Articoli

Kloudymail all’Open Day 2019 di Conaform!

Kloudymail parteciperà con un suo intervento, tenuto dal fondatore e Ceo Enrico del Sordo, all’Open Day 2019 di Conaform – Consorzio Fra Agenti per la Formazione -, realtà impegnata nella formazione e nell’aggiornamento nei confronti di tutte le figure del mondo assicurativo e finanziario.

In particolare, Kloudymail si presenterà alla platea con l’intervento “GDPR e informativa privacy online, siamo pronti?“, portando la sua esperienza pluriennale nel mondo del web per far capire alcuni semplici accorgimenti che consentando di essere in regola con le indicazioni europee in materia di privacy.

Ogni anno Conaform allestisce un Open Day, un appuntamento annuale che si fa occasione per conoscere e dialogare su temi di particolare interesse e di grande attualità con gli esperti del settore assicurativo e finanziario, che sono poi i settori a cui Conaform si rivolge.

Agenda della giornata

ore 14,00
Accoglienza partecipanti
(Lisa Rossi, NET2WORK)

ore 14,30
Apertura lavori
(Franco Curto, Presidente CONAFORM)

ore 14,45
Le agenzie assicurative tra plurimandato, collaborazioni e consulenza remunerata
(Fabio Orsi & Daniele Cirelli, Innovation Team)

ore 15,15
GDPR e informativa privacy online, siamo pronti?
(Enrico Del Sordo, Kloudymail)

ore 15,45
Fare rete conviene: vantaggi ed opportunità di aderire al NET2WORK
(Sergio Busico, Responsabile accordi NET2WORK)

ore 16,00
Coffee break

ore 16,20
Spazio partner con:
Giesse Risarcimento Danni (Nicola Barchet, Presidente)
Viasat Group (Davide Sacchini, Area manager)
Dottor Grandine (Alessandra Santoro, Chief Business Officer)
RBM Assicurazione salute (Andrea Meazzini, Direzione Commerciale)

ore 17,00
La formazione di qualità: tra opportunità e necessità nasce il Registro dei Formatori Professionisti in ambito assicurativo
(Ferdinando Superbi & Vincenzo Iorio, Associazione Italiana Formatori)

ore 17,15
CONAFORM & CINEAS: una mission comune
(Stefania Pallotta, Direttrice CINEAS & Alberto Duranti, CdA CONAFORM)

ore 17,30
Tavola rotonda:
IDD & Consulenza: proviamo a fare chiarezza. La Consulenza dopo il recepimento della Direttiva IDD: quali sono le evidenze emerse? Come ci si dovrà attrezzare per rispondere pienamente allo spirito della norma?
Ne parliamo con:
Massimo Michaud, Presidente CINEAS
Gaetano Vicinanza, Presidente GAS Sara Ass.ni, CdA CONAFORM
Ugo Ottavian, Formatore tecnico assicurativo
Andrea Maura, Avvocato
modera, Manuela Prestipino

ore 18,30
Conclusioni, Q&A

ore 18,45
Chiusura lavori

La newsletter per il GDPR: informativa privacy e aggiornamento consensi

In questi giorni tutti noi siamo stati sommersi da e-mail relative al GDPR, con oggetti diversi che riassumono però la stessa sostanza: la volontà da parte dell’azienda che ci ha inviato la mail di mettersi in linea con il GDPR, che ha preso piena efficacia a partire dal 25 maggio 2018 (anche se in Italia mancano ancora i decreti attuativi). Le newsletter che ci sono state inviate per regolarizzare la posizione con il GDPR sono essenzialmente di due tipi: il rinnovo del consenso con o senza la possibilità di aggiornare i propri dati e la comunicazione della nuova informativa privacy.

