È bene assicurarsi che la propria attività sia conforme al GDPR

Domande frequenti (FAQ)

• Che cos’è il GDPR?

  Sicuramente avrai già sentito parlare del GDPR. Il Regolamento generale sulla protezione dei dati (o, in breve, “GDPR”) è una legge europea sulla privacy entrata in vigore il 25 maggio 2018 con lo scopo di rafforzare, armonizzare e modernizzare la legge sulla protezione dei dati dell’UE e migliorare i diritti e le libertà individuali, coerentemente con la comprensione europea della privacy come diritto umano fondamentale. Il GDPR regola il modo in cui individui e organizzazioni possono ottenere, utilizzare, archiviare e condividere dati personali. Come normativa, deve essere seguita nella sua interezza in tutta l’UE.

• Tutti gli utenti devono essere conformi al GDPR?

  L’ambito di applicazione del GDPR è molto ampio. Si applica a (1) tutte le organizzazioni con sede nell’UE e (2) tutte le organizzazioni che hanno come target o monitorano individui nell’UE. Essenzialmente, ciò significa che il GDPR si applicherà alla maggior parte delle organizzazioni che trattano dati personali di individui dell’UE, indipendentemente da dove sono stabilite le loro organizzazioni e da dove hanno luogo le loro attività di trattamento. Ciò significa che il GDPR potrebbe applicarsi a qualsiasi organizzazione in qualsiasi parte del mondo, in tutti i settori. È necessario eseguire un’analisi a livello interno per determinare in che misura (se applicabile) la propria organizzazione potrebbe essere soggetta al GDPR.

• Cosa si intende per “dati personali”?

  Per dati personali si intendono tutte le informazioni relative a un individuo identificato o identificabile, ovvero le informazioni che potrebbero essere utilizzate, da sole o in combinazione con altri dati, per identificare un individuo. È bene considerare la portata estremamente ampia di tale definizione: include non solo informazioni comunemente considerate di natura personale (ad es. numeri di previdenza sociale, nomi, indirizzi fisici, indirizzi email), ma anche dati come indirizzi IP, dati comportamentali, dati di localizzazione, dati biometrici, informazioni finanziarie e molto altro. Ciò significa che, per i clienti Mailchimp, almeno la maggior parte delle informazioni che l’utente raccoglie sui propri contatti saranno considerate dati personali ai sensi del GDPR.

  L’ampia definizione comprende gli indirizzi email di lavoro contenenti il nome di un individuo o qualsiasi informazione di contatto aziendale legata a o correlata a un individuo, come il nome, la qualifica professionale, l’azienda, l’indirizzo aziendale, il numero di telefono di lavoro, ecc. dell’individuo. Al contrario, i dati personali non includono nomi commerciali generici, indirizzi commerciali, indirizzi email generici o altre informazioni commerciali generali, a condizione che tali informazioni non siano state collegate a un individuo. Quindi, ad esempio, “John.Smith@mailchimp.com” sarebbe probabilmente considerato “dato personale” regolato dal GDPR, mentre “contact@mailchimp.com” no.

  È inoltre importante notare che anche le informazioni che non possono identificare un particolare individuo da sole, ma che potrebbero essere combinate con altre informazioni per identificare un individuo (note come “dati pseudonimi”) sono considerate dati personali. Quindi, ad esempio, un indirizzo email con hash sarà comunque considerato un dato personale, anche se pseudonimizzato.

  I dati personali sensibili, come le informazioni sanitarie o le informazioni che rivelano l’origine razziale o etnica di una persona, richiedono una protezione ancora maggiore. L’utente non deve archiviare dati di questo tipo all’interno del proprio account Mailchimp.

• Cosa significa “trattare” i dati?

  Il trattamento è qualsiasi operazione eseguita sui dati personali, con o senza mezzi automatizzati. Ciò include la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, l’adattamento, il recupero, l’utilizzo, la combinazione, la cancellazione, la distruzione, la divulgazione, la diffusione o la messa a disposizione in altro modo dei dati personali.

