Normativa GDPR: cosa fare e come prepararsi

L’appuntamento è sempre più vicino: il Regolamento Generale sulla Protezione dei Dati entrerà in vigore il 25 maggio in tutta Europa.

Motivo per cui è opportuno sapere a che cosa si va incontro e agire di conseguenza. Eventuali violazioni nei confronti della privacy e della sicurezza dei dati da parte di aziende, attività di vendita online, liberi professionisti e altre realtà verranno infatti punite con sanzioni che in taluni casi possono diventare anche pesanti, che potranno arrivare, nei casi più gravi, alla cifra astronomica di 20 milioni di euro o al 4% del fatturato di un intero anno.

Certo, bisogna commettere pesanti reati per essere penalizzati in questo modo, ma anche senza guardare a situazioni estreme, finire nelle mire del Garante è un’eventualità tutt’altro che remota. Noi di Innovando abbiamo seguito fin dall’inizio l’evoluzione del GDPR e siamo giunti alla conclusione che mettersi in regola sia un dovere nei confronti del pubblico e dei potenziali clienti, ma anche un investimento di lungo termino per evitare brutte sorprese.

Vediamo dunque in questo editoriale di fare luce sul GDPR e definire una strategia di azione valida a livello comunitario. Partiamo come sempre dalle basi: GDPR è l’acronimo di General Data Protection Regulation e sta a indicare il nuovo regolamento dell’Unione Europea (nella fattispecie il n°2016/679), voluto per aggiornare uno scenario giudicato frammentario, obsoleto e in molti casi ambiguo. Il GDPR opera come una sorta di spugna, sostituendo tutte le normative presenti nei singoli stati, Svizzera compresa. Ma perché anche la Svizzera deve rispettare le condizioni poste dal GDPR? La risposta a questa domanda ci permette di comprendere con maggiore precisione la portata di questo regolamento, dal momento che a essere interessati sono tutti coloro i quali raccolgono, gestiscono, trasferiscono o analizzano tramite software i dati di cittadini UE. Ed è qui il punto centrale: basta che il vostro sito abbia integrato un sistema come Google Analytics, Pushcrew, Pixel Facebook e così via, ed ecco che una visita di un utente dalla Germania o dall’Italia rischia di trasformarsi in una violazione inconsapevole della legge!

DALLA COOKIE POLICY E PRIVACY POLICY AL CONCETTO DI COMPLIANCE

Oggi come oggi la normativa prevede che ogni sito web, ecommerce, landing page, blog, portale o magazine riporti a chiare lettere la cookie policy e la privacy policy. Questi due strumenti, a partire dal 25 maggio, verranno “inglobati” dalla nuova GDPR, per cui di fatto dovranno essere arricchiti e rimodulati in ottemperanza a quanto previsto dal regolamento. La direzione verso la quale dovranno muoversi piccole, medie e soprattutto grandi aziende porta il nome di Compliance, un concetto già attuale che tuttavia non aveva mai coinvolto la questione privacy in misura così approfondita. D’ora in avanti, al contrario, la compliance (o conformità) dovrà entrare nell’agenda delle imprese, in particolare con l’introduzione del Data Protection Officer (o DPO). Si tratta in sostanza del nuovo responsabile per la protezione dei dati, incaricato di monitorare e salvaguardare il patrimonio di dati collezionati nel corso degli anni dall’azienda attraverso email, vendite online, profilazione, concorsi, ecc… Una figura tuttora in fase di definizione, che risulterà determinante per proteggere i dati con la massima sicurezza e professionalità

COME E QUANDO MUOVERSI PER ESSERE IN REGOLA CON IL GDPR

Senza dubbio il carico amministrativo imposto dal nuovo regolamento è pesante, in modo speciale per le aziende che non hanno mai giocato d’anticipo e si trovano ora a fronteggiare tutto d’un tratto la mole di lavoro e aggiornamenti richiesta dall’Unione Europea. In effetti le voci critiche non si sono fatte mancare, tanto più che la complessità del GDPR crea alcune zone d’ombra che rimangono tali anche al termina di una più attenta analisi. Bisogna quindi temere il peggio fin da subito? Non proprio: in Francia e con ogni probabilità in altri paesi d’Europa si parla da qualche tempo di un grace period di 6 mesi o più durante il quale il Garante non prenderà provvedimenti se non per violazioni che già sussistevano prima dell’entrata in vigore del regolamento. D’altro canto, è importante non rimandare più del dovuto e tutelarsi entro e non oltre il 24 maggio 2018. Come?

La soluzione migliore è rivolgersi a un avvocato competente, meglio se già coinvolto su altri progetti. Uno specialista qualificato che conosce in anticipo le criticità aziendali sarà in grado di seguire l’impresa nel processo di adeguamento al GDPR, personalizzando la strategia di gestione, raccolta e utilizzo dei dati sulla base delle operazioni svolte dall’insieme di plug in, software, piattaforme e sistemi informatici del caso. In alternativa, è possibile appoggiarsi a servizi online di comprovata affidabilità, sviluppati per supportare il cliente nell’adempimento degli obblighi stabiliti. Tra i più noti fra questi servizi c’è Iubenda, ormai da qualche anno leader nel settore dei generatori di privacy e cookie policy, la cui offerta di prodotti include ora una suite completa per garantire la conformità (o compliance appunto) al GDPR. Non mancano servizi meno noti ma altrettanto validi come Nibirumail, capaci di assicurare un’esperienza d’uso all’altezza delle aspettative.

E PER QUANTO RIGUARDA I NOSTRI CLIENTI? DON’T PANIC!

Arrivati a questo punto, i clienti che ci leggono e le persone che, per un motivo o per l’altro, potrebbero avere bisogno di noi, si staranno chiedendo come abbiamo intenzione di muoverci per non mancare all’appuntamento con il GDPR. Sebbene Innovando non sia uno studio legale ma una web agency esperta in comunicazione, abbiamo noi per primi tutto l’interessa ad assistere il cliente illustrando, attraverso una consulenza dedicata, le opzioni da considerare per non correre rischi. Chiunque sia già seguito dalla nostra agenzia potrà ricevere informazioni e aiuto tecnico e decidere di conseguenza tempistiche, modalità e budget da investire. Siamo a disposizione per raccogliere feedback, richieste e ogni altro genere di contatto e rispondere alle domande con la professionalità che da sempre ci contraddistingue.