GDPR: cosa fare adesso che è in vigore in due casi concreti
31 Maggio 2018
⏱ Tempo di lettura: 2 min e 44 sec
Il Regolamento europeo 2016/679, meglio noto con la sigla inglese GDPR (General Data Protection Regulation), è finalmente entrato in vigore. Se come noi, lavorate in agenzia, o se siete dei freelance, sappiamo cosa avete passato, tra aggiornamenti della privacy policy dei siti e newsletter per confermare il consenso all’iscrizione dei contatti.
Ora che voi e i vostri clienti siete “GDPR compliant”, la protezione dei dati personali deve essere uno degli obiettivi di ogni attività o progetto che ne comporta il trattamento. Se ci seguirete nella lettura, vi proporremo due casi concreti e vi spiegheremo come comportarvi per essere a norma.
Per iniziare, vi ricordiamo velocemente chi possono essere le figure coinvolte, ovvero:
Titolare del trattamento: è «l’organizzazione che ha bisogno del processo stesso e quindi lo ha ideato, promosso e debitamente finanziato».1 In altre parole, è il vostro cliente, che vi dà l’incarico, per esempio, di gestire una campagna di lead generation su Facebook.
Responsabile del trattamento: «la persona o l’organizzazione che determina le finalità e i mezzi del trattamento, cioè che lo mette in atto o istruisce in modo preciso chi lo mette in atto (il cosiddetto sub-fornitore) ».1 Siamo noi di Pagus Media e siete voi.
Ora che abbiamo chiaro chi sono gli attori, passiamo a vedere due casi quotidiani in cui vi state occupando di trattamento dei dati. Una premessa: con “trattamento” si intende anche la semplice detenzione. Ecco perché vi abbiamo proposto questi due casi.
Candidature
Sembrerà banale ricordarlo ma i curricula che ricevete devono contenere la formula di autorizzazione al trattamento dei dati personali (“D. Lgs 196/2003 e successive modifiche”, così da includere anche il GDPR). Qualora mancasse avete due alternative:
-
chiedere il consenso all’interessato
-
eliminare la mail, se il profilo non è di vostro interesse.
In ogni caso, il GDPR prescrive di tenere i dati solo per il tempo necessario all’espletamento dell’incarico. Come fare per non dimenticarsene? Il nostro consiglio è quello di eliminare la mail con la candidatura, dopo aver stampato il curriculum e la lettera di presentazione. Archiviate tutto in una cartellina, posta in un luogo sicuro e accessibile solo a chi si occupa della selezione del personale. Almeno una volta all’anno, eliminate i curricula vecchi, che ormai sono certamente inutili.
Campagna di lead generation
Quando fate una campagna di lead generation per un vostro cliente, il modo più sicuro per voi sarebbe quello di non aver accesso ai contatti che raccogliete, per esempio, facendoli atterrare direttamente nel CRM del vostro cliente.
Sappiamo bene che spesso non è possibile: per esempio in una campagna lead su Facebook, potete sì connettere un CRM (per esempio Mailchimp) e farvi confluire direttamente i dati ma i contatti sono comunque scaricabili dalla Fan Page, ovvero ne avete accesso, in quanto amministratori della Pagina. E se avete accesso ai dati che raccogliete, diventate a tutti gli effetti Responsabili del trattamento, perciò è vostro compito dimostrare di essere in grado di svolgere l’attività in modo conforme.
Se vi occupate del download dei lead da inviare periodicamente al cliente, il nostro consiglio è quello di dimostrare che il trattamento avviene in modo conforme fino alla consegna dei dati nelle sue mani. Da qual momento in poi, ricordategli sempre di farne un uso conforme al consenso rilasciato dagli utenti.
Per concludere
Come ricorda Alberto Pattono nel suo libro: «Il GDPR è un processo, non un atto».2 Le aziende e i professionisti italiani sono abituati ad adempire a una norma in un’unica soluzione. Il GDPR invece è un flusso, e come tale richiede costanti verifiche sulle modifiche, a partire dalla procedura di raccolta e trattamento dei dati, ma anche nelle sue finalità.
1 Alberto Pattono, GDPR. Lo stretto indispensabile per le PMI: Cosa devono davvero fare le piccole imprese per adeguarsi al Regolamento europeo per la protezione dei dati personali (RGPD 2016/679), 2018, pag. 6.
2 A. Pattono, GDPR. Lo stretto indispensabile per le PMI, pag. 4.