Gestione Impresa

GDPR e Privacy in Azienda: ecco cosa fare

GDPR_privacy_aziende

GDPR compliant, normative GDPR, Privacy aziendale….sono alcuni “termini legali” che sicuramente hai già sentito. Sono molto importanti perché tutelano i dati personali degli utenti trattati dalla tua azienda e ti proteggono da multe e rischi. 

Sapevi che…a livello europeo sono tematiche così rilevanti da dedicarne una giornata mondiale? 

Continua a leggere…

In questo articolo troverai una spiegazione chiara di questi concetti e tutti gli interventi “a portata di azienda” per adeguare e rendere sicura e "a norma" la tua attività. 

📣Andiamo con ordine!

 

Cosa significa GDPR? 

Si tratta dell’acronimo di General Data Protection Regulation, ovvero il regolamento europeo in materia di protezione dei dati personali entrato in vigore nel 2016 con efficacia da maggio 2018. Introduce regole in materia di informativa e consenso del trattamento dei dati personali, ne definisce i limiti, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali.

👉🏼Qui trovi le indicazioni specifiche fornite dall’Unione Europea.

 

Cosa significa per la tua impresa? 

In una sezione del sito della tua attività, devi inserire l’informativa relativa alla gestione dei dati personali degli utenti, nel rispetto degli adempimenti previsti. La normativa prevede, a titolo di esempio, la gestione dei cookie, dei consensi, la predisposizione di un registro dei trattamenti, concetti di privacy by design e privacy by default, la nomina a responsabile e molti altri. 

👉🏼Un esempio pratico? Ecco l'informativa di Credimi

 

Cos’è un’informativa privacy aziendale?

È un documento necessario, da pubblicare sul tuo sito. Ti serve per informare gli utenti ed i visitatori circa le modalità di gestione e di trattamento dei loro dati personali. Con questo termine non si intendono solo il nome, il cognome o l’indirizzo mail, ma anche i cookie utilizzati per il tracciamento del comportamento dell'utente sul sito internet e l’insieme delle informazioni che rendono identificabile direttamente o indirettamente un individuo persona fisica

L’informativa privacy aziendale, come normato dall’articolo 13 del Codice della Privacy (D.lgs. 30 giugno 2003, n. 196), deve riportare almeno le seguenti informazioni:

  • il titolare del trattamento e, se nominato, il DPO (Data Protection Officer);
  • le finalità (es. marketing, profilazione, legittimo interesse del titolare del Trattamento) e la relativa base giuridica (es. consenso, obbligo di legge);
  • la tipologia di dati trattati (es. nome, cognome, e-mail) e la loro eventuale comunicazione o diffusione a soggetti terzi;
  • le modalità di gestione dei dati, le conseguenze del rifiuto e il periodo di conservazione dei dati. In caso di e-commerce è bene precisare che il mancato conferimento dei dati comporta l’impossibilità di fornire il servizio;
  • i diritti dell’interessato: si tratta di quei diritti che l’utente può esercitare nei confronti del titolare del trattamento (l’azienda). Esempio: il diritto di richiedere al titolare del trattamento informazioni che riguardano i propri dati personali, il diritto di rettifica dei dati personali, il diritto all’oblio e per ultimo il diritto di poter revocare in qualunque momento il proprio consenso precedentemente prestato.

Cos’è una cookie policy?

I “cookie” di cui senti spesso parlare non sono altro che file di testo che un sito internet visitato dall’utente invia al suo dispositivo (computer, smartphone o tablet) per essere poi ritrasmessi al sito in occasione di una visita successiva.

I cookie servono a far funzionare meglio il tuo sito. Consentono, non solo di fare il login da parte degli utenti già registrati, ma anche per:

  • “tracciare” i visitatori durante la navigazione in internet e proporre loro banner pubblicitari;
  • avere statistiche precise sulle visite al sito;
  • verificare l’andamento delle campagne pubblicitarie. 

È importante che la tua cookie policy contenga quali tipologie usi, per quali fini e per quanto tempo.

In base ai decreti legislativi n. 69/2012 e n. 70/2012 e successivamente con il Provvedimento del Garante privacy dell’8 maggio 2014 (Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l’uso dei cookie) hai l’obbligo di inserire, all’apertura del sito web della tua impresa, un banner con il quale si chiede all’utente il consenso del trattamento dei dati per poter proseguire con la navigazione e che lo informa sui cookie utilizzati. Inoltre, è necessario dare all'utente la possibilità di scegliere quali autorizzare.

Ad inizio 2022, il “Garante Privacy”, l’autorità italiana per la protezione dei dati, ha disposto degli adeguamenti sull’utilizzo dei cookie e di altri strumenti di tracciamento. Le nuove linee guida sono entrate in vigore dal 10 gennaio 2022. 