La newsletter per il GDPR: la nuova informativa privacy

Il GDPR, come tutti ormai sappiamo sin troppo bene, introduce nuove modalità molto specifiche per la stesura dell’informativa privacy. Anzitutto, l’informativa privacy secondo il GDPR dev’essere breve, trasparente, intelleggibile per l’interessanto e facilmente accessibile. In altre parole, l’Europa ci chiede di lasciar da parte il “legalese” e il “burocratese” per spostarci su un linguaggio chiaro e semplice, ancor di più se il trattamento dei dati personali riguarda anche minorenni (in questo caso devono essere previste informative ad hoc).

L’informativa dev’essere resa nota ai soggetti di cui raccogliamo e trattiamo i dati personali per iscritto, meglio se in formato elettronico. Una delle novità principali introdotte dal GDPR riguarda la possibilità di corredare l’informativa con icone che aiutino a presentare i contenuti in forma sintetica. Ma attenzione: non è ammissibile un’informativa corredata di sole icone, in quanto le icone devono accompagnare e spiegare meglio i contenuti dell’informativa stessa. Un’altra cosa importante da sottolineare è che le icone non sono soggette alla nostra creatività, ma dovranno essere definite in data da destinarsi dalla Commissione Europea.

L’informativa deve sempre riportare la nostra identità e quella del nostro eventuale rappresentante nel territorio italiano, oltre alle finalità del trattamento, ai diritti degli interessati, i riferimento del responsabile del trattamento se c’è e i destinatari dei dati.

La newsletter per il GDPR: il rinnovo del consenso

La premessa è antipatica, ma va fatta: la newsletter per il rinnovo del consenso non è necessaria se il consenso degli interessati era stato raccolto a suo tempo in modo congruo (il GDPR non lo annulla), mentre non dovrebbe essere mandata in assenza di tale consenso. Ciò nondimeno, in questi giorni le nostre caselle mail sono letteralmente subissate di newsletter che ci chiedono di rinnovare il consenso a ricevere comunicazioni e in qualche caso ci danno anche la possibilità di modificare o aggiornare i nostri dati personali. Possiamo dunque dire che molte di queste newsletter vengono inviate sull’onda del panico per il GDPR e pure di un eccesso di zelo: se il consenso come già detto è stato raccolto correttamente, non è necessario alcun rinnovo. Certo la newsletter con il rinnovo del consenso al trattamento dei dati personali può essere letto come un modo per mostrare ai nostri utenti che teniamo ai loro dati e che stiamo lavorando per adeguarci correttamente al nuovo Regolamento Europeo.

Dubbi sul consenso: c’è chi ha preso tempo…

Attorno al GDPR aleggiano una serie di miti e leggende da verificare bene prima di procedere. Oltretutto, per diverse ragioni non sempre comprensibili, unite al fatto che tantissime aziende si sono mosse in netto ritardo per l’adeguamento, il nuovo Regolamento Europeo sulla privacy ha generato in molti casi vero e proprio panico in seno alle aziende. Tanto che alcune aziende d’oltreoceano hanno deciso di prendere tempo oscurando i propri siti agli utenti europei: è il caso per esempio di testate giornalistiche come Los Angeles Times, New York Daily News, Chicago Tribune, Orlando Sentinel, Baltimore Sun e molti altri. Come riporta Il Sole 24 Ore, cercando di aprire uno di questi siti dall’Europa il 25 maggio 2018, si legge il seguente avvertimento: «Sfortunatamente il nostro sito al momento non è raggiungibile nella maggior parte dei Paesi europei. Ci stiamo occupando del problema e ci impegnamo a esaminare le opzioni che supportano la gamma completa della nostra offerta digitale per il mercato europeo». Probabilmente gli editori responsabili di queste testate stanno prendendo tempo per essere certi di essere in linea con la normativa la quale, va ricordato, ricade anche su realtà operanti fuori dall’Europa se queste raccolgono e/o trattano dati di cittadini europei.

Le caratteristiche del consenso secondo il GDPR

Il nuovo concetto di consenso introdotto dal GDPR deve rispettare determinate caratteristiche:

  • informato;
  • specifico per ciascuna finalità del trattamento;
  • libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi (l’esecuzione di un contratto, compresa la prestazione di un servizio, non deve essere subordinata ad un consenso non necessario per tale esecuzione);
  • inequivocabile: deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile.

