Assicuratevi che la vostra azienda sia conforme al GDPR

Domande frequenti

• Che cos'è il GDPR?

  Sospettiamo che abbiate sentito parlare del GDPR. Il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, in breve "GDPR") è una legge europea sulla privacy entrata in vigore il 25 maggio 2018, con l'obiettivo di rafforzare, armonizzare e modernizzare la normativa dell'UE sulla protezione dei dati e migliorare i diritti e le libertà individuali, in linea con la concezione europea della privacy come diritto umano fondamentale. Il GDPR regolamenta le modalità con cui gli individui e le organizzazioni possono ottenere, utilizzare, conservare e condividere i dati personali. In quanto regolamento, deve essere seguito nella sua interezza in tutta l'UE.

• Il GDPR si applica a me?

  Il campo di applicazione del GDPR è molto ampio. Si applica a (1) tutte le organizzazioni con sede nell'UE e (2) a tutte le organizzazioni che si rivolgono o monitorano individui nell'UE. In sostanza, ciò significa che il GDPR si applicherà alla maggior parte delle organizzazioni che trattano dati personali di individui dell'UE, indipendentemente dal luogo in cui l'organizzazione ha sede e dal luogo in cui si svolgono le attività di trattamento. Ciò significa che il GDPR potrebbe essere applicato a qualsiasi organizzazione in tutto il mondo, in tutti i settori e le industrie. Dovete eseguire la vostra analisi per determinare in che misura (se del caso) la vostra organizzazione può essere soggetta al GDPR.

• Cosa si intende per "dati personali"?

  Per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile, ovvero le informazioni che possono essere utilizzate, da sole o insieme ad altri dati, per identificare una persona. Considerate la portata estremamente ampia di questa definizione: comprende non solo le informazioni comunemente considerate di natura personale (ad esempio, numeri di previdenza sociale, nomi, indirizzi fisici, indirizzi e-mail), ma anche dati come indirizzi IP, dati comportamentali, dati di localizzazione, dati biometrici, informazioni finanziarie e molto altro. Ciò significa che, per i clienti di Mailchimp, almeno la maggior parte delle informazioni raccolte sui propri contatti saranno considerate dati personali ai sensi del GDPR.

  L'ampia definizione comprende gli indirizzi e-mail di lavoro che contengono il nome di un individuo o qualsiasi informazione di contatto aziendale legata o correlata a un individuo, come il nome, il titolo di lavoro, l'azienda, l'indirizzo di lavoro, il numero di telefono di lavoro, ecc. I dati personali, invece, non includono nomi di aziende generiche, indirizzi di aziende, indirizzi e-mail generici o altre informazioni aziendali generiche, a patto che queste informazioni non siano state collegate a una persona. Quindi, ad esempio, "John.Smith@mailchimp.com " molto probabilmente saranno considerati "dati personali" regolati dal GDPR mentre "contact@mailchimp.com " non lo farebbe.

  È inoltre importante notare che anche le informazioni che non possono identificare un particolare individuo da sole, ma che potrebbero essere combinate con altre informazioni per identificare un individuo (note come "dati pseudonimi") sono considerate dati personali. Quindi, ad esempio, un indirizzo e-mail con hashtag sarà ancora considerato un dato personale, anche se pseudonimizzato.

  I dati personali sensibili, come le informazioni sulla salute o quelle che rivelano l'origine razziale o etnica di una persona, richiedono una protezione ancora maggiore. Non è consentito memorizzare dati di questo tipo all'interno del proprio account Mailchimp.

• Cosa significa "elaborare" i dati?

  Per trattamento si intende qualsiasi operazione eseguita sui dati personali, con o senza mezzi automatizzati. Ciò comprende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, il recupero, l'utilizzo, la combinazione, la cancellazione, la distruzione, la divulgazione, la diffusione o la messa a disposizione in altro modo dei dati personali.

