MARKETING E GDPR
Le tue attività di comunicazione e marketing online sono conformi al Regolamento Generale sulla Protezione dei Dati (in inglese “General Data Protection Regulation” abbreviato in “GDPR”)?
Prima di tutto, che cos’è il Regolamento Generale sulla Protezione dei Dati (GDPR)?
Il Regolamento Generale sulla Protezione dei Dati è il regolamento UE 2016/679, meglio conosciuto come “General Data Protection Regulation” e abbreviato in “GDPR”. Si tratta della legge dell’Unione Europea che regola la protezione dei diritti degli individui in merito ai loro dati personali e mira a unificare le leggi dei vari paesi europei, a prescindere da dove vengano elaborati i dati. Pertanto il GDPR è applicabile a ogni impresa, azienda o organizzazione che elabora dati personali di residenti dell’Unione Europea.
I principi cardine alla base del Regolamento Generale sulla Protezione dei Dati
In linea generale, ogni impresa, azienda o organizzazione che elabora dati personali di residenti dell’Unione Europea deve garantire il perfetto allineamento con i principi fondamentali del GDPR che brevemente riporto qui:
1. Principio di liceità, correttezza e trasparenza
È obbligatorio assicurarsi che i dati personali siano trattati in modo lecito e corretto (il trattamento deve essere necessario all’adempimento di un obbligo legale e/o all’esecuzione di un contratto oppure l’interessato deve esprimere il proprio consenso in modo esplicito) nonché trasparente (devono essere chiare la o le finalità della raccolta e del trattamento dei dati raccolti) nei confronti dell’interessato.
2. Principio di limitazione delle finalità dei dati
Riassunto in breve, questo principio implica che i dati personali debbano essere raccolti, trattati e utilizzati solo per scopi specificati, espliciti e legittimi.
3. Principio di minimizzazione dell’uso dei dati
È obbligatorio assicurarsi che i dati personali rimangano sempre adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.
4. Principio di esattezza dei dati
I dati personali devono essere sempre esatti e aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
5. Principio della limitazione della conservazione
Detto succintamente, i dati devono essere conservati per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti e trattati.
6. Principio dell’integrità e della riservatezza
È obbligatorio assicurarsi che i dati personali vengano trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
7. Principio della responsabilizzazione
Infine, il GDPR indica anche requisiti di responsabilità. In sostanza, il titolare del trattamento deve garantire ed essere in grado di dimostrare che il trattamento viene effettuato conformemente al regolamento stesso.
Il tuo marketing è conforme ai principi fondamentali del GDPR?
Ecco alcune considerazioni chiave da tenere a mente per rispettare i principi cardine alla base del Regolamento Generale sulla Protezione dei Dati.
1. Essere chiari sulle finalità della raccolta dei consensi
Il consenso a ricevere delle comunicazioni di marketing non si presume, ma deve essere provato e fornito per la o le specifiche finalità di marketing.
Pertanto, la divisione marketing della tua azienda deve assicurarsi che le modalità di richiesta di consenso e di trattamento siano chiare e inequivocabili. Questo implica l’utilizzo di linguaggi di facile comprensione e di richieste di consenso che indichino chiaramente lo o gli scopi di marketing per i quali verranno utilizzati i dati raccolti. Se i dati personali vengono utilizzati per diverse finalità, occorre richiedere un consenso separato per ciascun utilizzo.
Inoltre, gli interessati devono essere in grado di ritirare o modificare il loro consenso con la stessa facilità e rapidità con cui lo hanno fornito. Devono avere la possibilità di cancellare i loro dati (diritto all’oblio, ovvero il diritto di essere dimenticati), di trasferirli (portabilità dei dati) o di opporsi a determinati tipi di trattamento dei loro dati.
Infine, il consenso dato da minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
2. Documentare la raccolta e il trattamento dei dati personali
In qualità di titolare del trattamento di dati personali di residenti dell’Unione Europea, la tua azienda deve essere in grado di dimostrare che i dati in suo possesso sono stati raccolti e trattati conformemente al GDPR.
La tua divisione marketing deve non solo assicurarsi che le modalità e le finalità della raccolta e del trattamento dei dati siano trasparenti, ma anche registrare tutte le informazioni critiche quali quando, perché e in che modo sono stati raccolti i consensi ed elaborati i dati.
D’altro canto, i dati inesatti rispetto alle finalità per le quali sono stati raccolti e trattati devono essere tempestivamente rettificati o cancellati.
3. Aggiornare e mantenere aggiornate le liste di email marketing
La tua azienda deve essere in grado di dimostrare di aver raccolto il consenso degli iscritti alle liste di email marketing in maniera conforme al Regolamento Generale sulla Protezione dei Dati.
Pertanto, il tuo marketing deve assicurarsi che le mailing list siano accurate, in particolare per quanto riguarda i consensi rispetto alle finalità per le quali sono stati raccolti e vengono trattati i dati personali.
Le nuove iscrizioni alle liste di mailing possono essere gestite in modo automatico con l’attivazione del doppio opt-in (l’opzione che richiede che l’indirizzo email venga convalidato prima di essere salvato nella mailing list).
Per gli iscritti di cui non risulta registrato il consenso esplicito e specifico, il tuo marketing deve raccogliere e registrare il loro consenso secondo quanto previsto dal GDPR (ricordando loro gli scopi di marketing per i quali i loro dati sono stati raccolti) e rimuovere gli iscritti che non avranno rinnovato il proprio consenso.
D’altronde gli iscritti devono poter annullare la loro iscrizione o modificare le loro preferenze, e qualsiasi richiesta di rettifica o di cancellazione deve essere accolta tempestivamente e conformemente al GDPR.
4. Controllare la cookie policy del tuo sito web
In termini pratici, il consenso deve essere chiaramente richiesto prima che il trattamento dati abbia inizio, deve essere espresso mediante un atto positivo, e deve poter essere facilmente modificato (l’utente deve poter cambiare idea e ritirare o modificare il suo consenso).
Inoltre, il consenso deve essere registrato e archiviato in modo sicuro come elemento di prova, e deve essere rinnovato ogni 12 mesi contestualmente alla prima visita dell’utente sul tuo sito.
5. Fare in modo che le attività di marketing siano pertinenti e non invadenti
Detto molto in breve, il tuo marketing deve minimizzare la raccolta ai soli dati personali che effettivamente utilizzerà nelle sue attività in quanto deve essere in grado di dimostrare che raccoglie, tratta e utilizza dati personali di residenti dell’Unione Europea solo per scopi specificati, espliciti e legittimi.
Per quanto riguarda le pratiche di profilazione e personalizzazione, la tua azienda è tenuta a specificare, al momento della richiesta di consenso, che i dati possono essere utilizzati per scopi di analisi automatica al fine di personalizzare l’esperienza utente o cliente. Occorre pertanto spiegare agli utenti e clienti, in modo lecito e trasparente, il loro interesse nella profilazione e nella personalizzazione della loro esperienza utente o cliente.
Marketing e il Regolamento Generale sulla Protezione dei Dati (GDPR)
Guarda la presentazione in italiano, inglese o francese.
Spero che questo articolo ti sia stato utile anche se solo a titolo informativo. In effetti, questo post non deve essere considerato come una consulenza legale o professionale in materia di privacy o di trattamento di dati personali. Per maggiori dettagli e informazioni specifiche, ti invito a consultare la pagina della Commissione Europea “Data protection: Rules for the protection of personal data inside and outside the EU” e a contattare un esperto certificato.
QUESTO ARTICOLO È DISPONIBILE ANCHE IN INGLESE E IN FRANCESE
