Oggi entra in vigore il GDPR. Com’è messa la vostra informativa? Qui una cheklist per provvedere all’ultimo minuto
L’ora X è arrivata. Finalmente, o purtroppo, il GDPR è qui.
Uno dei motivi per cui tutti sono entrati in panico negli ultimi mesi, anche se forse dovremmo dire settimane, è che il GDPR va a toccare chiunque, dalla multinazionale al libero professionista, tutto nello stesso testo. Non è immediato dunque capire quali parti del regolamento ci toccano.
Una cosa è certa, uno degli elementi che devono essere a norma, dal libero professionista al blogger alla grande azienda è l’informativa sul trattamento dei dati.
Anche qui però non bisogna andare nel panico. Il linguaggio semplice e chiaro prescritto dal GDPR già ci aiuta nel suggerirci come redigere, o comunque aggiustare la nostra vecchia informativa.
La cheklist dell’informativa
Per questo vi proponiamo una checklist delle domanda da farsi, e quindi delle risposte da dare agli utenti, fornitori e clienti, quando redigete l’informativa:
1. Chi è il titolare del trattamento, ovvero colui che decide come vengono trattati i dati? Dobbiamo indicare il nome dell’azienda (o del professionista), p.iva, sede, etc.
2. Dove si può contattare? In questo caso suggerisco di creare una mail del tipo [email protected].
3. C’è un rappresentante dell’azienda in Italia? Chi è? Dove si può contattare?
4. C’è un DPO, un responsabile della protezione dei dati? Qual è il suo contatto?
5. Come uso i dati che sto chiedendo?
Per inviare una newsletter? Per inviare pubblicità? Con che cadenza la invierò? Cederò questi dati a terzi? Vi voglio contattare via mail, sms, telefono o tutte queste opzioni insieme.
6. Qual è la base giuridica in base alla quale chiedo questi dati?
Il consenso? O forse sto chiedendo dei dati per mandare un preventivo? O forse perché devo rispettare un obbligo imposto dalla legge? Oppure ho un legittimo interesse? In questo caso devo comunicare qual è il fondamento della mia richiesta.
7. Mi avvalgo di fornitori cui trasmetto i dati che tratto? Posso identificarli? Sono affidabili? Trattano in maniera sicura i dati che trasmetto loro? Cosa è previsto nel loro contratto di fornitura?
8. Questi fornitori dove hanno sede? Fuori dall’UE?
La novità è che devo verificare in questo caso che lo Stato dove hanno sede questi fornitori di servizi (molto spesso parliamo di software) abbia un accordo con la Commissione Europea che garantisca una protezione di pari livello. Se non ce l’hanno, la garanzia deve essere prevista nelle condizioni contrattuali.
Posso ottenere facilmente i dati che ho trasferito al fornitore?
9. Per quanto tempo conserverò questi dati? Lo posso prevedere in anticipo? Se non lo posso prevedere, quali sono i criteri che adopero per stabilirlo?
10. Ho informato l’ “interessato” di tutti i suoi diritti? Gli ho detto che può cancellarsi dalla newsletter? Che può chiedermi quali dati ho su di lui? Che può scaricare i dati che ho su di lui (se possibile tecnicamente)?
11. Ho informato l’ “interessato” che può revocare il consenso che mi ha dato senza che questo abbia effetto su quanto effettuato fino a quel momento?
12. Ho indicato che può adire il Garante, mettendo almeno un link al suo sito, se pensa che io abbia leso i suoi diritti?
13. Ho informato l’ “interessato” che in base ai dati che mi ha fornito verranno prese delle decisioni automatiche nei suoi confronti? Gli ho detto qual è la logica sottesa e le conseguenze?
Gli ho detto che può chiedere che la decisione può essere rivista da un intervento umano, e che può contestare la decisione ed esprimere la propria opinione?
14. Se voglio usare i dati in mio possesso per uno scopo ulteriore, non previsto quando li ho ottenuti, ho informato l’ “interessato” di questo nuovo scopo? Gli ho ricordato che può opporsi?
15. Se ho ottenuto dati da terzi, ho informato l’interessato della provenienza di quei dati?
Ad esempio devo comunicare che la mail che sto inviando proviene dal database di email marketing cui ho accesso (sperando che la persona in questione abbia dato il consenso alla cessione dei dati a terzi per finalità di marketing).
Qualche ultimo appunto
Potrebbe volerci un po’ di tempo per dare le risposte ma una volta fatto sarete più tranquilli e dovrete solo aggiornare l’informativa se qualcosa cambierà. In quel caso non scordate di avvisare i vostri clienti.
Un’altra cosa importate è che non è detto che basti una sola informativa per tutto. Potrebbero volerci diverse informative, tarate ognuna sul tipo e numero di dati che chiedete e sull’uso che ne volete fare. Banalmente ci potrebbe essere un’informativa per il vostro sito e una per la newsletter.
Comunque oggi non finirà il mondo e se siete bravi a comunicare la vostra professionalità e attenzione verso i clienti, riuscirete a fidelizzarli ancora di più.