  In sostanza, se raccogliete e gestite dati personali di persone che risiedono fisicamente in Europa (anche se non sono cittadini), state trattando dati personali ai sensi del GDPR. Ciò significa, ad esempio, che se uno qualsiasi dei vostri pubblici Mailchimp contiene l'indirizzo e-mail, il nome o altri dati personali di un individuo situato in Europa, allora state trattando dati personali ai sensi del GDPR.

• Qual è la differenza tra un responsabile e un incaricato del trattamento dei dati?

  Se trattate dati personali, lo fate come responsabile del trattamento o come incaricato del trattamento, e ci sono requisiti e obblighi diversi che si applicano a seconda del ruolo che svolgete. È importante capire se si agisce come responsabile del trattamento o come incaricato del trattamento e familiarizzare con le responsabilità che vi competono.

  Il responsabile del trattamento è l'organizzazione che determina le finalità e i mezzi del trattamento: prende le decisioni importanti come la raccolta dei dati personali, il loro utilizzo, la durata della loro conservazione e la loro condivisione. Un incaricato del trattamento è un'organizzazione che elabora i dati per conto del responsabile del trattamento e solo in base alle istruzioni di quest'ultimo. Ciò significa che un incaricato del trattamento non può utilizzare i dati personali per scopi diversi dalla fornitura di un servizio al responsabile del trattamento.

  I responsabili del trattamento mantengono la responsabilità primaria per la conformità al GDPR (compreso, ad esempio, l'obbligo di informare le persone sul trattamento, di rispondere alle persone che esercitano i loro diritti alla privacy e di segnalare le violazioni della sicurezza alle autorità di protezione dei dati); tuttavia, il GDPR attribuisce anche alcune responsabilità dirette ai responsabili del trattamento.

  Nel contesto di Mailchimp, nella maggior parte dei casi il nostro cliente agisce come responsabile del trattamento. I nostri clienti, ad esempio, decidono quali informazioni dei loro contatti vengono caricate o trasferite nel loro account Mailchimp; indirizzano Mailchimp, attraverso la nostra applicazione, a inviare e-mail a determinati contatti presenti nelle loro liste di distribuzione e-mail; e incaricano Mailchimp di inserire annunci pubblicitari per loro conto su piattaforme di terze parti come Facebook o Instagram.

  Mailchimp agisce in qualità di incaricato del trattamento eseguendo questi e altri servizi per i nostri clienti. In alcuni casi agiamo in qualità di responsabile del trattamento, ad esempio quando trattiamo le informazioni dei clienti per i nostri scopi commerciali (come la gestione dei conti e la fatturazione) e per il nostro progetto di analisi dei dati. Per ulteriori informazioni sui nostri progetti di analisi dei dati e sulle modalità di esclusione, potete consultare il sito.

• Quali sono i principi chiave del GDPR?

  Il GDPR contiene una serie di principi chiave che devono essere seguiti nel trattamento dei dati personali per garantire la conformità. È responsabilità del responsabile del trattamento garantire la conformità a questi principi chiave.

  • I dati personali devono essere trattati in modo equo, legale e trasparente : Le persone devono essere informate su come verranno utilizzati i loro dati personali e non si devono mai utilizzare i dati in un modo che l'individuo non si aspetterebbe ragionevolmente. Dovete anche avere una base legale per il trattamento dei dati personali, ad esempio con il consenso dell'individuo, per soddisfare un contratto o sulla base dei vostri legittimi interessi.
  • I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi : Dovete raccogliere i dati personali solo per soddisfare finalità specifiche e non utilizzare i dati in modo incompatibile con tali finalità.
  • I dati personali devono essere pertinenti e limitati a quanto necessario : Dovete raccogliere solo le informazioni necessarie e non raccogliere o utilizzare dati inutili o ridondanti.
  • I dati personali devono essere accurati e aggiornati: dovete assicurarvi che i dati in vostro possesso siano accurati e adottare misure per rivedere e aggiornare le informazioni quando necessario.
  • I dati personali devono essere conservati solo per il tempo necessario : I dati personali devono essere conservati solo per il tempo necessario e non devono essere conservati a tempo indeterminato o "per ogni evenienza".
  • I dati personali devono essere mantenuti sicuri e protetti : Dovete implementare misure tecniche e organizzative per proteggere i dati personali in base al tipo di dati trattati e alle risorse e tecnologie disponibili.

