Conversazione semiseria con un piccolo imprenditore sul GDPR della sua attività
Perché il GDPR General Data Protection Regulation (il regolamento generale sulla protezione dei dati) ti riguarda?
Ci sono tre punti fondamentali da tenere presente:
- Tutte le aziende che trattano dati personali rientrano negli obblighi del GDPR;
- Il GDPR è una normativa non una direttiva quindi non c’è margine d’interpretazione;
- Chi non si mette in regola rischia multe salatissime: fino al 4% del fatturato annuo aziendale o fino 20 milioni di euro in base a qual è la cifra più alta;
Cos’è il GDPR?
Negli ultimi anni ci siamo tutti lamentati dell’invasione nella nostra vita di pubblicità fastidiose, call center che ci chiamano ad ogni ora, email spazzatura che non sappiamo da dove arriva, …
Il GDPR è frutto di una serie di ragionamenti a livello di Comunità Europea (tanto da farlo come Legge a tutti gli effetti), che sono partiti dal fatto che i nostri dati valgono miliardi di €uro per le grandi aziende. Parlo dei colossi come Amazon, Google, Facebook, Alibaba, … Sono un valore vero e proprio (un capitale non indifferente) e chi ha la possibilità di metterci sopra le mani può usarli per generare altri soldi. Ovviamente sono dati interessanti anche per le piccole imprese, per svolgere la propria attività commerciale. Il Regolamento stabilisce norme relative alla circolazione di tali dati.
Si tratta, del Regolamento Europeo n. 679 del 2016, entrato in vigore a tutti gli effetti il 25 maggio 2018 ed ora è valido su tutto il territorio Europeo
Si sono posti tre principali obiettivi:
- proteggere i dati personali dei cittadini europei (noi persone fisiche);
- restituire ai cittadini il controllo dei propri dati personali;
- semplificare le norme che riguardano gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.
Cos’è un dato personale
Un dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Per identificabile si considera una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un dato come potrebbe essere il nome, un numero di identificazione, dati relativi all’ubicazione, numero di cellulare, indirizzo email, targa della macchina, ecc..
Facciamo un esempio pratico per capire meglio che cosa è un dato personale:
Descrizione del Dato | Identificazione | Tipo di dato |
cognome@gmail.com | Persona fisica | è un dato personale |
cognome@nome-azienda.it | Persona fisica | è un dato personale |
info@nome-azienda.it | Persona giuridica | NON è un dato personale |
Trattamento dati
Per trattamento dati si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
Quindi, praticamente, qualsiasi cosa facciamo con un dato è un trattamento. Possiamo tranquillamente dire che sono trattamenti:
- la raccolta
- la registrazione
- l’organizzazione
- la strutturazione
- la conservazione
- l’adattamento o la modifica
- l’estrazione
- la consultazione
- l’uso
- la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
- il raffronto o l’interconnessione
- la limitazione
- la cancellazione o la distruzione
A quali dati si applica il GDPR nella tua azienda?
Si applica a tutti i dati personali trattati dalla tua organizzazione, per i quali avrai bisogno di un consenso esplicito, da parte del proprietario di tali dati, per poterli non solo acquisire, ma anche gestire o trattare.
Probabilmente starai pensando:
“aspetta, io tratto solo dati pubblici e non personali! Non tratto nemmeno dati sensibili! Devo preoccuparmene lo stesso?”
Con ogni probabilità sì. Ti dirò di più, nella maggior parte dei casi non è vero che non tratti dati personali, in quanto se hai l’email di un cliente nel formato spiegato prima, hai un dato personale. Se hai anche solo un dipendente, hai i suoi dati personali (e in alcuni casi anche quelli sensibili)
Facciamo comunque un po’ di chiarezza distinguendo tra i dati personali e i dati di carattere pubblico.
I dati di carattere pubblico non sono (necessariamente) i dati pubblicati: se per esempio una persona rivela pubblicamente il suo indirizzo email (ad esempio su Facebook trovi l’indirizzo di un possibile cliente), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, tantomeno puoi inviargli un messaggio email per proporre i servizi della tua azienda (si chiama SPAM in gergo tecnico, ma è a tutti gli effetti una violazione del GDPR).
Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualsiasi altro social media, database, … devi avere il consenso esplicito.
Attenzione: il consenso esplicito deve essere una firma su un modulo cartaceo o flag su un modulo online.
Facciamo un altro esempio per chiarezza:
Descrizione del dato | Tipo di dato | GDPR | |
Indirizzo mail pubblicato su FB | Dato personale reso pubblico |
Serve consenso! | |
Indirizzo IP anonimizzato | Dato anonimo | Non serve consenso | |
Percentuale di apertura newsletter | Dati aggregati | Non serve consenso |
Tu starai pensando:
“e cosa me ne faccio di un dato anonimo o di dati aggregati? Non mi servono per la mia attività!”
Esatto! Lo spirito del GDPR è proprio questo: se non hai il consenso esplicito del proprietario del dato non puoi farci nulla se non l’utilizzo di dati aggregati e anonimi che non ti permettono di “disturbare” direttamente il singolo, anche se possono essere usati per altri motivi (ma parleremo di Big Data in un’altra occasione).
In questo caso il proprietario non è Facebook dove hai trovato l’email, ma il proprietario vero e proprio che, a prescindere dall’averlo dato a Facebook, potrebbe non voler essere disturbato dalla tua email
“Al limite l’email non la legge, la può semplicemente cestinare, che fastidio gli dà!”
Hai ragione, un’e-mail ogni tanto non è fastidiosa, ma vedi il problema nel suo insieme. Se tutti ragionano come te, non è più un’e-mail ogni tanto, ma tante tutti i giorni. Tra spam, newsletter, proposte commerciali e altro, io stesso ho dovuto inserire dei filtri sulla mia posta elettronica, perché perdevo più tempo a cancellare le e-mail che non mi interessavano rispetto a leggere quelle di lavoro o di mio gradimento
Tra l’altro devi tenere presente che il GDPR è retroattivo, questo vuol dire che si applica anche ai dati raccolti prima dell’introduzione del GDPR, quindi con la vecchia normativa Privacy. Dovrai controllare se hai il consenso espresso per tutti i dati in tuo possesso e si potrebbero verificare più situazioni:
- se la verifica è sì ho il consenso, sei stato previdente e sei già a buon punto,
- se la verifica è no, sei obbligato a raccogliere nuovamente i consensi,
- se la risposta è sì, ma sono passati molti anni dall’ultimo rapporto consensuale, allora dobbiamo discuterne
Nel secondo caso dovrai contattare i proprietari e chiedere loro di darti il consenso per il trattamento dei dati, per tutti o solo alcuni degli scopi per i quali vengono trattati questi dati.
“Grazie tante, e se non mi rispondono? Io gli mando l’email richiedendo il consenso nuovamente, ma se loro non hanno tempo o non leggono la mia email?”
Ecco il primo grosso problema da risolvere: non puoi usare quel dato finchè non hai il consenso, che significa che non puoi fare pubblicità, marketing o altro che non sia legato a qualcosa di obbligatorio per il quale non è necessario il consenso (non te l’aspettavi vero?)
Significa che se da 5 anni non avete rapporti commerciali, non puoi fargli pubblicità, ma non necessariamente devi cancellare il dato, in quanto hai fatture da conservare per obbligo di legge e il suo dato quindi deve rimanere disponibile
Se ti trovi invece nel terzo caso (per esempio sono 15 anni che non hai rapporti, quindi non hai più l’obbligo di conservare il dato) allora senza il consenso dovresti cancellarlo da tutti i tuoi database
“Insomma, anni di raccolta dati per fare la mia attività e adesso dovrei buttare via tanto impegno perché qualcuno si sente disturbato dalla mia email o dalla telefonata che la mia segretaria fa ogni tanto?”
In effetti sì, soprattutto se non vuoi rischiare le sanzioni che ti ho raccontato prima, oppure puoi modificare il tuo impegno
“Cosa intendi?”
Intendo dire che oggi molte persone sono diventate sensibili alla privacy, in alcuni casi anche in modo fuori luogo. Si tira fuori la parola privacy anche quando non c’entra, perché è come toccare una ferita aperta: fa male a prescindere.