  Fondamentalmente, se l’utente raccoglie e gestisce dati personali di individui fisicamente residenti in Europa (anche se non sono cittadini europei), sta trattando dati personali ai sensi prescritti dal GDPR. Ciò significa, ad esempio, che se uno qualsiasi dei destinatari Mailchimp dell’utente contiene l’indirizzo email, il nome o altri dati personali di un individuo situato in Europa, l’utente sta trattando dati personali ai sensi del GDPR.

• Qual è la differenza tra un titolare del trattamento e un responsabile del trattamento?

  Se l’utente tratta dati personali, lo fa in qualità di titolare del trattamento o di responsabile del trattamento e ci sono diversi requisiti e obblighi che saranno applicati all’utente in base al ruolo svolto. È importante capire se si sta agendo come titolare del trattamento o responsabile del trattamento e acquisire familiarità con le responsabilità pertinenti.

  Un titolare del trattamento è l’organizzazione che determina le finalità e i mezzi del trattamento: prende decisioni importanti come quali dati personali vengono raccolti, per quali scopi vengono utilizzati, per quanto tempo vengono conservati e con chi vengono condivisi. Un responsabile del trattamento è un’organizzazione che tratta i dati per conto del titolare del trattamento e solo secondo le sue istruzioni. Ciò significa in genere che un responsabile del trattamento non può utilizzare i dati personali per scopi diversi dalla fornitura di un servizio al titolare del trattamento pertinente.

  I titolari del trattamento mantengono la responsabilità primaria per la conformità al GDPR (incluso, ad esempio, l’obbligo di notificare agli individui il trattamento, di rispondere agli individui che esercitano i loro diritti alla privacy e di segnalare violazioni della sicurezza alle autorità di protezione dei dati); tuttavia, il GDPR prevede anche alcune responsabilità dirette per i responsabili del trattamento.

  Nel contesto di Mailchimp, nella maggior parte dei casi il nostro cliente agisce come titolare del trattamento. I nostri clienti, ad esempio, decidono quali informazioni dei loro contatti vengono caricate o trasferite nel loro account Mailchimp; indicano a Mailchimp, attraverso la nostra applicazione, di inviare email a determinati contatti nelle loro liste di distribuzione email; e indicano a Mailchimp di inserire annunci pubblicitari per loro conto su piattaforme di terze parti come Facebook o Instagram.

  Mailchimp agisce in qualità di responsabile del trattamento prestando questi e altri servizi ai nostri clienti. Ci sono alcuni casi in cui agiamo in qualità di titolare del trattamento, ad esempio quando trattiamo le informazioni dei clienti per i nostri scopi aziendali (come la gestione e la fatturazione degli account) e per il nostro progetto di analisi dei dati. È possibile trovare maggiori informazioni sui nostri progetti di analisi dei dati, incluso com’è possibile rinunciare all’analisi dei dati, qui.

• Quali sono i principi chiave del GDPR?

  Il GDPR contiene una serie di principi chiave che devono essere seguiti durante il trattamento dei dati personali per garantire la conformità. È responsabilità del titolare del trattamento garantire la conformità a questi principi chiave.

  • I dati personali devono essere trattati in modo equo, legale e trasparente: gli individui devono essere informati su come saranno utilizzati i loro dati personali e l’utente non deve mai utilizzare i dati in alcun modo che l’individuo non si aspetterebbe ragionevolmente. È inoltre necessario disporre di una base giuridica per il trattamento dei dati personali, ad esempio con il consenso dell’individuo, per soddisfare un contratto o in base ai propri legittimi interessi.
  • I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi: l’utente deve raccogliere dati personali solo per soddisfare finalità specifiche e non utilizzare i dati in modo incompatibile con tali finalità.
  • I dati personali devono essere pertinenti e limitati a quanto necessario: bisogna raccogliere solo le informazioni necessarie e non raccogliere o utilizzare dati superflui o ridondanti.
  • I dati personali devono essere accurati e aggiornati: l’utente deve assicurarsi che i dati in suo possesso siano accurati e adottare misure per rivedere e aggiornare le informazioni quando necessario.
  • I dati personali devono essere conservati solo per il tempo necessario: i dati personali devono essere conservati solo per il tempo necessario e non devono essere conservati a tempo indeterminato o “nel caso in cui servissero”.
  • I dati personali devono essere mantenuti al sicuro: è necessario implementare misure tecniche e organizzative per proteggere i dati personali in base al tipo di dati trattati e alle risorse e alla tecnologia disponibili.