  Soprattutto, dovete essere in grado di dimostrare come rispettate questi principi e come siete responsabili.

• Quali sono i diritti delle persone ai sensi del GDPR?

  Il GDPR conferisce alle persone una serie di diritti in relazione ai loro dati personali. Dovete assicurarvi di poter soddisfare questi diritti se trattate dati personali di persone dell'UE.

  • Diritto di accesso : Le persone hanno il diritto di ricevere determinate informazioni su come i loro dati sono stati raccolti e utilizzati e di ottenere una copia dei loro dati da voi.
  • Diritto di rettifica : Le persone possono richiedere la rettifica o l'aggiornamento dei propri dati in qualsiasi momento.
  • Diritto di cancellazione (il "diritto all'oblio") : In determinate circostanze, le persone possono richiedere la cancellazione totale dei propri dati.
  • Diritto di ritirare il consenso : Se avete ottenuto il consenso al trattamento dei dati personali di una persona, questa può ritirarlo in qualsiasi momento.
  • Diritto di opposizione : In alternativa, se vi basate sui vostri interessi legittimi per trattare i dati di un individuo, quest'ultimo può opporsi al vostro trattamento e voi dovete interromperlo, a meno che non possiate dimostrare che i vostri interessi prevalgono sugli interessi e sui diritti dell'individuo.
  • Diritto di opposizione al marketing : Le persone hanno il diritto assoluto di opporsi in qualsiasi momento al trattamento dei loro dati personali a fini di marketing.
  • Diritto alla portabilità : Le persone possono chiedere che i loro dati vengano trasferiti a un'altra organizzazione.

  Le organizzazioni devono rispondere a queste richieste entro 1 mese o, in casi eccezionali, entro 3 mesi. Ad eccezione del diritto di opposizione al marketing (che è assoluto e deve quindi essere sempre rispettato), possono essere applicate alcune esenzioni ai diritti di cui sopra. Tutte le richieste devono quindi essere esaminate con attenzione.

• Come si applica il GDPR all'email marketing?

  Per quanto riguarda la regolamentazione dell'email marketing in Europa, il GDPR è solo metà della storia. L'Europa ha anche una legge separata, la Direttiva sulla privacy e le comunicazioni elettroniche (o Direttiva e-Privacy), che contiene norme supplementari che regolano i requisiti di consenso per l'e-marketing, cioè il marketing inviato attraverso canali di comunicazione elettronici (come telefono, fax, e-mail e SMS). Quando si invia e-marketing, queste regole di consenso supplementari si applicano in aggiunta alla necessità per le aziende di identificare motivi di trattamento legittimi ai sensi del GDPR.

  In parole povere, queste regole richiedono il consenso opt-in per il marketing via e-mail e SMS, a meno che i dati di contatto di un individuo non siano stati raccolti nel contesto di una vendita e l'individuo abbia avuto la possibilità di rinunciare in quel momento. In tal caso, il marketing via e-mail e SMS di prima parte è possibile su base opt-out (sebbene il marketing via e-mail e SMS di terza parte richieda comunque l'opt-in).

  Poiché la Direttiva e-Privacy è una Direttiva, il che significa che deve essere implementata nella legislazione locale di ogni Stato membro, è necessario controllare la legislazione locale degli Stati membri per verificare i requisiti locali. Ad esempio, alcuni Paesi (come il Regno Unito) sono più tranquilli per quanto riguarda l'email marketing B2B (che può essere fatto su base opt-out), mentre altri Paesi (come la Germania) hanno un requisito più severo di doppio opt-in (si veda più avanti).

