Il Regolamento generale sulla protezione dei dati, o GDPR in inglese, è entrato in vigore il 25 maggio 2018 per rafforzare e armonizzare la protezione dei dati personali dei cittadini europei. Pochi mesi prima della sua entrata in vigore, abbiamo delineato le direttive principali di questo regolamento e gli obblighi che ne derivano per gli e-merchant.
Un anno dopo, a che punto siamo? Il GDPR ha reso possibile una migliore regolamentazione del trattamento dei dati personali in Italia e in Europa? Qual è il bilancio per le VSE/PMI e quali strumenti sono stati messi in atto per accompagnarle? Le risposte in questo articolo!
Una forte presa di coscienza da parte dei consumatori
L'entrata in vigore del GDPR ha innegabilmente contribuito a sensibilizzare gli utenti di Internet sul valore e l'importanza di proteggere i loro dati personali. Di conseguenza, il numero delle denunce è notevolmente aumentato in Italia e in tutta Europa. In un solo anno, più di 100.000 denunce sono state presentate nell'Unione europea da cittadini e associazioni. In Italia, tra il 25 maggio e il 31 dicembre 2018 il Garante per la Protezione dei Dati Personali (Garante Privacy) ha registrato 4.700 denunce, contro le 3.378 per lo stesso periodo nel 2017. Ricordiamo che il Garante della Privacy è un'autorità amministrativa indipendente incaricata di garantire la protezione dei dati personali in Italia.
La maggior parte di queste denunce riguardano le richieste di cancellazione dei dati non esaudite, le controversie commerciali (in particolare le sollecitazioni abusive), nonché i dipendenti preoccupati di essere monitorati o geolocalizzati dal proprio datore di lavoro. Grazie a questa maggiore consapevolezza, gli esercenti che rispettano gli obblighi del GDPR sono più affidabili per gli acquirenti! Utilizza questi obblighi a tuo vantaggio, ad esempio personalizzando e mettendo ben in evidenza il banner dedicato ai cookie, per dimostrare il tuo impegno a rispettare i diritti degli utenti.
Banner per la richiesta di consenso all’uso dei cookie sul sito toolove
Rafforzamento dei controlli
Nonostante l'aumento delle denunce, il numero delle sanzioni imposte dagli organismi europei di protezione dei dati non è aumentato drasticamente. In effetti, dopo l'entrata in vigore del regolamento è stato previsto un periodo di "moratoria" di 8 mesi per dare alle imprese il tempo di integrare il GDPR al loro modo di operare.
D'ora in avanti, il Garante Privacy sarà in grado di far rispettare pienamente gli obblighi e le sanzioni previste dal regolamento, come ha dimostrato il 4 aprile 2019, infliggendo una multa di 50.000 euro alla piattaforma Rousseau del Movimento 5 Stelle per non aver sufficientemente protetto i dati degli utenti.
Come conformarsi sin d’ora?
L'applicazione del GDPR porta a complessi cambiamenti che devono interessare tutte le attività aziendali: dai sistemi informativi alle risorse umane, alle relazioni con la clientela ed al marketing. La “corporate governance” deve essere applicata ad ogni livello dell'organizzazione, il che richiede tempo e risorse.
Pertanto, per essere in linea con il GDPR, il modo migliore è quello di nominare un responsabile della sicurezza dei dati personali. Questa persona sarà responsabile dell'applicazione del GDPR all'interno dell'azienda. Anche se non sempre obbligatoria, la nomina di un responsabile può essere molto utile per il trattamento dei dati. Più in particolare, serve ad effettuare un inventario, controllare il trattamento dei dati personali (siano essi dei clienti, dipendenti o fornitori), gestire la conformità dell’azienda, nonché a garantire il dialogo con le autorità.
E’ invece obbligatorio nominare un responsabile della protezione dei dati (RPD) se l’attività principale richiede di:
- Effettuare un controllo regolare e sistematico delle persone su ampia scala;
- Trattare i dati cosiddetti "sensibili" o relativi a infrazioni e condanne penali.
Per maggiori informazioni a tale riguardo, è possibile consultare la pagina del Garante Privacy.
La maggior parte delle VSE/PMI ha scelto di nominare un RPD esterno, piuttosto che assegnare questa funzione ad un dipendente. Questa collaborazione ha il vantaggio di fornire una visione neutrale e globale del trattamento dei dati ad ogni livello. In Italia, tra la data di attuazione del GDPR e il 31 marzo 2019, oltre 48.000 contatti RPD sono stati segnalati al Garante Privacy. Pensaci!
Link utili per i professionisti
Diversi strumenti sono stati messi in atto per accompagnare le VSE e le PMI nella fase di integrazione del GDPR:
- La Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali raccoglie le informazioni essenziali per garantire la conformità della tua azienda.
- Le iniziative formative del Garante Privacy, con eventi organizzati in diverse città d'Italia.
- Un modello di registro semplificato per gestire al meglio il trattamento dei dati personali all’interno di un’organizzazione (la tenuta di un registro è peraltro un obbligo dettato dal GDPR), può quindi trasformarsi in un vero e proprio strumento indispensabile per conformarsi alla normativa.
- Un video esplicativo del GDPR per le VSE e le PMI, realizzato da PMI.it.
Per ulteriori informazioni, è possibile consultare anche le pagine del Garante Privacy dedicate al GDPR.
Sebbene l'implementazione del GDPR sia un compito impegnativo, è indispensabile garantire la sicurezza del tuo business online e la protezione dei dati di clienti, dipendenti e fornitori. Si tratta di un investimento a lungo termine, che ti permetterà di conquistare la fiducia degli utenti!