Il consenso, infine, deve poter essere revocato in qualsiasi momento.

Tutto chiaro? E voi come avete gestito l’entrata in forza del GDPR? Avete mandato un tipo di newsletter tra quelle che abbiamo citato?

Verso il GDPR, le conseguenze delle violazioni in materia di raccolta del consenso e trattamento dei dati. Il caso Vodafone

Come abbiamo già avuto modo di dire, il 25 maggio 2018 diventerà a tutti gli effetti efficace (a meno di improbabili proroghe) il GDPR, il nuovo regolamento europeo per la protezione dei dati personali dei cittadini europei. Molte aziende e professionisti stanno iniziando a sentire la pressione della data incombente, ma sarà davvero una rivoluzione di portata immane? Per certi versi sì, in primis dal punto di vista concettuale e culturale. Certo, ci sono poi gli adeguamenti operativi che non sono né immediati né sempre semplici da capire. Ma sarebbe un errore credere che il 25 maggio coincida con l’Armageddon per chi tratta e gestisce dati personali. Per dimostrarlo ecco una case history che mostra come il Garante abbia sanzionato un importante operatore di telefonia mobile anche prima dell’avvento del GDPR.

Le sanzioni prima del GDPR: cosa è successo a Vodafone

Accade a ciascuno di noi ogni giorno, spesso più volte al giorno: riceviamo chiamate da call center che hanno l’obiettivo di proporci promozioni oppure, più spesso, di cercare di convincerci a passare da un operatore di telefonia o da un fornitore di corrente elettrica a un altro. Niente di nuovo per chiunque disponga di un cellulare o di una linea fissa. Praticamente tutti, oggi giorno.

Gli operatori di call center fanno il loro lavoro, su questo non ci piove. Ma è altrettanto certo che talvolta questo tipo di chiamata possa risultare fastidioso, magari perché ci interrompono nel bel mezzo dell’attività lavorativa o perché non siamo interessati all’ennesima offerta di cambio operatore.

Generalmente risolviamo la questione attaccando il telefono, sbuffando e via, riprendiamo con le nostre attività convinti che qualsiasi segnalazione a chi di dovere sia perfettamente inutile. Sbagliato! Circa un mese fa, infatti, nello stupore generale i nostri consulenti in materia di privacy Pier Giorgio Bollati e Debora Pagano di Deeperformance hanno ricevuto la newsletter del Garante della Privacy nella quale si parlava di un provvedimento ai danni di Vodafone a seguito delle indagine effettuate dal Garante stesso. Più o meno contemporaneamente, anche sui giornali è rimbalzata la notizia di una sanzione a carico dell’operatore telefonico per “telemarketing selvaggio”.

Caso Vodafone, qual è la violazione?

Dopo numerose segnalazioni inviate al Garante da cittadini che lamentavano persistenti offerte commerciali indesiderate da parte della compagnia telefonica e dei suoi partner commerciali, sono iniziate le indagini. Indagini che hanno coperto un periodo di 18 mesi, nei quali le autorità hanno rilevato l’invio di 22 milioni di sms e l’effettuazione di 2 milioni di chiamate in assenza di un valido consenso al trattamento dei dati personali da parte degli interessati. Chiamate e sms che hanno coinvolto anche coloro che aveva richiesto inequivocabilmente di “non essere chiamati mai più“: questi soggetti venivano inseriti in un elenco di contatti “sospesi” ma non venivano mai eliminati del tutto dal database aziendale.

Le irregolarità rilevate dal Garante in materia di trattamento e gestione dei dati personali e di acqusizione dei consensi sono dunque diversi e pertanto pare che i controlli non siano conclusi ma proseguiranno spostandosi nelle sedi commerciali.

Non è finita. Oltre a quanto già spiegato, le autorità hanno contestato a Vodafone anche una parte dell’informativa fornita ai clienti al momento della ricarica del credito telefonico. Nell’informativa, infatti, era inserito tra le diverse finalità l’invio di newsletter senza che il cliente potesse esprimere chiaramente un consenso alla ricezione.