  Tuttavia, il GDPR è ancora rilevante perché la maggior parte degli indirizzi e-mail sarà considerata un dato personale e quindi soggetta ai requisiti del GDPR. In particolare, quando vi viene richiesto di ottenere il consenso di un individuo, dovete farlo in conformità al GDPR.

• Cosa dice il GDPR sul consenso?

  Siamo lieti che ce lo abbia chiesto. Il consenso non è sempre necessario per trattare i dati personali di una persona. Tuttavia, se vi è richiesto di ottenere il consenso dell'individuo (il che può valere se state effettuando un certo tipo di marketing via e-mail), dovete assicurarvi di ottenere il consenso in conformità ai severi requisiti del GDPR:

  • Il consenso deve essere di tipo opt-in : le persone devono acconsentire esplicitamente alla raccolta e all'utilizzo dei loro dati personali. Ciò significa che il silenzio, le caselle pre-selezionate e gli opt-in impliciti (cioè l'inattività) non sono validi.
  • Il consenso deve essere informato : Ciò significa che dovete fornire informazioni significative alle persone sul motivo per cui state raccogliendo le informazioni e spiegare chiaramente come intendete utilizzarle. Queste informazioni devono essere fornite nel momento in cui le persone danno il loro consenso.
  • Il consenso deve essere specifico : Ciò significa che si deve ottenere un consenso separato per le diverse attività di trattamento e non si deve cercare di raggruppare diverse finalità in un unico consenso.
  • Il consenso deve essere dato liberamente : Ciò significa che le persone devono avere una vera e propria scelta quando acconsentono e il loro consenso non deve essere condizionato alla ricezione di un prodotto o di un servizio.
  • Il consenso deve essere dimostrabile : Non dimenticate che dovete essere in grado di dimostrare di aver ottenuto il consenso, indicando chi ha acconsentito, quando e quali informazioni sono state fornite all'individuo in quel momento.

  Infine, tenete presente che alcuni Paesi richiedono il consenso di "double opt-in" per effettuare l'email marketing. Il doppio opt-in comporta un'ulteriore fase di conferma che verifica ogni indirizzo e-mail. Sebbene ciò non sia richiesto dal GDPR o da tutti gli Stati membri dell'UE, vi consigliamo di attivare il doppio opt-in quando inviate comunicazioni di marketing elettronico a persone dell'UE.

• Il GDPR dice qualcosa sui trasferimenti transfrontalieri di dati?

  Sì, il GDPR contiene disposizioni che riguardano il trasferimento di dati personali dagli Stati membri dell'UE a Paesi terzi, come gli Stati Uniti. Il GDPR non contiene alcun requisito specifico che imponga di conservare i dati personali degli individui dell'UE solo negli Stati membri dell'UE. Il GDPR richiede piuttosto che vengano soddisfatte determinate condizioni prima che i dati personali vengano trasferiti al di fuori dell'UE, identificando una serie di meccanismi diversi che le organizzazioni possono utilizzare per effettuare trasferimenti transfrontalieri di dati: decisioni di adeguatezza, clausole contrattuali standard, regole aziendali vincolanti, meccanismi di certificazione e codici di condotta. Lo scopo principale di questi meccanismi è quello di garantire che quando i dati personali dei cittadini europei vengono trasferiti all'estero, la protezione viaggi con i dati.

  Una decisione di adeguatezza è una decisione della Commissione europea secondo cui il Paese o territorio in cui vengono trasferiti i dati personali fornisce un livello adeguato di protezione. Prima della decisione del 2020 di invalidare gli accordi sulla privacy dei dati UE-USA e Svizzera-USA, l'accordo sulla privacy dei dati UE-USA era un esempio di decisione di adeguatezza.

