In love with #GDPR: 1 intervista doppia, 1 white paper e 3 novità in arrivo per i clienti MagNews

E’ San Valentino: gli innamorati festeggiano, i brand di dolci anche, i fiorai, non ne parliamo. Tantissime email sono partite nei giorni scorsi per promuovere la stagionalità preferita dopo il Natale, ma in questi giorni di febbraio i Marketer hanno in testa ben altro trend topic: #GDPR, che desta qualche mal di pancia:

  • SARO’ COMPLIANT?
  • LA NORMATIVA INFLUIRA’ SUL MIO DATABASE?

Ed ecco allora, che abbiamo pensato di regalare una piccola fonte di serenità con la nostra intervista doppia all’avvocato Paolo Balboni e al nostro CTO, Fabio Masini, per rispondere alle domande che assillano i Marketer (tempi di conservazione, soft spam, double opt-in, Database B2B, retroattività e altre) e per scoprire quali opportunità nascono con il GDPR, inoltre, un eBook gratuito per avere il quadro completo. E se dopo la lettura avrai ancora dei dubbi, non perderti le nostre 3 novità.

Così potrai goderti anche tu questa giornata e occuparti di domande più facili(!): DOVE COMPRO IL REGALO A QUEST’ORA?!

In love with GDPR

Inizia il conto alla rovescia: mancano ormai poco più di 3 mesi alla definitiva applicazione del Regolamento (UE) 2016/679, anche noto come GDPR.

Per aiutarci a comprendere meglio i risvolti pratici della nuova normativa ed “esorcizzare” gli aspetti più temuti, abbiamo deciso di affidarci all’esperienza di un professionista della materia l’avvocato Paolo Balboni, Founding Partner di ICT Legal Consulting, e a Fabio Masini, CTO di Diennea, che è responsabile delle soluzioni tecnologiche offerte da Diennea – MagNews.

Paolo Balboni

Founding Partner, ICT Legal Consulting

Founding Partner dello studio legale internazionale ICT Legal Consulting è un avvocato esperto di diritto europeo delle nuove tecnologie, della privacy e protezione dei dati personali. Professore di Privacy, Cybersecurity, and IT Contract Law presso lo European Centre on Privacy and Cybersecurity (ECPC) dell’Università di Maastricht. Presidente della European Privacy Association. Lead Auditor BS ISO/IEC 27001:2013 (IRCA Certified). paolo.balboni@ictlegalconsulting.com

Le opportunità e i “falsi miti”

Avvocato Balboni, in questi mesi l’argomento GDPR ha acquistato sempre più rilevanza e il 25 maggio, ormai, non è più così lontano. C’è una generale preoccupazione sulla necessità di adeguarsi, è una preoccupazione fondata?

Il GDPR va affrontato con grande attenzione, soprattutto in termini di trasparenza verso i soggetti interessati (es. clienti e potenziali clienti) nonché di registrazione degli eventuali consensi. Tuttavia, non deve essere visto come una minaccia, ma come un’occasione per fare ordine ed aggiornare le proprie basi dati.
Mi spiego meglio: dal punto di vista aziendale, è vero, bisognerà adeguarsi, mettere in pratica gli adempimenti richiesti e conformarsi al Regolamento, ma fermare la propria analisi a questo o addirittura alle sanzioni che verrebbero inflitte in caso di inadempienza è assolutamente riduttivo. Si pensi al GDPR come ad un momento storico, un momento zero, dal quale si parte avendo finalmente la giusta consapevolezza sull’importanza che i dati personali hanno assunto nella nostra epoca. Le aziende virtuose potranno sfruttare quello che è un vero vantaggio competitivo, nell’instaurare un rapporto di fiducia e migliorare la propria reputazione nei confronti dei clienti. Inoltre, è auspicabile una maggiore sensibilità a limitare il trattamento a quei dati necessari al proprio business e alle finalità di fatto perseguite (incluse quelle di marketing, profilazione, Big Data & Analytics), con un aumento della “qualità” delle basi dati (vs. “quantità”) volta alla reale valorizzazione delle medesime. Infine, un ultimo punto sul quale vorrei soffermarmi è la necessità per tutti i player (anche extra UE) che trattano dati di cittadini europei, di conformarsi alle regole del GDPR. Questo dovrebbe portare ad una uniformità di regole d’ingaggio a beneficio di un’auspicata concorrenza effettiva sul mercato.

Per noi marketer, GDPR significa “cestinare” i database di contatti costruiti in anni di lavoro?

Se i dati conservati sui database sono stati legittimamente raccolti in conformità al Regolamento, come indicato nel considerando 171 del GDPR, non vedo motivi per “cestinarli”.
Naturalmente, nel caso di database contenenti dati trattati sulla base di un consenso raccolto prima del 25 maggio 2018, sarà opportuno verificare se i consensi espressi possano ritenersi validi anche alla luce del GDPR e, in caso contrario, adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento.

C’è un termine predefinito dal GDPR entro il quale i titolari del trattamento sono tenuti a cancellare i dati dei contatti iscritti alla Newsletter?