In particolare, il Garante specifica che il banner che compare su un sito web al primo accesso deve contenere

  • un breve testo in cui si dichiara che il sito utilizza cookie tecnici e eventuali cookie di profilazione o altri strumenti di tracciamento;
  • un link all’informativa completa con illustrato l’utilizzo dei cookie. È necessario specificare il destinatario dei dati personali e i tempi di conservazione del consenso;
  • un’indicazione chiara e comprensibile che l’utente, prestando il proprio consenso e continuando la navigazione, darà anche consenso alla profilazione;
  • un’area in cui l’utente può selezionare i cookie da installare (es: una persona potrebbe selezionare l’attivazione dei cookie tecnici, che garantiscono una buona navigazione, ma negare quelli di terze parti che vengono invece utilizzati per la profilazione);
  • la possibilità di accettare direttamente tutti i cookie o altri strumenti di tracciamento. ·       

 

Attività di marketing e invio newsletter. Cosa fare?

⚠️ATTENZIONE! Per poter svolgere un’attività di marketing sugli utenti del tuo sito è necessario specificarlo chiaramente tra le finalità dell’informativa privacy aziendale e, soprattutto, bisogna ottenere il consenso espresso da parte dell’utente (è vietato  pre-flaggare il check box del consenso).

Attività come l’invio di newsletter, sono strumenti di marketing potenti perché consentono, in maniera rapida ed efficace, di costruire e/o consolidare le relazioni con i propri clienti. Ricordati, quindi, di specificare queste attività e di controllare di avere il consenso prima di avviarle

Infine, è molto importante sapere che all’utente deve essere sempre garantito il diritto e la possibilità di disiscriversi dal servizio di newsletter. Il link “unsubscribe” deve essere ben visibile e presente in ogni messaggio inviato.

 

Modulo di acquisto e termini e condizioni di pagamento.

C’è un altro elemento che merita la tua attenzione se hai un ecommerce: il modulo di acquisto (che deve rispettare il c.d. “principio di minimizzazione” cioè raccogliere i soli dati personali pertinenti e necessari per le finalità perseguite) con la richiesta dei consensi relativi sia all’accettazione dei termini e condizioni di vendita sia al trattamento dei dati personali (magari prevedendo uno specifico link che rinvia alla policy privacy in azienda).

Per quanto riguarda, invece, i termini e le condizioni di acquisto è necessario che le stesse risultino aggiornate e in linea con le prescrizioni previste dal GDPR. Inoltre, è necessario specificare le modalità attraverso le quali avviene il pagamento on line, indicare i vari operatori coinvolti nella transazione (es. PayPal) e elencare la tipologia di dati personali che verranno comunicati ai gestori di pagamento.

 

Cosa aspettarsi? 

Il 2022 ha in serbo ulteriori importanti interventi in merito alla privacy. Tra le questioni aperte troviamo: la necessità di regolamentare quello che succederà fuori dall’UE, gli impatti degli strumenti di intelligenza artificiale e tutto quello che riguarda il "metaverso". 

Non abbiamo ancora nessuna informazione sicura di quello che succederà tra questo e il prossimo anno, ma ce ne sono alcuni confermati, tra cui interventi in ambito GDPR dal punto di vista tecnico, con l’abbattimento dei cookie di terze parti. Gli utenti, inoltre, potranno avere un controllo sempre maggiore dell’utilizzo dei dati personali, sia nella gestione delle preferenze e dei consensi, sia nel loro utilizzo da parte dei sistemi personali (come smartphone o tablet). 

Negli scenari futuri, l’attenzione non sarà più tanto focalizzata sulla questione del consenso, quanto su quella della modalità di utilizzo dei dati personali e sulla necessità di proteggere qualsiasi violazione all'utilizzo. 

 

Come per la sicurezza informatica, anche il tema dei continui aggiornamenti e adeguamenti sul tema privacy necessita una sempre maggiore attenzione da parte delle imprese. Ecco perché è fondamentale essere preparati e programmare investimenti in questi ambiti. Da sempre Credimi ha la missione di rendere l’accesso al credito semplice e veloce per sostenere le esigenze delle imprese italiane.  

SCOPRI DI PIÙ

 

Altre notizie simili
digitalizzazione_azienda

Perché rendere la tua azienda digitale?

Ecco i numeri che dimostrano come il digitale non sia più una scelta, ma una necessità per le imprese che vogliono restare competitive e crescere.
cybersecurity_azienda

Perché investire nella cybersecurity della propria azienda

L’emergenza è stata un’opportunità per investire in nuove tecnologie e per migliorare i livelli di sicurezza informatica della propria azienda.
marketplace_2021

Come funzionano i marketplace nel 2021

Intervista a Webidoo per parlare di 'marketplace'. Cosa sono, come funzionano, e perché sono un'ottima opportunità per far crescere la propria azienda.