo un'informativa sulla privacy dettagliata che definisce le nostre procedure per il trattamento dei dati, che includono i tipi di dati raccolti, le finalità della raccolta e le misure di sicurezza in atto.

In più, le nostre solide misure di sicurezza includono l'autenticazione a più fattori (MFA) e l'autenticazione biometrica, che aggiungono un ulteriore livello di protezione.

Nella remota ipotesi di una violazione di dati, ci impegniamo a informare tempestivamente gli utenti interessati e le autorità competenti, come stabilito dal regolamento GDPR.

Ricorda che il GDPR non è un progetto "una tantum": di conseguenza, non deve essere trattato come tale. Implica un lavoro costante e continuo, volto a migliorare gli standard di privacy e sicurezza della tua azienda.

Scegli NordPass per beneficiare di un'esperienza di gestione delle password affidabile e trasparente, che ti aiuterà a rispettare le politiche di conformità e a limitare i rischi di violazioni di dati.