Documentare la conformità al Regolamento generale sulla protezione dei dati (GDPR), oggi è una delle parti più complesse ed intense di strategie di marketing ottimali. Dal momento che non sono presenti molte informazioni online riguardanti il regolamento, l’articolo può risultare fondamentale per coloro che abbiano intenzione di intraprendere un percorso di Digital Marketing finalizzato all’acquisto di dati per la propria azienda o semplicemente abbia voglia di saperne di più.
A cosa serve la documentazione
Il GDPR, è uno strumento di tutela dei dati degli utenti che si trovano online. Esso, “richiede che le aziende dispongano di una base giuridica per il trattamento dei dati. Una di queste è il consenso, che secondo il GDPR deve essere libero, informato, specifico e revocabile. Ciò signfica che il meccanismo di acquisizione del consenso deve essere inequivocabile e comportare una chiara azione positiva”. Il consenso non è obbligatorio in caso di attività di trattamento relative a servizi essenziali o all’adempimento di obblighi di legge, ma va richiesto quando si sta offrendo un servizio non essenziale, un esempio potrebbero essere l’invio di mail a scopo di marketing e newsletter.
A chi si rivolge il GDPR
Il regolamento UE 2016/679 si rivolge a tutti i soggetti, denominati “organizzazioni“, che entrano in contatto con dati personali da parte degli utenti. Sono inclusi quindi tutte le amministrazioni pubbliche, le società di capitali e di persone, le associazioni e i liberi professionisti. Non è necessario che questi soggetti abbiano la loro sede nell’UE ma che queste trattino dati di persone residenti all’interno dell’UE. La normativa viene applicata anche a tutti i partner e soci delle varie organizzazioni che trattano i dati personali e che quindi vengono a contatto con i dati degli utenti. Inoltre, la normativa viene applicata per tutte quelle aziende che intendono seguire strategie di marketing direzionate al reclutamento di dati sensibili.
Distinzione dati nel GDPR
Nel GDPR viene ben spiegata la definizione di dato personale e sensibile e viene fatta una distinzione netta fra i differenti dati regolamentati. Vengono citati, oltre al numero di telefono o indirizzo di casa, anche identificativi online come cookie, indirizzi IP, geolocalizzazione ed email.
Il Regolamento, infatti, traccia una nuova frontiera rispetto al concetto di dato, individuando quattro categorie differenti:
- Dati personali, ossia qualsiasi informazione che possa identificare la persona, inlcuso nome, cognome, caratteristiche fisiche e anche identificativi online;
- Dati generici, ossia dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
- Dati biometrici, ossia qualsiasi caratteristica fisica identificativa della persona, come l’impronta digitale, l’iride o il face id;
- Dati sulla salute, ossia qualsiasi dato relativo alla salute, tanto fisica quanto mentale, presente passato o futuro.
Trattamento dati personali
Per trattamento dei dati personali si intende la maniera in cui i dati che fornisce l’utente verranno trattati dall’organizzazione che li riceve. Questo è il punto focale di tutto il GPDR. Il Regolamento aggiunge il principio di responsabilizzazione e doverre di rendicontazione del titolare del trattamento, il quale è obbligato a mettere in atto “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare che il trattamento sia effettuato in maniera conforme al regolamento“.
Sanzioni e Normativa
La normativa introdotta anche in Italia tramite il D.Lgs 10 agosto 2018,n.101, dispone di adeguamenti riguardo le precedenti normative nazionali e prevede anche delle sanzioni. Infatti un’altra novità del GDPR, sono appunto le sanzioni, le quali prevedono il pagamento di pesanti somme di denaro, a danno dei titolari del trattamento. VI sono due tipi di violazioni sanzionate dall’art 83, le quali comportanto due diversi trattamenti. Per quanto riguarda la prima, la meno pesante, vi sono sanzioni che possono arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore ai 10 milioni. Per gli abusi più gravi, oltre ad una denuncia penale, le sanzioni arrivano fino al 4% del fatturato mondiale annuo dell’esercizio precedente o 10 o 20 milioni di euro.