  Soprattutto, l’utente deve essere in grado di dimostrare come rispetta questi principi e in che modo è responsabile.

• Quali diritti hanno le persone ai sensi del GDPR?

  Il GDPR conferisce alle persone una serie di diritti in relazione ai loro dati personali. È necessario assicurarsi di poter soddisfare questi diritti se si trattano dati personali di individui dell’UE.

  • Diritto di accesso: gli individui hanno il diritto di ricevere determinate informazioni su come i loro dati sono stati raccolti e utilizzati e di ottenere una copia dei loro dati dall’utente.
  • Diritto di rettifica: gli individui possono richiedere che i loro dati siano corretti o aggiornati in qualsiasi momento.
  • Diritto di cancellazione (il “diritto all’oblio”): in determinate circostanze, gli individui possono richiedere che i loro dati siano eliminati completamente.
  • Diritto di revocare il consenso: se l’utente ha ottenuto il consenso di un individuo al trattamento dei suoi dati personali, questi potrà revocarlo in qualsiasi momento.
  • Diritto di opposizione: in alternativa, se l’utente fa affidamento sui propri legittimi interessi per trattare i dati di un individuo, quest’ultimo può opporsi al trattamento da parte dell’utente, ed è obbligatorio interrompere tale trattamento a meno che non sia possibile dimostrare che gli interessi dell’utente prevalgono sui diritti dell’individuo.
  • Diritto di opporsi al marketing: gli individui hanno il diritto assoluto di opporsi in qualsiasi momento al trattamento dei propri dati personali per scopi di marketing.
  • Diritto di portabilità: gli individui possono richiedere il trasferimento dei propri dati a un’altra organizzazione.

  Le organizzazioni devono rispondere a tali richieste entro 1 mese o, in casi eccezionali, entro 3 mesi. Fatta eccezione per il diritto di opporsi al marketing (che è assoluto e deve quindi essere sempre rispettato), possono applicarsi alcune esenzioni ai diritti di cui sopra. Tutte le richieste devono quindi essere esaminate attentamente.

• In che modo il GDPR si applica all’email marketing?

  Per quanto riguarda le normative di email marketing in Europa, il GDPR ne rappresenta solo una parte. L’Europa ha anche una legge separata, la Direttiva sulla privacy e le comunicazioni elettroniche (o Direttiva sulla privacy elettronica), che contiene regole supplementari che regolano i requisiti di consenso per l’e-marketing, ovvero il marketing inviato tramite canali di comunicazione elettronica (come telefono, fax, email ed SMS). Quando si invia l’e-marketing, queste regole di consenso supplementare si applicano oltre alla necessità per le aziende di identificare motivi di trattamento leciti ai sensi del GDPR.

  In parole povere, queste regole richiedono il consenso opt-in per il marketing via email ed SMS, a meno che i dati di contatto di una persona non siano stati raccolti nel contesto di una vendita e alla persona sia stata data la possibilità di rinunciare in quel momento. In tal caso, l’email e il marketing via SMS di prima parte sono possibili su base opt-out (anche se l’email e il marketing via SMS di terza parte richiedono comunque l’opt-in).

  Poiché la Direttiva sulla privacy elettronica è una Direttiva, il che significa che deve essere implementata nella legge locale di ogni stato membro, è necessario controllare la legge locale dello stato membro in questione per verificare nuovamente i requisiti locali. Ad esempio, alcuni Paesi (come il Regno Unito) non hanno politiche estremamente rigide sull’email marketing B2B (che può essere fatto su base opt-out), mentre altri Paesi (come la Germania) hanno un requisito di doppio opt-in più rigoroso (vedere di seguito ulteriori informazioni).