Il Regolamento non impone un termine predefinito e/o fisso di conservazione dei dati personali raccolti, ma rimette ai Titolari il compito di stabilire tale periodo o perlomeno i criteri utilizzati per determinarlo e, successivamente, di comunicarlo ai soggetti interessati.
Una volta individuato il periodo di conservazione dei dati (o il criterio per determinarlo), il Titolare è tenuto ad informare l’interessato prima di procedere alla raccolta dei suoi dati. Nello specifico, l’articolo 13 (2)(a) del Regolamento prevede che il Titolare debba indicare all’interessato << il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo >>.

Può farci un esempio concreto?

Pensiamo ai dati personali trattati per finalità di marketing e acquisiti sulla base del consenso del soggetto interessato: se il criterio utilizzato per determinare il periodo di conservazione di tali dati fosse, ad esempio, la persistenza del consenso; nella relativa informativa, alla voce Conservazione dei dati personali potrà essere specificato che << I Dati Personali trattati per le finalità di marketing saranno conservati fino alla revoca del consenso >>.

Soft spam nel 2018

Soft spam: cosa si intende esattamente? E’ un principio ancora valido sotto il GDPR?

In base al c.d. principio del soft spam enunciato all’art. 130, comma 4, del Codice Privacy, se il Titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso espresso dell’interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tali comunicazioni, sin dall’inizio o in un momento successivo. Circa la sua validità, occorre rammentare che la disciplina del “soft-spam” è stata introdotta dalla cd. ePrivacy Directive che è anch’essa, al momento, oggetto di riforma da parte del legislatore europeo. Sul punto, è circolata una prima bozza di proposta della eRegulation (fonte normativa diversa e complementare al GDPR). La disciplina dei trattamenti per finalità di marketing online sarà completa solo una volta che anche la eRegulation verrà pubblicata.

Il double opt-in ed il nuovo Regolamento

Il double opt-in diventa obbligatorio con il GDPR?

Il double opt-in non è un termine giuridico e non è in alcun modo previsto dal GDPR. L’opt-in si riferisce convenzionalmente al consenso del soggetto interessato che, per essere ritenuto valido, deve necessariamente consistere in una manifestazione di volontà: libera, specifica, informata e inequivocabile.

Double opt-in, tempo di conservazione dei dati personali e le novità introdotte dal Regolamento. Trovi tutto nell’eBook gratuito 

I database B2B

Ci sono novità con il GDPR per quanto riguarda le aziende che hanno database B2B?

Sul punto rileviamo come il Regolamento non disciplina il trattamento di dati personali di persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto. Si tratta di una importante novità, ai fini marketing, se si considera che l’attuale normativa tutela le persone giuridiche rispetto al marketing con strumenti automatizzati, posto che la regola del necessario consenso preventivo (art. 130, comma 1 del Codice Privacy) si riferisce agli utenti e ai contraenti e non agli interessati, attraendo anche le persone giuridiche sotto il regime di opt in per comunicazioni a fini commerciali/promozionali effettuate attraverso strumenti automatici di comunicazione elettronica senza l’uso di un operatore.

Gestione dei consensi e informativa

Dopo il 25 maggio 2018, saremo tenuti a dimostrare anche i consensi prestati prima del GDPR?

Le organizzazioni che vorranno utilizzare i consensi privacy già ottenuti prima del 25 maggio 2018 dovranno essere in grado di dimostrare che gli stessi siano stati raccolti nel rispetto delle prescrizioni di cui al GDPR.

La legge prevede un obbligo di rinnovo dei consensi a seguito dell’entrata in vigore del GDPR?

Come già detto, i consensi raccolti prima del 25 maggio 2018 nel rispetto delle prescrizioni, di cui al GDPR, rimangono una valida base del trattamento. Le organizzazioni che invece non possono contare su tali consensi e intendono continuare a fare ricorso a tale base giuridica del trattamento, devono necessariamente adoperarsi, prima del 25 maggio 2018, per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento.

Inoltre, preme rilevare che l’A29WP (cioè l’assemblea dei Garanti privacy europei) raccomanda, nelle Linee guida sul consenso (ad oggi non ancora definitive), di aggiornare il consenso a intervalli di tempo appropriati, in modo che l’interessato sia informato sulle attività di trattamento dei propri dati (“WP29 recommends as a best practice that consent should be refreshed at appropriate intervals. Providing all the information again helps to ensure the data subject remains well informed about how their data is being used and how to exercise their rights”).

Dopo il 25 maggio 2018, saremo tenuti a fornire informative aggiornate a tutti i nostri contatti che hanno prestato il proprio consenso sulla base di informative predisposte ai sensi del D.lgs. 196/2003?

Dovendo applicare quanto previsto dall’art. 13 del Regolamento (e non più quanto ad oggi previsto dall’art. 13 del D.lgs. 196/2003) sarà quindi necessario notificare agli interessati le variazioni intervenute nell’informativa con modalità chiare e trasparenti, tali da consentire loro di esserne effettivamente edotti (ad esempio, mediante l’invio di una email con link al nuovo testo dell’informativa privacy).

Il GDPR rivoluziona la normativa privacy sotto i profili della gestione dei consensi e della profilazione?

