GDPR 2018: cosa cambia per l'Email Marketing?

MailUp

apr 27, 20186 min di lettura
GDPR 2018: cosa cambia per l'Email Marketing?

GDPR, quattro lettere dietro cui si nasconde un mondo, quello delle attività di raccolta e trattamento dei dati personali, le cui regole sono state riscritte dall’Unione Europea.

Per molte aziende l’acronimo suona ancora come qualcosa di poco chiaro e, al tempo stesso, incombente. Facciamo allora chiarezza, partendo dalla pura superficie.

Cosa significa GDPR?

È l’acronimo di General Data Protection Regulation, in italiano Regolamento UE sulla Privacy, che sostituisce l’attuale D.Lgs. 196/2003. Si tratta di una nuova normativa pan-europea che rivoluziona il modo in cui vengono intesi e gestiti i dati personali sul web.

Quando entrerà in vigore?

Approvato dall’Unione Europea nel 2016 e formalmente già entrato in vigore, il GDPR – essendo un regolamento ad applicazione differita – diviene pienamente operativo due anni dopo, il 25 maggio 2018. Questione di settimane, dunque.

Come si sarà intuito, le nuove disposizioni del GDPR si applicano a tutti i campi e settori in cui vengono svolte attività di raccolta e trattamento dei dati personali. Oggi esploreremo il rapporto tra GDPR e Email Marketing, appoggiandoci al lavoro che da oltre due anni MailUp conduce in collaborazione con Marco Maglio, Avvocato, Presidente dell’Osservatorio Europeo sulla Data Protection e fondatore di Lucerna IurisUn lavoro di studio e divulgazione sul tema GDPR da cui sono nati un hub dedicato e un ciclo di webinar, i cui prossimi appuntamenti sono fissati per il 3 e 17 maggio 2018.

GDPR: scopri tutte le novità della nuova normativa europea

Regolamento UE sulla Privacy 2018: le novità per chi fa Email Marketing

1. Cambiano i requisiti per ottenere il consenso

Uno dei motti del nuovo GDPR è chi tace NON acconsente.

Proprio il  tema della raccolta del consenso rappresenta il nodo attorno a cui si articolano le principali criticità per le aziende.

Vediamo prima quali sono le regole ante-GDPR: attualmente nel nostro Paese vige il meccanismo rigido e formale del consenso espresso (o metodo opt-in), che prevede che il consenso sia valido solo ed esclusivamente quando raccolto tramite dichiarazione dell’interessato di accordo all’utilizzo dei propri dati. In poche parole, non è sufficiente il silenzio-assenso, mentre in altri paesi europei vale la logica del consenso presunto in base ai comportamenti dell’utente: nel Regno Unito, ad esempio, vale il meccanismo dell’opt-out, che presume automaticamente il consenso a meno di una negazione esplicita.

Nell’era del GDPR il consenso è invece valido se manifestato in modo non equivoco attraverso comportamenti concludenti e positivi, con i quali l’interessato manifesta l’intenzione libera, specifica e informata di accettare il trattamento.

Il consenso non deve quindi essere esplicitato con una casella barrata o con la firma di un modulo, ma deve derivare da un’azione compiuta dall’utenteNulla di nuovo in realtà, se pensiamo ai banner dei cookies. Questo non vuol dire però che non possano più essere utilizzate forme di consenso come le caselle da barrare e i moduli da firmare.

Come sarà chiaro, il GDPR 2018 vieta di inviare email a chi non ha mai chiesto di essere contattato e che non ha sottoscritto il consenso al trattamento. Prendiamo il caso classico dello scambio di biglietti da visita: non sarà possibile aggiungere quei contatti al proprio database, a meno che non venga loro inviata un’email specifica nella quale venga chiesto il permesso. Inoltre, cosa importante, in questa email non è possibile inserire offerte o qualsiasi genere di contenuto promozionale.

2. I nuovi diritti dei destinatari

Una volta raccolti i dati, le aziende devono essere consapevoli e tutelare i diritti dei destinatari.

Con il nuovo regolamento generale sulla protezione dei dati (GDPR) non solo vengono confermati tutti i diritti vigenti, ma ne vengono aggiunti di nuovi. Il destinatario ha il diritto di accedere ai propri dati, e ottenere la conferma che sia o meno in corso un trattamento che lo riguarda.

Tra le novità più rilevanti troviamo il diritto all’oblio (right to be forgotten / right to erasure) e il diritto alla portabilità del dato (data portability).

Il diritto all’oblio permette al destinatario di ottenere la cancellazione dei dati personali che lo riguardano nei casi in cui:

  • I dati non sono più necessari rispetto alle finalità
  • Il destinatario revoca il consenso
  • Il destinatario si oppone al trattamento per finalità di marketing
  • Il trattamento non è conforme al regolamento.

Per portabilità si intende il riconoscimento sia del diritto del destinatario a trasferire i propri dati da un sistema di trattamento elettronico (come il social network) a un altro, sia del diritto di ottenere gli stessi in un formato elettronico strutturato che consenta di farne ulteriore uso.

