12 Aprile

GDPR il nuovo Regolamento Europeo per la Protezione dei Dati Personali: come funziona e come adeguarsi. Parte 1.

Scritto da 

 

In questo articolo affronteremo un tema importante ed urgente cercando di mantenerci nell’ottica di un’azienda che fa già o vuole fare Marketing rispettando la Normativa che a breve entrerà in vigore. Le informazioni contenute in questo e negli articoli a seguire non sono da intendersi equivalenti e valevoli quanto il consulto di un Legale o di un Consulente sulla Privacy, che vi invitiamo a contattare al più presto. Abbiamo raccolto tramite colleghi e consultazioni di esperti del settore le informazioni più attendibili sul tema.

Le basi del GDPR

Il Regolamento Generale dell’Unione Europea sulla Protezione dei Dati Personali Ue 2016/679 (General Data Protection Regulation, conosciuto appunto come GDPR) è un regolamento che è stato emesso il 27 aprile 2016 dal Parlamento europeo ed entrerà in vigore il 25 maggio 2018.

Relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue. 

 

Nella maggior parte dei casi, il Parlamento europeo adotta direttive che vengono poi introdotte dai membri dell’UE nelle loro legislazioni, ma in questo caso si tratta di un regolamento, il che vuol dire, che sarà valido direttamente e in modo uguale in tutti i paesi membri.

La legislazione italiana, la famosa Normativa sulla Privacy D. Lgs. n. 196/2003, poneva il nostro Paese avanti rispetto al resto dell’Unione, ma il nuovo regolamento apporta molte novità, da una parte sfide e agguati, dall’altra parte invece l’unificazione e anche (specialmente se si fanno affari in diversi paesi dell’UE) la semplificazione. Vedremo pian piano i concetti fondamentali, le differenze e quello che un’azienda deve fare per adeguarsi.

Ricordiamo che il GDPR riguarda tutti i dati assimilabili a persone fisiche che un’azienda possiede, dalle anagrafiche dipendenti o clienti alle buste paga o a qualsiasi altro dato della vita offline dell’azienda, noi ovviamente affronteremo il tema in ambito web, quindi come adeguare un sito internet al GDPR e come rispettarlo quando si va a fare marketing tramite i dati acquisiti.

In particolare ci riferiremo all’Email Marketing in quanto spesso è quello che più facilmente un’azienda riesce a gestire internamente, ma parleremo anche dei dati derivati da un sito web o da un social network, anche se di solito interessano una Web Agency come la nostra.

gdpr infografica min

Concetti e Definizioni per capire il GDPR

La novità principale introdotta dal GDPR sono i concetti di Privacy by Design e Privacy by Default, ciò significa che qualsiasi attività che vede coinvolti dati personali, noi ci soffermiamo sul lato marketing, ma anche quelli per il solo funzionamento dell’azienda sono compresi, deve essere concepita e progettata in primis tenendo conto della sicurezza dei dati.

Questo vale sia quando si va a progettare un sito web penso ai form di contatto, alle newsletter, all’iscrizione di un utente o ai meccanismi di un e-commerce, e sia al nuovo gestionale per i dipendenti della tua azienda.

Andiamo quindi ad esaminare come prima cosa la terminologia di questo Regolamento, cercando di fornire esempi e spunti di riflessione sia per le attività online che offline, per quelle di marketing e per funzionamento aziendale.

  1. Dato personale – qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Il regolamento definisce esplicitamente, che si tratta di persone fisiche, il che vuol dire che distingue chiaramente tra persone fisiche e persone giuridiche.

Esempio partico nel caso un’azienda faccia email marketing, bisogna contraddistinguere tra:

    • Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. – persona fisica
    • Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. – persona fisica (attenzione!)
    • Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. – persona giuridica

Durante il trattamento dei dati bisognerà perciò prima distinguere gli indirizzi email generici (info@, vendita@, …) dagli indirizzi di persone fisiche. Il GDPR, infatti, non si applica agli indirizzi generici.