In realtà, sotto entrambi questi aspetti, ci sono dei cambiamenti ma non una vera e propria “rivoluzione”.
Ad esempio, per quanto riguarda il consenso, molti principi della normativa previgente sono confluiti nel GDPR: il consenso continua a dover essere libero, specifico, informato e inequivocabile, non sarà ammesso il consenso tacito o presunto (per intenderci, le caselle “pre-spuntate” sui moduli continuano ad essere inammissibili) e il consenso dovrà sempre essere manifestato attraverso una dichiarazione o azione positiva inequivocabile.
Inoltre, sono in arrivo buone notizie lato adempimenti verso il Garante: decade l’obbligo di notifica preventiva all’Autorità dei trattamenti effettuati << con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti >> (cfr. art. 37 D.lgs. 196/2003).

Uno dei temi più discussi riguarda l’onere, in capo ai titolari, di documentare i consensi prestati: cosa significa in concreto?

Nella piena applicazione del principio di responsabilizzazione, nelle ipotesi in cui il trattamento di dati personali sia basato sul consenso, il titolare deve essere in grado di dimostrare che l’interessato abbia di fatto prestato il proprio valido consenso a uno specifico trattamento (es. loggando la relativa azione di spunta del consenso in un form online e ricollegandola alla versione della informativa pubblicata sul sito).

I principali temi su cui il Regolamento ci toccherà da vicino sono tre: consenso, responsabilizzazione e diritto degli interessati. Ne parliamo nel nostro approfondimento.

Con il nostro CTO, Fabio Masini, parliamo di come Diennea – MagNews si sta muovendo alla luce dei cambiamenti necessari da apportare per essere conformi il 25 maggio.

Fabio Masini

Chief Technology Officer, Diennea – MagNews

Dopo aver conseguito la laurea in Ingegneria Informatica presso l’Università di Bologna, Fabio inizia a lavorare in Diennea – MagNews, 14 anni fa come Project Manager. Dopo aver maturato anni di esperienza e avviato i progetti dei principali clienti dell’azienda, oggi gestisce e coordina l’intera infrastruttura tecnologica e l’area dei servizi alle imprese.

MagNews e il GDPR

In che modo MagNews può assistermi in questo delicato contesto?

Siamo sempre stati estremamente sensibili al tema della privacy e alla tutela dei diritti degli interessati. Per questo motivo, la piattaforma MagNews risulta già dotata di varie funzionalità che possono risultare estremamente utili anche nel nuovo contesto normativo.
Ad esempio, MagNews permette di gestire livelli di accesso e trattamento dei dati differenziati per ciascun utente, semplifica la gestione diversificata dei consensi, semplifica l’esercizio dei diritti da parte degli interessati, ed è sempre stato in grado di adattarsi alle specifiche esigenze dei nostri clienti.

Le risposte e le novità di MagNews

Qual è la risposta di MagNews alle novità introdotte dal GDPR?

Supporteremo passo per passo i nostri clienti nell’utilizzo delle funzionalità disponibili sulla piattaforma, seguendo costantemente le loro esigenze in concomitanza all’evoluzione della normativa.
Abbiamo in programma di rilasciare a breve una “Guida pratica alle 10 domande del GDPR” (iscriviti alla newsletter per riceverla), per spiegare passo per passo come la nostra piattaforma può semplificare i processi per essere compliant rispetto alla normativa.
Abbiamo creato un apposito canale email GDPR per i clienti che desiderino sottoporci richieste su specifiche funzionalità della piattaforma, e terremo un corso della MagNews School dedicato solo ai nostri clienti il prossimo 21 febbraio (troverai tutte le informazioni in dettaglio).

Ma non solo: è in arrivo una grande NOVITA’.

Ci anticipi qualcosa?

Stiamo lavorando su un “add-on” di MagNews. Lo lanceremo nelle prossime settimane per fornire ai clienti uno strumento particolarmente utile nel mutato contesto normativo. Un plus per rispondere alle esigenze emerse sul mercato, in linea con il nostro spirito: creare soluzioni tecnologiche flessibili ed efficaci, come il nostro Mail Transfer Agent proprietario (EmailSuccess), o la Marketing Automation ed il Web Tracking, o ancora, le nostre soluzioni on-premises, oltre che Saas. Tutto ciò con l’obiettivo di dare ai nostri clienti il massimo vantaggio competitivo in termini di tecnologia e business intelligence.

Per avere tutte le informazioni utili, scarica il nostro eBook di approfondimento.

A breve uscirà la guida applicativa per aiutarti nel percorso di compliance anche sulla nostra piattaforma MagNews, nel frattempo buon San Valentino!

claudia.temeroli

Claudia Temeroli è Marketing Manager di Diennea - MagNews. Laureata in Direzione Aziendale all’Università di Bologna e con un Master in Digital Marketing & Communication, Claudia ha 10 anni di esperienza nel Marketing di realtà B2B molto strutturate. Lavora in Diennea- MagNews dal 2015 maturando competenze trasversali che vanno dall’online all’offline, è speaker ad eventi di settore e formatrice della MagNews School, con una specializzazione sulle strategie di digital direct marketing.