  Tuttavia, il GDPR è comunque rilevante perché la maggior parte degli indirizzi email saranno considerati dati personali e quindi anch’essi saranno soggetti ai requisiti del GDPR. In particolare, laddove all’utente venga richiesto di ottenere il consenso di un individuo, è necessario che lo faccia in conformità al GDPR.

• Cosa dice il GDPR sul consenso?

  Grazie per averci fatto questa domanda. Il consenso non è sempre obbligatorio per trattare i dati personali di un individuo. Tuttavia, laddove venga richiesto all’utente di ottenere il consenso di un individuo (e ciò può avvenire se l’utente sta svolgendo determinate attività di email marketing), è necessario assicurarsi di ottenere il consenso in conformità ai rigorosi requisiti del GDPR:

  • Il consenso deve essere in modalità opt-in: le persone devono esprimere esplicitamente il consenso alla raccolta e all’uso dei propri dati personali. Ciò significa che il silenzio, le caselle preselezionate e gli opt-in impliciti (ovvero, l’inattività) non sono validi.
  • Il consenso deve essere informato: ciò significa che l’utente deve fornire informazioni significative agli individui sul motivo per cui sta raccogliendo le informazioni e spiegare chiaramente come intende utilizzarle. Queste informazioni devono essere fornite nel momento in cui gli individui forniscono il proprio consenso.
  • Il consenso deve essere specifico: ciò significa che deve essere ottenuto un consenso separato per diverse attività di trattamento e che l’utente non deve cercare di raggruppare scopi diversi all’interno di un solo consenso.
  • Il consenso deve essere fornito liberamente: ciò significa che gli individui devono poter fare una scelta reale al momento del consenso e il loro consenso non deve essere condizionato dalla ricezione di un prodotto o servizio.
  • Il consenso deve essere dimostrabile: non bisogna dimenticarsi che l’utente deve essere in grado di dimostrare di aver ottenuto il consenso, includendo dati come chi ha fornito il consenso, quando l’ha fatto e che informazioni sono state fornite all’individuo in quel momento.

  Infine, è bene tenere a mente che alcuni Paesi richiedono il "doppio opt-in" per effettuare email marketing. Il doppio opt-in include una fase di conferma aggiuntiva che verifica ogni indirizzo email. Sebbene ciò non sia richiesto dal GDPR o da ogni stato membro dell’UE, consigliamo di abilitare il doppio opt-in quando si inviano comunicazioni di marketing elettroniche a individui dell’UE.

• Il GDPR regola i trasferimenti di dati transfrontalieri?

  Sì, il GDPR contiene disposizioni che riguardano il trasferimento di dati personali dagli Stati membri dell’UE a Paesi terzi, come gli Stati Uniti. Il GDPR non contiene alcun requisito specifico che prevede che i dati personali degli individui dell’UE debbano essere conservati solo negli Stati membri dell’UE. Piuttosto, il GDPR richiede che vengano soddisfatte determinate condizioni prima che i dati personali vengano trasferiti al di fuori dell’UE, identificando una serie di meccanismi diversi che le organizzazioni possono utilizzare per eseguire trasferimenti transfrontalieri di dati: decisioni di adeguatezza, clausole contrattuali standard, regole aziendali vincolanti, meccanismi di certificazione e codici di condotta. Lo scopo principale di questi meccanismi è garantire che, quando i dati personali degli europei vengono trasferiti all’estero, questi dati viaggino protetti.

  Una decisione di adeguatezza è una decisione della Commissione europea secondo cui il Paese o territorio in cui vengono trasferiti i dati personali fornisce un livello adeguato di protezione. Prima della decisione del 2020 di invalidare gli accordi scudo per la privacy UE-USA e Svizzera-USA, l’accordo scudo per la privacy UE-USA era un esempio di decisione di adeguatezza.