  Con effetto dal 10 luglio 2023, la Commissione europea ha adottato un nuovo quadro normativo UE-USA sulla privacy dei dati (DPF), concedendo l'adeguatezza agli Stati Uniti. Le parti precedentemente certificate nell'ambito del quadro dello scudo per la privacy UE-USA e impegnate a rispettare i principi del DPF possono ora fare affidamento su questa decisione di adeguatezza per trasferire dati dall'UE agli Stati Uniti. Mailchimp è una di queste aziende e continuerà a proteggere i dati del SEE, del Regno Unito e della Svizzera in conformità con i suoi obblighi di certificazione.

  Inoltre, Mailchimp si impegna contrattualmente a trasferire ed elaborare tutti i dati dell'UE, della Svizzera e del Regno Unito dei suoi utenti in conformità con le clausole contrattuali standard dell’UE, che rimangono un valido meccanismo di esportazione dei dati e che si applicano automaticamente in conformità con l’Addendum sul trattamento dei dati di Mailchimp. Scopri di più sulla nostra certificazione DPF qui.

  Se state trasferendo dati personali ad altre organizzazioni situate al di fuori dell'UE, dovete assicurarvi di avere una motivazione adeguata per effettuare il trasferimento transfrontaliero dei dati, come una decisione di adeguatezza o clausole contrattuali standard approvate dalla Commissione Europea.

• Il GDPR si applica ancora al Regno Unito dopo la Brexit?

  Il GDPR è un regolamento dell'UE e non si applica più al Regno Unito. Tuttavia, qualsiasi azienda che operi all'interno del Regno Unito deve rispettare la legge britannica sulla protezione dei dati. Il GDPR è stato incorporato nella legge britannica sulla protezione dei dati come GDPR del Regno Unito: in pratica, i principi, i diritti e gli obblighi fondamentali in materia di protezione dei dati contenuti nel GDPR del Regno Unito sono rimasti invariati.

  Inoltre, ricordate che se avete sede nel Regno Unito ma vi rivolgete o monitorate individui dell'UE, sarete ancora soggetti al GDPR anche dopo la fine del periodo di transizione.

• Cosa succede se non si rispetta il GDPR?

  La mancata conformità al GDPR può comportare ingenti sanzioni finanziarie. Le sanzioni in caso di non conformità possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, se superiore.

• Perché è importante la protezione dei dati?

  A parte il fatto che potreste essere tenuti a rispettare determinate leggi sulla protezione dei dati in base alle vostre attività commerciali, la protezione dei dati offre diversi vantaggi. Seguire le migliori pratiche di protezione dei dati è particolarmente importante se la vostra azienda tratta i dati personali dei clienti.

  L'impegno a proteggere i dati dei clienti contribuisce a creare un rapporto di fiducia con i clienti, il che consente di mantenerli a lungo e di ridurre i costi di acquisizione dei clienti.

  La protezione dei dati è ottima anche perché può aiutarvi a cambiare il modo in cui gestite i vostri dati e a garantire che siano sicuri ma sempre prontamente disponibili. La raccolta e la gestione corretta dei dati sono le pietre miliari della protezione dei dati, quindi la protezione dei dati e l'implementazione di elementi come il consenso GDPR possono aiutarvi a migliorare la gestione dei dati nel suo complesso. Ciò significa che i dati sono sempre disponibili quando voi o i vostri clienti ne avete bisogno, in modo da non interrompere le operazioni aziendali.

• Quali sono i vantaggi del consenso GDPR?

  Prima di tutto, è essenziale che seguiate il GDPR se siete tenuti a farlo in base ai dati che raccogliete. Se la vostra azienda raccoglie dati personali da chiunque si trovi nell'UE, il consenso GDPR può essere un elemento importante per assicurarsi di raccogliere tali dati in modo legale.

  Una migliore gestione dei dati è un vantaggio della conformità al GDPR. Quando utilizzate il consenso GDPR e raccogliete i dati secondo il GDPR, avete anche l'opportunità di adottare best practice di gestione dei dati che forse non avete mai utilizzato prima. Inoltre, poiché la conformità al GDPR richiede la raccolta, l'archiviazione e la gestione dei dati in un modo particolare, aiuta a migliorare la gestione dei dati per impostazione predefinita. Se state già rivedendo i vostri processi di raccolta e gestione dei dati, potete cogliere l'occasione per assicurarvi di essere in regola anche con il GDPR.