Per questo il tuo impegno e quello della tua azienda non dovrebbe più essere quello di trovare i contatti in modo poco onesto, ma quello di capire esattamente quali dati ti servono (non sempre tutti i dati che raccogli sono utili alla tua attività) e poi cercare nuovi modi di attrarre clienti.
Una cosa che va molto di moda negli ultimi anni (perché funziona) è quello di pubblicizzare un “regalo” per il tuo contatto se ti lascia l’email.
“Un regalo? Prima ancora di incassare da lui dovrei spendere soldi? E poi se non compra da me?”
E’ stato dimostrato che il regalo a qualcuno che non conosci, predispone positivamente le persone all’ascolto e a lungo andare rende economicamente. Certo qualcuno potrebbe anche non comprare mai da te, ma se raccogli 1000 indirizzi email (perché gli hai regalato qualcosa) sicuramente su questi contatti c’è qualcuno interessato al tuo prodotto, perlomeno ad ascoltarti per capire cosa offri
“Cioè, se poi gli mando un’email allora dopo la apre e non la cestina?”
Esatto! Vedi che cominci a capire. Il regalo di moda è un regalo digitale, che significa un pdf o un video, una checklist, un manualetto, … qualcosa insomma che comunque ti permetta di farti conoscere per quello che vali, ma soprattutto non è la classica penna con il blocco per gli appunti.
Inoltre facendo così, essendo digitale, se vogliono il regalo devono darti il consenso
“Scommetto che però non è tutto rose e fiori”
Certo, detta così è semplice, ma il GDPR ti chiede di progettare correttamente tutti i passaggi per i quali decidi di usare i dati. Per esempio se io ti lascio la mia email in cambio di un video su come tagliare l’erba con il tuo fantastico decespugliatore, non significa che mi faccia piacere ricevere inviti a seminari su quanto è vantaggioso comprare bitcoin sul mercato americano. Pertanto per valorizzare bene il dato acquisito bisogna anche organizzarsi per gestirlo al meglio ed evitare di bruciarlo
“Ma io non vendo bitcoin, perché dovrei mandarti un’email del genere?”
Perché in passato c’era la cattiva abitudine di cedere le banche dati dietro un congruo prezzo, ad altre aziende. Questo faceva girare il telefono, l’email, il nominativo in modo tale da essere impossibile capire i consensi al trattamento. Per questo oggi, molti me compreso, quando si accorgono di ricevere messaggi strani, anche se hanno dato il consenso, poi lo tolgono, cancellandosi dalla banca dati.
Se faccio questa operazione e continuo a ricevere i messaggi, secondo te come mi sentirò?
Sarai un po’ innervosito, immagino
Esatto! E al di là delle denunce che posso fare al Garante della Privacy (che lo porterebbe a controllarti per fare le sanzioni) significa che ti inserirei nello SPAM per non vederti più (anche il tuo meraviglioso tagliaerba). Peccato che molti software di SPAM oggi in circolazione, parlano tra loro. Significa che se cominciano a vedere troppi messaggi che tu ti stai comportando male, innervosendo gli utenti, ti classificano SPAM a prescindere
E quindi?
Quindi significa che anche i messaggi che tu manderai agli altri utenti, nonostante il consenso che ti hanno dato, rischierai che non arrivino a destinazione
Certo, tutto quello che ti ho detto non è così automatico, ci vuole tempo e condizioni, non è tutto così veloce, ma il rischio per la tua attività è anche questo
E quindi cosa dovrei fare io?
- La prima cosa che ti consiglio è quella di fare una verifica della tua #organizzazione in modo da capire a che punto sei. Lo puoi fare con il nostro questionario che trovi QUI
- La seconda cosa che ti consiglio è di capire di cosa hai bisogno per organizzare un Sistema di Gestione dei dati che ti permetta di avere il controllo corretto
Ti consiglio un’ultima cosa: se fai tutto questo, utilizza un metodo (ti consiglio il nostro #metodoTOP) per tenere tutto sotto controllo, ma soprattutto per far sapere ai tuoi Clienti quanto ci tieni. Usa il tuo rinnovato impegno per far capire agli altri che i dati sono in mani sicure
Ho capito, ci penserò
E voi cosa ne pensate?
Il vostro #SafetyBusinessMan