Alcuni aspetti che i responsabili marketing dovrebbero valutare per prepararsi alla GDPR ( la nuova legge sulla data protection ). Presentazione offerta dall'ufficio legale di Lists4Europe : Jenny Moseley Founder Director Opt-4 1 GDPR è la forma abbreviata per : The General Data Protection Regulation • • • • Le nostre previsioni sulla futura legge non possono essere prese come avvisi legali. Alla legge che uscirà a giugno 2016 seguiranno regolamenti locali. Nel 2018 seguirà un implemento. Alcuni punti devono essere affrontati da subito ! 2 Come la GDPR tratta i dati B2B e B2C • • • La nuova legge non menziona i dati b2b ma solo quelli delle PERSONE FISICHE. La direttiva attuale della Data Protection è vecchia di 20 anni e finora i dati B2B sono stati trattati più apertamente di quelli B2C. A parte le deroghe sul “legittimo interesse” ora – i dati B2B e B2C - sembra che saranno trattati alla stessa maniera. 3 I diritti degli individui aumenteranno 4 Ecco come aumenteranno • Il diritto ad essere informati quindi maggior trasparenza, chiarezza e linguaggio semplice. • Il diritto di opporsi al direct marketing. • Il diritto di ritirare il consenso in ogni momento. • Il diritto di opporsi alla profilazione. 5 ll diritto di opporsi al legittimo interesse. Il diritto di imporre restrizione alla elaboraz. dati Il diritto a cancellare i dati. Il diritto al movimento/portabilità dei dati. Il diritto di accesso ai propri dati. Il diritto a modificare i propri dati. Il diritto a richiedere i danni. 6 Struttura del testo della GDPR Elaborare i dati personali è possibile quando il soggetto dei dati ha dato il consenso per uno o più specifiche finalità. Art.6 Il consenso deve essere rilasciato a seguito di una chiara e affermativa azione che dimostri sia stato dato liberamente, in modo specifico, informato e senza ambiguità su come i dati personali vengono elaborati attraverso una informativa resa per iscritto , anche in via elettronica, o orale. Pro e Contro per chi opera nel marketing • • Il consenso è “NON ambiguo ” piuttosto che esplicito. Direct Marketing = legittimo interesse ? . Solo alcune particolari profilazione necessitano il consenso. La nuova legge non è così negativa come in un primo tempo si pensava. 8 L'ambito globalizzato della GDPR La legge GDPR si applica alle organizzazioni con sedi in Europa e in cui i dati personali sono elaborati. Si applica indipendentemente se l'elaborazione avviene in Europa oppure no. La legge focalizza i diritti degli individui Europei quindi si applica anche quando i dati sono elaborati fuori dal vecchio continente. 9 I principali temi per il direct marketing 10 1. Consenso per il Marketing Sotto la GDPR • Consenso per il marketing deve essere NON ambiguo. • Il consenso è dato a seguito di una chiara azione di tipo affermativo quindi ‘ Il Silenzio, le caselle pre spuntate, l'inattività non costituiscono consenso.’ • Il Consumatore non può essere forzato a dare il consenso all'utilizzo dei dati quando ordina/ aderisce ad un servizio. • La definizione di NON ambiguo è : chiaro, esauriente, distinto, non equivoco, autorevole, e che non si presta ad interpretazioni. 12 1. Consenso per Marketing Transizione e Esenzioni • • Gestire il passaggio dalla vecchia alla nuova legge. Il consenso non va richiesto di nuovo se venne raccolto in accordo con la legge in vigore al momento della raccolta. Fate tesoro delle consestazioni attuali e focalizzate le energie per crescere, per validare prima degli altri o che sia troppo tardi. 13 2. Elaborare per legittimo interesse Posizione attuale Il titolare dei dati ha una certa dose di flessibilità per contattare persone che non diedero il consenso, in nome del “legittimo interesse”. Con la GDPR • L'elaborazione dei dati personali per finalità di marketng diretto può essere considerata come portata avanti per legittimo interesse. – ma è presto per cantare vittoria • Il titolare dei dati deve saper dimostrare perchè il legittimo interesse supera l'interesse della persona a cui i dati appartengono. • La persona ha il diritto di venir messa al corrente di qualsiasi elaborazione in nome del legittimo interesse ed avere altresì la possibilità di opporsi. 