GDPR nell'e-mail marketing

GDPR ed E-Mail Marketing… Noi siamo pronti, e tu?

Il 25 maggio 2018 diventerà applicabile ed effettivo il tanto atteso – e in qualche caso temuto – GDPR, acronimo di General Data Protection Regulation. Altro non è che la nuova normativa privacy a livello europeo che si applica non solo a tutti gli stati membri dell’Ue, ma pure a tutte quelle imprese che, anche transitoriamente, trattino i dati personali di cittadini europei. In Italia il GDPR 2018 (precisiamo l’anno perché in realtà l’emanazione è del 2016) andrà a sostituire in toto il d. lgs. 196/2003.

Per capire un po’ meglio di cosa parliamo quando parliamo di privacy nel GDPR, abbiamo deciso di affrontare l’argomento con domande e risposte per cercare di fugare – per il momento a livello generale – i dubbi più diffusi.

Quando entra in vigore il GDPR?

Il nuovo regolamento europeo in materia di privacy è entrato in vigore  il 25 maggio 2016 dopo la pubblicazione nella Gazzetta Ufficiale europea, ma come anticipato inizierà ad avere efficacia dal 25 maggio 2018.

Come cambia l’informativa privacy con l’avvento del GDPR?

 

L’informativa privacy dal 25 maggio 2018 dovrà essere più breve, semplice e chiara, in poche parole comprensibile a tutti, anche ai minori. Vengono inoltre introdotti nuovi elementi, come per esempio il tempo di conservazione dei dati e la loro origine. Insomma, l’informativa diventa un vero e proprio strumento di informazione – mentre prima era spesso trattata come un mero, noioso adempimento burocratico – che potrà essere corredato di icone. Ultima nota: non dovremo inserire nell’informativa privacy conforme al GDPR 2018 alcun riferimento normativo, limitiamoci invece a spiegare bene la questione come se stessimo parlando a un bambino.

 

Come dovrò comportarmi nella raccolta dei dati?

In linee generali, visto che parliamo di e-mail marketing, possiamo affermare che il sistema double opt-in ci offrirà tutte le garanzie del caso anche dopo il 25 maggio 2018. In generale, il soggetto di cui tratteremo i dati dev’esserne informato, deve capire le finalità per cui li tratteremo e le attività che metteremo in atto a tale fine.

Si parla tanto di “Assessment”, a cosa si riferisce?

Campagne e-mail marketing dopo GDPR

 

Tra le tante novità introdotte dal GDPR, figura anche il DPIA (Data Protection Impact Assessment), in italiano Documento Programmatico sulla Sicurezza (DPS). Si tratta di un documento in cui, alla stregua di ciò che già si fa per garantire la sicurezza e la salute sui luoghi di lavoro, vengono presi in considerazione tutti i rischi che il trattamento dei dati personali potrebbe generare e parallelamente si stabiliscono le procedure per minimizzare questi rischi e per intervenire qualora si vverino.

 

Il GDPR annulla la figura del Garante?

No, il GDPR non abolisce la figura del Garante, ma elimina l’obbligo di notifica allo stesso in caso di trattamenti specifici dei dati personali. A onor di cronaca va precisato che la necessità di notifica non scompare del tutto: permane per le società con più di 250 dipendenti che saranno tenute ad avere il cosiddetto registro del trattamento. Anche le imprese che non raggiungono la soglia dei 250 dipendenti potrebbero essere tenute a curare il registro del trattamento ma solo in caso in cui “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o i dati personali relativi a condanne penali o reati”.

Tutto chiaro fin qui? Questa è solo una prima infarinatura relativa al GDPR cui seguiranno, prima della sua entrata in vigore, altri articoli su questo blog affinché la gestione della privacy ai tempi del General Data Protection Regulation non sia un problema per nessuno!