  1. Trattamento – qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Per l’email marketing bisogna distinguere tra:

    • Raccolta e utilizzo di indirizzi email per l’invio di messaggi email.
    • Raccolta di informazioni aggiuntive sul destinatario per scopi di profilazione – sia automatica che manuale – queste informazioni includono p.es. il sesso, l’età, ecc., come anche la data e l’ora di lettura dei messaggi email, click ai collegamenti, geolocalizzazione, ecc.

Specifichiamo però che se un privato detiene una rubrica, mail o telefono, che non usa per promuoversi (e qui scattano altre regole) al fine di tenersi in contatto con il proprietario, ciò non ricade nel GDPR, nel caso di un’azienda invece ciò si configura comunque come anagrafica del cliente e bisogna tenerne conto in ambito GDPR.

  1. Titolare del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Qui occorre fare un distinguo, anche perché la questione è molto dibattuta, il titolare è l’azienda, almeno per quella che è la nostra interpretazione, sulla base delle informazioni raccolte e per la maggioranza delle opinioni. La questione è delicata in quanto è colui che risponde in toto di eventuali inadempienze e come sappiamo le sanzioni sono abbastanza pesanti, come vedremo in seguito. In pratica è colui che ottiene i consensi per il trattamento dei dati personali, anche se il soggetto che raccoglie i dati (indirizzi email, etc.) è un terzo, come vedremo al punto successivo, li ha salvati ed a loro invia i messaggi email (sempre nel caso dell’email marketing).

  1. Responsabile del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

All’atto pratico è chi si occupa del tuo marketing, o almeno di quello per il quale serve lavorare sui dati di attuali e potenziali clienti. Può essere la Web Agency a cui ti rivolgi per campagne Social o sui Motori di Ricerca, ma anche un tuo dipendente interno se inviate mail ad una lista tramite il software di posta, oppure ancora se utilizzi uno di quei servizi di invio mail massivo, allora quello sarà il tuo RDT. Anche la Web Agency che si appoggia ad uno di questi servizi avrà in loro il proprio RDT. C’è da considerare un’altra figura intermediaria, che è l’Incaricato del Trattamento, cioè quel dipendente o fornitore che opera sotto il responsabile. Il responsabile del trattamento tratta i dati rispettando le istruzioni del titolare.

  1. Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati;

Qui bisogna fare attenzione a non confondere due concetti diversi:

    • Ricevente – l’originale inglese del GDPR per Destinatario è recipient, che potrebbe essere tradotto anche come il ricevente.
    • Destinatario – Di seguito utilizzeremo questa parola per indicare la persona fisica alla quale si riferiscono i dati personali e dei quali è anche proprietaria.

Il ricevente è quindi il colui con il quale condividi i dati personali.

  1. Profilazione – qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Qui vorremmo evidenziare che secondo la nostra interpretazione, eseguire manualmente i filtri sui destinatari viene considerato come trattamento automatizzato di dati personali, e perciò non richiede un ulteriore consenso. Ma ne parleremo di più su in seguito.

gdpr dati personali

A chi si applica il GDPR

Si applica a tutte le organizzazioni che gestiscono, custodiscono, trattano, trasmettono o operano in altro modo con i dati personali di persone fisiche, quando il trattamento ha per oggetto l'offerta di beni e servizi o il monitoraggio del comportamento dello stesso all'interno dell' UE. Il comma 2 dell'art. 3 del GDPR non fa distinzione tra interessati comunitari ed extracomunitari, ciò che conta è che l'interessato i cui dati sono oggetto del trattamento si trovi nel territorio dell'Unione Europea e ciò anche quando il titolare del trattamento non ha sede nell'UE.

Significa che la sede dell’organizzazione non è rilevante e che il GDPR si applica anche alle aziende statunitensi o argentine, se queste trattano i dati di chi si trova sul territorio europeo, per intenderci un qualsiasi giocatore, anche con passaporto ExtraUE, nel momento in cui viene a giocare la Champions Legue, se subisce un trattamento dei dati per le finalità già specificate, è protetto dal GDPR, anche se lo fa un'azienda in una qualsiasi parte del mondo fuori dall'Europa.

L’organizzazione in questo contesto significa un’azienda, un istituto o un’istituzione nazionale, così come un’associazione, un sindacato, partito politico e altre forme di organizzazioni. Gli unici esenti sono le persone fisiche.

