GDPR: cos’è e cosa puoi fare

Cos’è il GDPR?

Se sei arrivato fin qui probabilmente lo sai già, ma ripetersi non fa mai male: in estrema sintesi il GDPR – General Data Protection Regulation – è il nuovo regolamento dell’Unione Europea che regola – appunto – il modo in cui si raccolgono, gestiscono e proteggono i dati personali online.

Il GDPR mi riguarda?

Sì: se fai marketing online per promuovere la tua attività (o quella dei tuoi clienti) in un modo o nell’altro il GDPR ti interessa di sicuro. Il GDPR è un documento di 88 pagine: Enrica l’ha letto e ha evidenziato le parti che riguardano il nostro lavoro, se vuoi leggere questa versione evidenziata la trovi qui.

Occhio che il nostro non è un parere legale: se hai qualsiasi dubbio consulta il tuo avvocato per capire cosa fare esattamente.

Dammi tre parole: policy, consenso, cancellare

Il GDPR ha decine di applicazioni e declinazioni possibili a seconda dei casi, ma secondo noi questi sono le tre domande a cui devi sempre rispondere sì per rispettare le richieste del GDPR:

• La privacy policy è completa e comprensibile? La privacy policy è il posto dove dici quali dati raccogli e come li usi. Il GDPR impone che la privacy policy sia prima di tutto completa: devi dire esattamente quali dati raccogli, dove li conservi, come li usi, chi ha accesso ai dati, come cancellarli. La privacy policy deve essere anche comprensibile: chiunque deve essere in grado di leggerla e di capirla, non solo un avvocato.
• Ho ottenuto il consenso esplicito a usare i dati? Chi ti dà i suoi dati deve farlo in modo esplicito e intenzionale e deve accettare la privacy policy in modo altrettanto esplicito e intenzionale prima di farlo. Quindi niente spunte pre compilate o indirizzi email comprati o aggiunti a una mailing list senza autorizzazione.
• Negare il consenso e cancellare i dati è facile? Chi vuole negare il consenso deve poterlo fare tanto semplicemente quanto è semplice dare il consenso e i dati già forniti devono essere eliminati.

Ogni volta che hai un dubbio su qualcosa che riguarda il GDPR rispondi a queste tre domande. Se una delle risposte è no allora devi intervenire. Se non sai come intervenire senti un avvocato.

Devo mandare una mail a tutti gli iscritti alla mia mailing list?

Non è detto. Se chi si è iscritto alla tua lista fino a oggi l’ha fatto accettando una privacy policy che è già conforme al GDPR, e l’ha fatto dandoti il consenso esplicito a ricevere le tue email – un consenso che tu puoi provare di avere avuto – non devi riscrivere a tutti. Se invece la tua privacy policy era incompleta oppure hai raccolto gli indirizzi senza chiedere prima il loro consenso è arrivato il momento di farlo.

Ad esempio. Enrica ha un blog, ha sempre raccolto gli indirizzi per mandare una newsletter e lo ha fatto ottenendo prima il consenso esplicito. La sua privacy policy è chiara, completa e esauriente – ehm, insomma: lo sarà entro il 25 maggio – e l’unico uso che fa degli indirizzi che raccoglie è mandare la sua newsletter. È a posto dal punto di vista del GDPR, quindi non deve mandare una mail a tutti gli iscritti per ottenere di nuovo il consenso.

Anche Guido ha una newsletter, ma oltre a usare gli indirizzi per mandare delle newsletter, li usa anche per fare pubblicità mirate su Facebook. Se prima per farlo non c’era l’obbligo di ottenere il consenso dal 25 maggio c’è: quindi Guido deve mandare una mail a tutti gli iscritti per chiedere il consenso esplicito per continuare a fare pubblicità mirate su Facebook.

Ma se ho solo un form di contatto?

Valgono le stesse regole. Nella privacy policy devi parlarne e dire come tratti questi dati. Devi anche linkare la privacy policy nel form di contatto e chiedere l’accettazione esplicita. Oppure puoi pensare di disfarti del form di contatto e scrivere semplicemente il tuo indirizzo email.

Devo riscrivere la privacy policy?

Sì. È molto probabile che tu debba riscriverla, anche solo per andare incontro alle esigenze di chiarezza e completezza che il GDPR impone. Come dicevamo sopra: la tua privacy policy deve essere comprensibile a tutti, non solo agli avvocati.

Deve essere molto dettagliata, dire con chiarezza quali dati raccogli, dove li conservi, per quanto li conservi, per cosa li usi, con chi li condividi, chi ha accesso ai dati, e come fare a negare il consenso e cancellarli.

E Google Analytics? E i social?

Quando inizi a farci caso ti accorgi che ci sono un sacco di modi in cui raccogli dati online. Ad esempio se hai un sito molto probabilmente usi Google Analytics per i dati di traffico, il pixel di Facebook per il retargeting, i pulsanti e i widget per condividere sui social e mostrare i tuoi profili.

Tutti questi strumenti usano i cookies per funzionare, quindi il nostro consiglio è quello di usare lo stesso strumento che stai usando per la cookie policy per dare la possibilità a chi naviga sul tuo sito di rifiutare i cookies di terze parti. E già che ci sei, sfrutta questa occasione per chiederti se hai davvero bisogno di tutta questa roba o se puoi rinunciare a qualcosa.

Non ho un sito ma i miei clienti ce l’hanno, cosa devo fare?

Senti un avvocato. Se hai accesso ai dati che i tuoi clienti raccolgono la cosa migliore che puoi fare è regolare la vostra relazione con un contratto che descrive come accedi a questi dati e come li usi.