In definitiva, tale modo di operare è stato dichiarato illecito dal Garante che ha sottolineato come la compagnia telefonica non abbia tenuto conto della realtà volontà degli interessati.

A Vodafone è stato dunque intimato di interrompere immediatamente le attività in essere. Non solo: tra le prescrizioni la più interessante riguarda “l’adozione di opportune misure tecnico-organizzative“, espressione che sancisce il definitivo passaggio dalle “misure minime” del Codice Privacy (allegato B) alle misure previste dal Regolamento Europeo, il GDPR.

Dal canto suo, Vodafone ha fatto sapere che “a seguito delle verifiche ispettive relative alle condotte realizzate nel periodo gennaio 2016-giugno 2017, l’azienda ha già messo in atto, a partire dall’estate 2017, misure volte a evitare contatti indesiderati nei confronti della clientela. Vodafone, attualmente impegnata in un articolato programma di adeguamento alla normativa europea (GDPR), intende infatti garantire una piena conformità alle disposizioni in materia di trattamento dei dati personali”. Non è detto che questo sia considerato sufficiente dall’autorità Garante, che potrebbe decidere di comminare una multa, come già accaduto in passato per Tim.

Effetto GDPR? Non possiamo naturalmente esserne certi, ma quanto accaduto deve sicuramente far riflettere rispetto ai futuri controlli che il Garante effettuerà, in particolare a partire dal 25 maggio.

 

Pier Giorgio Bollati e Debora Pagano – Consulenti privacy Deeperformance

GDPR, Kloudymail introduce la nuova funzionalità per il diritto di rettifica

Come abbiamo già avuto modo di spiegare, dal 25 maggio 2018 sarà applicato il GDPR, il nuovo regolamento europeo in materia di trattamento dei dati personali. Si tratta di un regolamento che coinvolgerà tanto le attività offline quanto quelle online di tutte le imprese. A tal proposito, noi di Kloudymail siamo già a buon punto e stiamo pian piano perfezionando la piattaforma in modo che il software per l’invio di newsletter sia a norma in tutto e per tutto mettendo i nostri clienti nelle condizioni di operare in piena tranquillità.

Diritto di rettifica nel GDPR, di cosa si tratta?

All’articolo 16 del GDPR, il Regolamento Generale sulla Protezione dei Dati, viene introdotto il diritto di rettifica, spiegato come segue.

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa”.

GDPR, Kloudymail inserisce il diritto di rettifica

Kloudymail e diritto di rettifica, come funziona?

Tutti gli utenti della piattaforma Kloudymail potranno trovare spiegazione dell’aggiornamento delle funzionalità nella pagina inziale, in alto a sinistra all’interno del riquadro rosso.

Questa è la dicitura che ha introdotto il nostro software per l’invio di newsletter e dem:

Il nostro software è in regola con tutti gli adempimenti, per questo ti chiediamo di evitare pratiche scorrette che potrebbero portare anche al congelamento delle tue liste”. E ancora: “Il GDPR introduce nuovi diritti per gli utenti, come per esempio il diritto di rettifica. I tuoi utenti possono ora modificare i loro dati personali cliccando sul link che puoi aggiungere in calce all’e-mail”.

Nella pratica, aggiungere il link che consente di rispettare il diritto di rettifica è molto semplice, è sufficiente procedere come segue:

  • Crea o modifica il tuo template con K-Bricks;
  • Seleziona e trascina nel template il brick di disiscrizione e modifica preferenze;
  • Il gioco è fatto!

Kloudymail e diritto di rettifica, come funziona per il destinatario?

I destinatari delle tue campagne non vedranno grandi variazioni nelle e-mail che mandi loro. Semplicemente, in calce alla comunicazione, troveranno il link di disiscrizione e modifica preferenze che potranno usare – oltre naturalmente che per disiscriversi alla mail – per modificare i loro dati in tuo possesso.