Il GDPR si applica anche a tutti i tuoi esecutori contrattuali (responsabili del trattamento), indipendentemente da dove si trovino, ma la responsabilità che siano conformi al GDPR è anche tua.

Non è possibile, infatti, trasferire le responsabilità sui partner contrattuali, perciò è molto importante verificare che tutti i partner siano conformi al GDPR e stipulare con essi un contratto

In questo contesto bisognerà fare molta attenzione alle piattaforme cloud e ai fornitori di marketing non europei, Google e Facebook in primis. 

A quali dati si applica il GDPR

Il GDPR si applica a tutti i dati personali, trattati dalla tua organizzazione. Questo include anche i dati dei tuoi clienti o acquirenti, e attenzione, anche i dati dei tuoi fornitori e dei tuoi dipendenti.

Questo significa che dovrai cambiare la tua mentalità riguardo il trattamento dei dati personali e cominciare a vedere le cose da un’altra prospettiva.

Tuttavia, è fondamentale distinguere tra i dati personali e i dati di carattere pubblico.

I dati di carattere pubblico, attenzione, non sono i dati pubblicati. Se per esempio una persona rivela pubblicamente il suo indirizzo email, tipo su Facebook, tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tantomeno inviar un messaggio email a questo indirizzo, ovviamente a scopo di marketing.

Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.

Anche l’indirizzo email professionale non è un dato pubblico, nonostante sia pubblicato sul sito web. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. è ritenuto come dato personale, che senza permesso non hai il diritto di trattare.

Tuttavia, gli indirizzi email generici sono dati di carattere pubblico. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. non rientra sotto la giurisdizione del GDPR e per il trattamento di questi dati non hai bisogno di alcun consenso esplicito. Ma devi, se invii messaggi email a questi indirizzi, sempre dare e rispettare la possibilità di annullare l’iscrizione.

Un ulteriore esempio di raccolta legittima di dati è la raccolta di dati aggregati. Questi infatti non determinano nessuna persona fisica in particolare, perciò raccoglierli, secondo il GDPR, è consentito.

Bisogna però effettivamente garantire che i dati siano anonimizzati in modo che non sia più possibile ripristinare le informazioni sull’individuo a cui si riferiscono.

Un ulteriore differenza è tra i dati obbligatori e quelli non obbligatori (per esempio come campo obbligatorio nel form d’iscrizione, perché magari quel dato potrà essere utile in fase promozionale), si deve dimostrare la necessità obiettiva di un dato personale.

Il GDPR precisa che è consentito raccogliere dati che sono appropriati, rilevanti e necessari per eseguire il servizio ordinato.

Per ricevere una Newsletter è necessario che il titolare ottenga l’indirizzo email, ma non è necessario che il titolare ottenga anche i dati sulla data di nascita, per un form di contatti nome, mail e se proprio necessario il telefono, etc.

Per questo motivo il GDPR chiede ai titolari di raccogliere sempre il minor numero di dati necessari per ogni scopo.

kc gdpr compliance

Il GDPR è retroattivo

È molto importante anche la nuova richiesta, che dice che il GDPR si applica anche ai dati raccolti prima dell’introduzione del GDPR. In pratica questo significa che devi:

  1. Controllare innanzitutto quali sono i consensi che hai per i tuoi dati esistenti, se sono già in conformità al GDPR. Se la risposta è Sì, non hai bisogno di raccogliere ulteriori consensi.
  2. Altrimenti, sei obbligato a raccogliere nuovamente i consensi. Questo significa che devi contattare i tuoi destinatari e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati.

Il condizionamento dei servizi con il consenso per il trattamento dei dati personali non è più consentito.

In pratica questo significa che bisognerà modificare praticamente tutti quelli che erano i meccanismi di raccolta mail per esempio. All’atto di iscrizione ad un portale, sito, servizio spesso era obbligatorio spuntare la possibilità di ricevere contatti commerciali. Oppure i form per il download di un contenuto gratuito non potranno avere più l’obbligatorietà dell’iscrizione alla newsletter.

L’iscrizione alle e-news deve essere proposta come opzione indipendente (essere indicata con un segno di spunta) e non deve essere già selezionata.