  A partire dal 10 luglio 2023, la Commissione europea ha adottato un nuovo accordo sulla privacy dei dati (DPF) UE-USA, che garantisce l’adeguatezza agli Stati Uniti. Le parti precedentemente certificate ai sensi dell’accordo scudo per la privacy UE-USA e impegnate a sostenere i principi del DPF possono ora fare affidamento su questa decisione di adeguatezza per trasferire i dati dall’UE agli Stati Uniti. Mailchimp è una di queste società e continuerà a proteggere i dati del SEE, del Regno Unito e della Svizzera in conformità ai propri obblighi di certificazione.

  Inoltre, Mailchimp si impegna contrattualmente a trasferire ed elaborare tutti i dati della Svizzera, dell’UE e del Regno Unito dei suoi utenti in conformità con le clausole contrattuali standard dell’UE, che rimangono un valido meccanismo di esportazione dei dati e che si applicano automaticamente in conformità con l’Addendum sul trattamento dei dati di Mailchimp.

  In caso di trasferimento di dati personali ad altre organizzazioni con sede al di fuori dell’UE, è necessario assicurarsi di disporre di un motivo appropriato per eseguire il trasferimento transfrontaliero dei dati, come una decisione di adeguatezza o clausole contrattuali standard approvate dalla Commissione europea.

• Il GDPR si applica ancora al Regno Unito dopo la Brexit?

  Il GDPR dell’UE è un regolamento dell’UE e non si applica più al Regno Unito. Tuttavia, qualsiasi azienda che operi all’interno del Regno Unito deve rispettare la legge sulla protezione dei dati del Regno Unito. Il GDPR è stato incorporato nella legge sulla protezione dei dati del Regno Unito come GDPR del Regno Unito, quindi in pratica vi sono pochi cambiamenti ai principi, ai diritti e agli obblighi fondamentali sulla protezione dei dati nel GDPR del Regno Unito.

  Inoltre, è bene ricordare che se l’utente risiede nel Regno Unito ma ha come target o monitora individui dell’UE sarà comunque soggetto al GDPR anche dopo la fine del periodo di transizione.

• Cosa succede se l’utente non rispetta il GDPR?

  La mancata conformità al GDPR può comportare pesanti sanzioni finanziarie. Le sanzioni per la non conformità possono arrivare a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale sia il valore più alto.

• Perché la protezione dei dati è importante?

  La protezione dei dati offre diversi vantaggi oltre al fatto che, in base alle tue operazioni commerciali, il rispetto di determinate leggi in materia potrebbe essere obbligatorio. Seguire le best practice di protezione dei dati è particolarmente importante se la tua attività tratta dati personali dei clienti.

  L’impegno a proteggere i dati dei clienti aiuta a creare fiducia nei clienti, il che contribuisce a fidelizzarli e a ridurre i costi di acquisizione di nuovi clienti.

  La protezione dei dati è importante anche perché può aiutarti a cambiare il modo in cui gestisci i dati e ti garantisce che siano sicuri ma sempre disponibili. Una corretta raccolta e gestione dei dati è il principio chiave della protezione dei dati, quindi proteggere i dati e implementare aspetti come il consenso GDPR può aiutarti a migliorare la gestione dei dati nel suo complesso. Ciò significa che i dati sono sempre disponibili quando tu o i tuoi clienti ne avete bisogno, in modo che le operazioni commerciali non subiscano interruzioni.

• Quali sono i vantaggi del consenso GDPR?

  Innanzitutto, è essenziale che tu segua il GDPR, se ciò è obbligatorio in base ai dati che raccogli. Se la tua attività raccoglie dati personali da chiunque nell’UE, il consenso GDPR è importante per garantire che tu raccolga tali dati legalmente.

  Uno dei vantaggi della conformità al GDPR è una migliore gestione dei dati. Se usi il consenso GDPR e raccogli i dati in conformità al GDPR, hai anche l’opportunità di adottare best practice nella gestione dei dati che, magari, non utilizzavi in passato. La conformità al GDPR ti impone di raccogliere, archiviare e gestire i dati in un certo modo e, di conseguenza, ti aiuta anche a migliorare la tua gestione dei dati. Se hai già cominciato la revisione dei tuoi processi di raccolta e gestione dei dati, puoi cogliere la palla al balzo e assicurarti di essere anche al passo con la conformità al GDPR.