Tutto chiaro? Per rimanere sempre aggiornato su GDPR e in particolare sulle conseguenze sull’e-mail marketing, visita la nostra pagina GDPR e segui gli articoli sul nostro blog!

GDPR ed E-Mail Marketing… Noi siamo pronti, e tu?

Il 25 maggio 2018 diventerà applicabile ed effettivo il tanto atteso – e in qualche caso temuto – GDPR, acronimo di General Data Protection Regulation. Altro non è che la nuova normativa privacy a livello europeo che si applica non solo a tutti gli stati membri dell’Ue, ma pure a tutte quelle imprese che, anche transitoriamente, trattino i dati personali di cittadini europei. In Italia il GDPR 2018 (precisiamo l’anno perché in realtà l’emanazione è del 2016) andrà a sostituire in toto il d. lgs. 196/2003.

Per capire un po’ meglio di cosa parliamo quando parliamo di privacy nel GDPR, abbiamo deciso di affrontare l’argomento con domande e risposte per cercare di fugare – per il momento a livello generale – i dubbi più diffusi.

Quando entra in vigore il GDPR?

Il nuovo regolamento europeo in materia di privacy è entrato in vigore  il 25 maggio 2016 dopo la pubblicazione nella Gazzetta Ufficiale europea, ma come anticipato inizierà ad avere efficacia dal 25 maggio 2018.

Come cambia l’informativa privacy con l’avvento del GDPR?

 

L’informativa privacy dal 25 maggio 2018 dovrà essere più breve, semplice e chiara, in poche parole comprensibile a tutti, anche ai minori. Vengono inoltre introdotti nuovi elementi, come per esempio il tempo di conservazione dei dati e la loro origine. Insomma, l’informativa diventa un vero e proprio strumento di informazione – mentre prima era spesso trattata come un mero, noioso adempimento burocratico – che potrà essere corredato di icone. Ultima nota: non dovremo inserire nell’informativa privacy conforme al GDPR 2018 alcun riferimento normativo, limitiamoci invece a spiegare bene la questione come se stessimo parlando a un bambino.

 

Come dovrò comportarmi nella raccolta dei dati?

In linee generali, visto che parliamo di e-mail marketing, possiamo affermare che il sistema double opt-in ci offrirà tutte le garanzie del caso anche dopo il 25 maggio 2018. In generale, il soggetto di cui tratteremo i dati dev’esserne informato, deve capire le finalità per cui li tratteremo e le attività che metteremo in atto a tale fine.

Si parla tanto di “Assessment”, a cosa si riferisce?

Campagne e-mail marketing dopo GDPR

 

Tra le tante novità introdotte dal GDPR, figura anche il DPIA (Data Protection Impact Assessment), in italiano Documento Programmatico sulla Sicurezza (DPS). Si tratta di un documento in cui, alla stregua di ciò che già si fa per garantire la sicurezza e la salute sui luoghi di lavoro, vengono presi in considerazione tutti i rischi che il trattamento dei dati personali potrebbe generare e parallelamente si stabiliscono le procedure per minimizzare questi rischi e per intervenire qualora si vverino.

 

Il GDPR annulla la figura del Garante?

No, il GDPR non abolisce la figura del Garante, ma elimina l’obbligo di notifica allo stesso in caso di trattamenti specifici dei dati personali. A onor di cronaca va precisato che la necessità di notifica non scompare del tutto: permane per le società con più di 250 dipendenti che saranno tenute ad avere il cosiddetto registro del trattamento. Anche le imprese che non raggiungono la soglia dei 250 dipendenti potrebbero essere tenute a curare il registro del trattamento ma solo in caso in cui “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati, o i dati personali relativi a condanne penali o reati”.

Tutto chiaro fin qui? Questa è solo una prima infarinatura relativa al GDPR cui seguiranno, prima della sua entrata in vigore, altri articoli su questo blog affinché la gestione della privacy ai tempi del General Data Protection Regulation non sia un problema per nessuno!