Gli obblighi del titolare

Il GDPR richiede al titolare di garantire ai destinatari, in maniera semplicetrasparente e sicura, determinati diritti, che fin ora erano garantiti solo parzialmente o non lo erano affatto. Questi diritti sono i seguenti:

  1. Il titolare deve definire la base giuridica sulla quale gli è consentito il trattamento dei dati personali. Degli esempi di basi giuridiche sono i consensi, interessi legittimi, base legale, obblighi contrattuali, etc. Fornire dei servizi ai clienti è sicuramente una base giuridica di questo tipo, ma bisogna fare attenzione a raccogliere la quantità minima di dati personali necessaria.

Per il marketing la base giuridica viene solitamente fornita dal consenso esplicito del destinatario.

  1. Il titolare deve garantire un consenso volontario e trasparente del destinatario sul trattamento dei dati. Se ti occupi del trattamento dei dati personali dei bambini, dovrai chiedere il consenso ai loro genitori. Per l’email marketing, una decisione trasparente e volontaria significa, che devi includere all’inizio del modulo di iscrizione una casella vuota, quindi senza segno di spunta, per il consenso allo scopo del trattamento.
  2. Il titolare deve garantire al destinatario il diritto di informazione. Questo significa che:
      • I dati personali si ottengono direttamente dal destinatario o esiste un consenso esplicito, ottenuto da uno dei nostri partner, che ha raccolto questi dati direttamente, e che permette al titolare di utilizzarli
      • Le informazioni sui quali dati si raccolgono, perché si raccolgono e quanto tempo verranno custoditi devono essere chiare, concise, trasparenti, comprensibili, facilmente accessibili e gratuite. Quest’ultimo non va definito nelle condizioni generali di contratto in una lingua legale e difficile da capire né occultato in altro modo. Il modo giusto è presentarlo in maniera chiara ed esplicita nel momento in cui il destinatario consegna i suoi dati personali al titolare.
  1. Il titolare deve garantire al destinatario il diritto di accesso ai propri dati personali. Questo significa che deve esserci un modo semplice e sicuro per il destinatario di informarsi sui dati che sono stati raccolti e quelli che si stanno ancora raccogliendo.
  2. Il titolare deve garantire al destinatario il diritto di rettifica dei propri dati personali. Questo significa che deve esserci una procedura semplice e sicura, sulla cui base il destinatario può modificare i propri dati personali a sua libera scelta.
  1. Il titolare deve garantire al destinatario il diritto di cancellare (dimenticare) i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario può richiedere la cancellazione di tutti i suoi dati personali.

Bisogna sottolineare che il GDPR non ha una precedenza “assoluta” rispetto alle altre leggi e il titolare può anche respingere questo tipo di richiesta o soddisfarla solo parzialmente, se ha altre basi giuridiche per custodire tali informazioni.

Un esempio sono i dati degli acquirenti nel vostro e-commerce, l’azienda è tenuta a conservare i dati degli account e, di conseguenza, degli acquirenti anche diversi anni dopo l’acquisto ai fini fiscali per eventuali controlli, perciò si potrà soddisfare la richiesta di cancellazione solo in parte.

  1. Il titolare deve garantire al destinatario il diritto di trasferire i propri dati personali. Questo significa che deve esserci un processo semplice e sicuro con il quale il destinatario ottiene i suoi dati personali in un formato leggibile.
  1. Il titolare deve garantire al destinatario il diritto di obiezione. Questo significa che il titolare deve dare al destinatario la possibilità di revocare qualsiasi consenso, che abbia mai dato al titolare.
  1. Il titolare deve garantire una traccia di audit delle operazioni con i dati personali. Questo significa che ogni dato in caso di accessomodifica e cancellazione, viene anche registrato.

Si tratta dei così detti metadati (i dati sui dati) che devono essere memorizzati per poter ricostruire in modo semplice il ciclo di vita dei dati.

È necessario sottolineare che bisogna fornire anche i dati su chi e quando ha avuto accesso ai dati e che questo vale sia per i destinatari che per i dipendenti del titolare o del titolare del trattamento.