• Come individuo, devo rispettare il GDPR?

  Come individuo, devi preservare la conformità al GDPR fintanto che ne soddisfi i criteri. Se raccogli dati personali da soggetti residenti nell’UE, devi rispettare il GDPR per quanto riguarda la raccolta, l’archiviazione e la gestione di tali dati personali. Detto questo, ci sono alcuni casi in cui un individuo non è tenuto a preservare la conformità al GDPR anche se raccoglie dati da persone nell’UE.

  Uno degli aspetti più importanti da tenere a mente è che alcuni tipi di raccolte dati sono esentati dal GDPR. Essenzialmente, è obbligatorio seguire le linee guida del GDPR solo se si raccolgono informazioni personali da persone residenti nell’UE per scopi commerciali. Altri tipi di raccolta dei dati non sono soggetti alle linee guida del GDPR. Ciò include la raccolta di dati personali, come liste di numeri di telefono, indirizzi e altre informazioni destinate all’uso personale o domestico. Detto questo, è comunque una buona idea preservare la conformità al GDPR se raccogli qualsiasi tipo di dati dai residenti dell’UE. Come minimo, preservare la conformità al GDPR ti aiuta ad assicurarti che i tuoi sistemi di protezione e gestione dei dati siano aggiornati.

  Se sei un individuo ma non raccogli dati da persone nell’UE, non devi preoccuparti della conformità al GDPR. Tuttavia, seguire le linee guida del GDPR in materia di marketing e protezione dei dati può aiutarti a proteggere i dati privati dei tuoi clienti, il che ha un impatto notevole in termini di aumento della fidelizzazione dei clienti e della reputazione del tuo brand.

  Anche come individuo, è importante capire se devi preservare la conformità al GDPR oppure no. A volte può sembrare di raccogliere una piccola quantità di dati che non è di grande valore, ma la protezione dei dati è fondamentale quando si parla di qualsiasi tipo di dati personali.

• Esistono altre normative di protezione dei dati, oltre al GDPR, che è necessario seguire?

  Il GDPR potrebbe essere solo una delle leggi che gli utenti dovranno comprendere per la loro attività, specialmente se trattano i dati personali di persone al di fuori dell’UE. Stati, Paesi e province diversi hanno in vigore leggi diverse, quindi le normative che bisogna seguire variano a seconda delle proprie operazioni commerciali e del tipo e natura di dati che vengono trattati.

  Ad esempio, lo stato della California ha in vigore la legge sulla protezione dei dati probabilmente più nota negli Stati Uniti, chiamata California Consumer Privacy Act (CCPA). Anche vari Stati diversi dalla California hanno leggi sulla protezione dei dati che sono modellate in modo simile al CCPA o al GDPR. Ovviamente, l’utente potrebbe comunque avere l’obbligo di preservare la conformità al GDPR e seguire le altre normative se opera al di fuori degli Stati Uniti ma raccoglie dati da clienti in alcuni stati che impongono requisiti aggiuntivi rispetto a quelli previsti dal GDPR.

  Esiste anche una legge canadese sulla protezione dei dati chiamata Personal Information Protection and Electronic Documents Act (PIPEDA). Questa legge è spesso indicata come l’equivalente canadese del GDPR, quindi preservare la conformità al PIPEDA è importante per molte attività. Come per la conformità al GDPR, devi preservare la conformità al PIPEDA se raccogli, utilizzi o divulghi le informazioni personali di cittadini canadesi per scopi commerciali. Inoltre, come per gli Stati Uniti, esistono anche leggi provinciali sulla protezione dei dati in Canada che possono influire sull’attività aziendale dell’utente

  Infine, ci sono moltissime normative che interessano la gestione di un’attività, sia questa online oppure no. Ad esempio, se l’utente ha una campagna di email marketing negli Stati Uniti, deve seguire il CAN-SPAM Act del 2003 e ci sono leggi equivalenti in molti altri Paesi. Se si opera molto a livello internazionale, è bene valutare se consultare un esperto per capire quali leggi bisogna seguire per proteggere i dati dei propri clienti.