3. Introduzione del Data Protection Impact Assessment

Il Data Protection Impact Assessment (DPIA) è una vera e propria analisi dei rischi concreti generati dal trattamento dei dati. Le aziende devono effettuare una valutazione degli impatti determinati dal trattamento fin dal momento della progettazione del processo aziendale, in particolare nei casi in cui il trattamento presenti rischi specifici per i diritti e le libertà degli interessati.

Il processo prevede tre distinte fasi da svolgersi con cadenza almeno annuale:

1. Analisi dei rischi

2. Definizione della lista delle criticità (gap list)

3. Definizione del programma di intervento (action plan)

In poche parole il Data Protection Impact Assessment è una sorta di “auto-verifica preliminare” che ciascuna azienda deve svolgere in autonomia per avere coscienza dei rischi che il trattamento dei dati personali comporta.

4. Effettuare un assessment dei dati già raccolti

I dati già raccolti non devono essere ritenuti persi: quello che va fatto è sottoporre un’accurata analisi (detta  assessment) per considerare e valutare se quei dati possono continuare a essere utilizzati anche alla luce della riforma europea.

Prima che il GDPR sia pienamente operativo, dunque entro il 25 maggio 2018, ogni azienda deve aver effettuato la verifica e definito un programma di raccolta aggiornato secondo le nuove regole.

Per rivitalizzare i dati sarà necessario inviare semplicemente una comunicazione chiara ed esplicita che rassicuri il destinatario in merito all’utilizzo e alle finalità dei dati.

5. Creazione del registro del trattamento

Fondamentale requisito per la compliance aziendale, questo punto riguarda solo le aziende con più di 250 dipendenti, che devono redarre e tenere aggiornato un registro del trattamento contenente:

  • Il nome e i dati di contatto del titolare del trattamento
  • I dati che vengono trattati
  • La descrizione delle categorie di interessati e delle categorie di dati personali
  • Le finalità del trattamento
  • Le persone che hanno accesso ai dati (all’interno e all’esterno dell’azienda)
  • Se i dati vengono trasferiti all’estero
  • I termini di cancellazione dei dati (data retention)
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

6. La nuova figura del DPO (Data protection Officer)

Con il GDPR 2018 nasce la figura del Data Privacy Officer (DPO), o Responsabile della protezione dei dati personali che, in sintesi, ha il compito di verificare il corretto trattamento dei dati, predisporre il documento di Privacy Impact Assessment e in generale valutare che non vi siano rischi legati al trattamento.

Sarà una figura obbligatoria se:

  1. Chi tratta i dati è un soggetto pubblico
  2. Vengono trattati rilevanti quantità di dati personali
  3. Vengono trattati sistematicamente dati sensibili o giudiziari.

I compiti del DPO sono diversi:

  • Informare e consigliare il titolare o il responsabile del trattamento in merito agli obblighi derivanti dal GDPR
  • Vigilare su attuazione e applicazione delle politiche del titolare o del responsabile del trattamento
  • Verificare l’attuazione e l’applicazione del Regolamento europeo
  • Garantire la conservazione della documentazione relativa ai trattamenti
  • Controllare che le violazioni dei dati personali siano documentate, notificate e comunicate
  • Controllare che il titolare o il responsabile del trattamento effettui la valutazione d’impatto
  • Fungere da punto di raccordo per il Garante

Nuovo GDPR: quali sono le sanzioni?

Tra le domande più frequenti quando si parla di GDPR. Facciamo allora chiarezza. Va premesso che si conoscono le soglie massime di sanzione, mentre l’ammontare delle sanzioni minime verrà stabilito dai singoli legislatori nazionali (questione attualmente in corso di valutazione).

Quello che sappiamo è che il limite massimo sarà stabilito dall’autorità nazionale in base ai seguenti criteri:

  • Se l’autore della sanzione è un’azienda singola (non parte di gruppi), la sanzione massima arriva a 20 milioni di euro.
  • Se l’autore della sanzione fa parte di un gruppo, la sanzione viene calcolata in base percentuale sul fatturato dell’intero gruppo fino al 4% del fatturato mondiale.

Per concludere, il GDPR è una matassa intricata solo in apparenza. Per farsi trovare pronti alla deadline del 25 maggio servono conoscenze e applicazione, non solo per essere compliance, ma anche per approfittare di un testo di legge che costituisce un fondamentale strumento di competizione, in un mondo – il nostro – in cui i dati rappresentano la materia prima in grado di alimentare la crescita e lo sviluppo dell’impresa.

Se vuoi approfondire ulteriormente l’argomento puoi leggere il post GDPR: 22 domande & risposte con l’Avv. Maglio.

Ti è chiaro come funzionerà il nuovo Regolamento europeo sulla protezione dei dati?

Se usi l'Email marketing e hai ancora qualche dubbio, scrivilo nei commenti.

Condividi
Author Photo
MailUp è la soluzione più scelta in Italia per il Marketing via Email e SMS. Offre tutti gli strumenti e la consulenza per creare, inviare, automatizzare e monitorare campagne Email e SMS evolute ed efficaci.