Il titolare deve avere facile accesso alla traccia di audit, perciò è necessario che il titolare si assicuri che tutti i titolari del trattamento abbiano una traccia di audit e che questa sia a disposizione del titolare.

Oltre a quello che abbiamo elencato sopra, il titolare deve, in caso di trattamento di maggiori quantità di dati, o in caso abbia oltre 250 dipendenti, determinare anche il c.d. DPO – Data Protection Officer.

Si tratta della figura che garantisce la conformità della sicurezza dei dati personali relativa al GDPR. Questa persona può anche essere un dipendente dell’azienda, ma non deve avere conflitti di interesse, non può esserlo chi lavora nel campo del marketing, dell’amministrazione, delle risorse umane o dell’IT. La cosa più sensata è assumere un fornitore esterno che si prenda carico di questo ruolo.

La maggior parte dei titolari non avrà bisogno di un DPO, ma sarà invece d’obbligo per quelli che trattano grandi quantità di dati o trattano dati sensibili. 

Come procedere in caso di violazioni, il Data Breach

La novità, introdotta dal GDPR, è anche un modo più chiaro e rigoroso di agire in caso di violazioni.

In caso di abuso (irruzione nel sistema informatico, violazione da parte dei dipendenti, violazione da parte dei soci, …) è necessario informare in meno di 72 ore gli organi competenti – il titolare delle informazioni o la polizia se sei stato vittima di un reato, che come conseguenza ha compromesso la sicurezza dei dati personali. Non denunciando il fatto potresti essere sanzionato.

In caso di violazioni gravi, il GDPR definisce come violazione grave la violazione “dei diritti e delle libertà” del destinatario, bisogna informare anche il destinatario.

gdpr data breach

Responsabilità in caso di violazione

È importante sapere che per la gestione dei dati è sempre responsabile il titolare.

Questo significa che il titolare non potrà pronunciarsi sui contratti che ha stipulato con i suoi partner o responsabili del trattamento (eccetto, ovviamente, in casi evidenti).

In pratica questo significa che i servizi di ispezione continueranno a esercitare la vigilanza sui titolari e solo successivamente sui responsabili del trattamento.

Se i tuoi responsabili del trattamento non hanno sede nell’UEfa molta attenzione che siano conformi al GDPR. A causa delle ridotte possibilità di essere multati, della lontananza e assenza di contatti nell’UE, hanno meno voglia e interesse di essere in conformità al GDPR, rispetto alle ditte con sede nell’UE.

Sanzioni in caso di violazioni

Le sanzioni per i responsabili del trattamento, il ricevente, ma soprattutto per i titolari sono molto alte! Il GDPR prevede multe fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per la maggior parte delle infrazioni. Per gli abusi gravi invece fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente o 20 milioni di euro.

Bisogna anche sottolineare che saranno sotto sorveglianza e verranno sancite tutte le aziende – sia quelle minuscole e piccole he quelle medie e grandi.

Non contare sul fatto che la tua azienda sia troppo piccola per poter essere sotto sorveglianza o per essere sancita.

Non avere paura però, non si tratterà di una caccia alle streghe, vige il principio dell’accountability ed ogni azienda deve fare il massimo per le proprie possibilità. Il GDPR mira prima di tutto a responsabilizzare le aziende nell’uso dei dati personali, è ovvio che un fornaio e un grosso shop online avranno anche economicamente possibilità differenti per potersi adeguare.

Inoltre il Garante Italiano, interpellato, ha risposto che la sanzione non sarà immediata, ma una volta verificata un’inadempienza, senza volontà di dolo, ci saranno vari step per poter sanare la falla ed adeguarsi, solo in casi di evidente e conscia colpa o di voluta inadempienza scatterà la multa commisurata.

Quando entra in vigore il GDPR

Le normative GDPR iniziano formalmente a valere il 25 Maggio 2018. Bisogna capire che l’applicazione delle normative, nel senso pratico, NON avverrà da un giorno all’altro, ma sarà graduale.

Devi comprendere, che tantissimi paesi dell’Unione europea non hanno ancora approvato le leggi necessarie, che danno una base per permettere l’applicazione del GDPR.