14 3. Profilazione Con la GDPR Profilazione significa qualsiasi forma automatizzata che elabora i dati per valutare certi aspetti personali relativi alla personalità, in particolare per analizzare e predire i comportamenti sul lavoro, le situazioni economiche, lo stato di salute, le preferenze, gli interessi, la solvibilità, il comportamento, la residenza e gli spostamenti. 15 3. Profilazione • • • • • Per Profilazione intendiamo processo automatizzato riferito al singolo individuo. Profilazione include i gusti personali, gli interessi, i comportamenti, la localizzazione e spostamenti (GPS). I soggetti devono essere informati sul fatto che i loro dati vengono profilati prima o durante la prima comunicazione usando chiare e specifiche parole e in modo separato da altre informazioni . Le persone hanno il diritto ad opporsi alla loro profilazizone incluso l'uso per finalità di direct marketing a meno che ciò sia necessario per dar corso al contratto. Da preparare – a seguito del documento/informativa che avverte sulla profilazione per finalità di direct marketing , si deve sviluppare un flag/campo per il database al fine di registrare il consenso o il rifiuto alla profilazione. 16 4. Titolare e responsabile al trattamento Sotto GDPR • Entambi titolare e responsabile al trattamento sono considerati responsabili per qualsiasi problema che insorge. • Per assicurare il compenso per il danno in cui entrambi sono implicati, ognuna delle 2 parti può partecipare al pagamento dell'intero danno. • Al titolare dei dati e al responsabile del trattamento spetta l'onere di dimostrare che non sono per nessun motivo responsabili . • I contratti correnti con i fornitori vanno aggiornati e riscritte le regole al fine di ridurre i rischi per entrambi. • A volte i titolari dei dati sono anche responsabili per il trattamento dei dati di altre aziende. • Da rivedere la contrattualistica per ridurre i rischi . Elaborazione di controllo e revisione . 17 5. Sistema informatico 1. 2. 3. 4. Titolare e responsabile del trattamento dati possono far fronte alla massa e variabilità di dati, ci sono sufficienti spazi per registrare multiple preferenze ? • Canali : postale - telefono - email - sms - social media - registrazioni automatiche - banner - annunci tv e altro ancora . • Per ogni casistica è possibile registrare il consenso o il diniego alla profilazione ? • Anche l'uso per legittimo interesse va memorizzato . • Ogni finalità di trattamento dati deve avere il suo consenso. • Come si memorizzano le prove dei consensi ? Come avviene il processo per fronteggiare le richieste di cancellazione dati del vostro database o di terzi che vi hanno trasmesso i dati ? Mettere ordine alle procedure. Le procedure informatiche sono collaudate in caso di frodi ? Mettere in ordine i problemi ! 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Consenso. Quali conseguenze sul volume del database il NON ambiguo consenso ? L' informativa per la raccolta dei dati ottimizza la q.tà di dati ? Può essere valida l'idea di regolarazzare da ora i dati . Il titolare dei dati e il responsabile al trattamento lavorano diligentemente. Vanno rivisti i contratti ? Elaborazione dati e trasferimenti dei dati. Le procedure e le norme di condotta sono messe per iscritto e comunicate agli impiegati ? Titolare dei dati e responsabile al trattamento devono lavorare in comune accordo . Entrambi devono addestrare gli altri impiegati e controllare che tutti siano al corrente sulle stesse cose. In caso di multe ci sono i soldi pronti ? Ci sono delle assicurazoni su questo argomento ? 19 www.dpnetwork.org.uk 20 www.dpnetwork.org.uk 21 [email protected] [email protected] Permission is given for the downloading and temporary storage of this presentation for the sole purpose of individual use. This presentation may be printed once only, and may not be further reproduced, copied or transmitted in any way to those other than the initial individual user. All rights reserved. 22