È anche vero che dal 2016 che era prevista l’entrata in vigore del Regolamento, e pochi paesi si sono fatti trovare preparati, in particolare l’Italia, nel momento in cui si sta scrivendo ha solo messo in conto di predisporre la propria legge, in quanto il GDPR stesso ha molti punti in cui deroga al Paese Membro di puntualizzare. Al momento, anche per la situazione politica è evidente che tale legge non sarà pronta per il 25 di maggio, ma consigliamo vivamente di approfittare di eventuali ritardi per correre ai ripari, poiché comunque per i casi più gravi il GDPR verrà immediatamente applicato.

Con l’introduzione del GDPR ti consigliamo di seguire il seguente ordine dei passi:

  1. Nella prima fase, assicurati che i tuoi processi e sistemi siano compatibili con il GDPR. Questo lo devi fare assolutamente prima del 25 di Maggio.
    Nella seconda fase, assicurati che tutti i dati personali ottenuti dopo il 25 di Maggio siano raccolti rispettando il GDPR
  2. Nella terza fase, assicurati di ottenere tutti i consensi dei tuoi contatti di prima. Qui si suppone che le istituzioni di controllo permetteranno un periodo di passaggio, dove i titolari potranno finalizzare al 100% la loro compatibilità.
  3. Allo stesso modo, guardando dal punto di vista legale, restano aperte alcune domande sulla retroattività prevista dal GDPR. Queste probabilmente verranno esaminate e risposte con delle situazioni più pratiche.
  4. Alle fine, elimina tutti i dati personali, per i quali non hai ottenuto il consenso di trattamento. Così come menzionato prima, anche qui ti consigliamo di non avere fretta.

L’autore di questo articolo e l’azienda non prendono alcuna responsabilità in merito all’accuratezza o all’irregolarità delle informazioni date in questo articolo, come già specificato in apertura. Il lettore tenga conto del contenuto di questo articolo a seconda della propria scelta.

Con i dati e con le conclusioni sovrastanti abbiamo presentato un’analisi completa del GDPR. Da sottolineare è, tuttavia, che questo non rappresenta in alcun modo tutto ciò che comprende il GDPR, soprattutto se stiamo parlando in un contesto dell’azienda molto grande.

Per delle informazioni più dettagliate ti consigliamo di rivolgerti ai studi legai specializzati per la privacy o di leggere da solo il GDPR completo.

La traduzione del GDPR in lingua italiana la puoi trovare qui ed inoltre sul sito del Garante della Privacy trovi una sezione di FAQ in continuo aggiornamento. Inoltre ti segnaliamo, sempre da parte del Garante, una guida breve al GDPR.

Nella prossima puntata

Nel prossimo articolo, la seconda parte (ne abbiamo previsto 3 ma chissà), cercheremo di fornire esempi pratici e tratteremo di altri temi importanti connessi al GDPR, come la documentazione del processo di trattamento e quindi il Registro dei Trattamenti, la preparazione della valutazione d’impatto sulla protezione dei dati (DPIA), se l’articolo non sarà eccessivamente lungo, altrimenti rimandiamo parleremo dei contratti, degli audit di come raccogliere i dati ed il consenso.

 

Grazie per aver tenuto duro e letto tutto l'articolo, anche se era nel tuo interesse. Se vuoi aggiungere qualcosa, segnalare errori, usa la sezione commenti oppure contattaci anche per avere una consulenza per adeguare ad esempio il tuo sito web.

 

CONTATTAMI

 

Se l'articolo ti è piaciuto condividilo sui tuoi social preferiti, segui anche i nostri profili social e non perderti i prossimi interessanti argomenti! Puoi anche lasciare un commento per farci sapere cosa ne pensi.

 

Letto 507 volte Ultima modifica il Venerdì, 20 Aprile 2018 07:55
Vota questo articolo
(0 Voti)

1 commento

  • Link al commento tonicopii
    tonicopii
    Venerdì, 20 Aprile 2018 07:39

    Articolo assolutamente interessante e pure molto ben scritto. Aspetto la prossima puntata. Grazie!

Lascia un commento

Assicurati di aver digitato tutte le informazioni richieste, evidenziate da un asterisco (*). Non è consentito codice HTML.