• Come individuo, devo conformarmi al GDPR?

  In quanto individuo, siete tenuti a mantenere la conformità al GDPR finché soddisfate i criteri. Finché raccogliete dati personali di persone residenti nell'UE, siete tenuti a rispettare il GDPR per quanto riguarda la raccolta, l'archiviazione e la gestione di tali dati personali. Detto questo, ci sono alcuni casi in cui un individuo non è tenuto a mantenere la conformità al GDPR anche se sta raccogliendo dati da persone nell'UE.

  Una delle cose più importanti da tenere a mente è che alcuni tipi di raccolta dati sono esenti dal GDPR. In sostanza, siete tenuti a seguire le linee guida del GDPR solo se state raccogliendo informazioni personali da persone situate nell'UE per scopi commerciali. Altri tipi di raccolta dati non sono soggetti alle linee guida del GDPR. Ciò include la raccolta di dati personali, come elenchi di numeri di telefono, indirizzi e altre informazioni destinate all'uso personale o domestico. Detto questo, è comunque una buona idea mantenere la conformità al GDPR se si raccolgono dati di qualsiasi tipo da residenti nell'UE. Come minimo, il mantenimento della conformità al GDPR vi aiuterà ad assicurarvi che i vostri sistemi di gestione e protezione dei dati siano aggiornati.

  Se siete un privato, ma non state raccogliendo dati da persone nell'UE, non dovete preoccuparvi della conformità al GDPR. Tuttavia, seguire le linee guida del GDPR per il marketing e la protezione dei dati può aiutarvi a garantire la protezione dei dati privati dei clienti, il che contribuisce ad aumentare la fedeltà dei clienti e a migliorare la reputazione del vostro marchio.

  Anche come individuo, è importante capire se siete tenuti o meno a mantenere la conformità al GDPR. Potreste pensare di raccogliere una piccola quantità di dati non particolarmente preziosi, ma la protezione dei dati è fondamentale quando si ha a che fare con qualsiasi tipo di dati personali.

• Ci sono altre norme sulla protezione dei dati oltre al GDPR che devo seguire?

  Il GDPR può essere solo una delle leggi che dovrete comprendere per la vostra attività, soprattutto se trattate i dati personali di persone al di fuori dell'UE. Stati, province e Paesi diversi hanno leggi diverse, quindi le norme da seguire variano a seconda delle attività aziendali e del tipo di dati trattati.

  Ad esempio, in California vige quella che potrebbe essere la legge sulla protezione dei dati più nota degli Stati Uniti, chiamata California Consumer Privacy Act(CCPA). Anche altri Stati oltre alla California hanno leggi sulla protezione dei dati che sono modellate in modo simile al CCPA o al GDPR. Naturalmente, se si opera al di fuori degli Stati Uniti, si può essere tenuti a mantenere la conformità al GDPR e a seguire altre normative, ma la raccolta dei dati dei clienti in alcuni Stati imporrà requisiti aggiuntivi rispetto a quelli previsti dal GDPR.

  Esiste anche una legge canadese sulla protezione dei dati, chiamata PIPEDA ( Personal Information Protection and Electronic Documents Act ). Questa legge viene spesso definita come l'equivalente canadese del GDPR, quindi mantenere la conformità al PIPEDA è importante anche per molte aziende. Come per la conformità al GDPR, siete tenuti a mantenere la conformità al PIPEDA se raccogliete, utilizzate o divulgate le informazioni personali di cittadini canadesi per scopi commerciali. Inoltre, come negli Stati Uniti, anche in Canada esistono leggi provinciali sulla protezione dei dati che possono avere un impatto sulla vostra attività commerciale.

  Infine, ci sono innumerevoli regolamenti quando si tratta di gestire un'azienda, sia che si tratti di un'attività online o meno. Per esempio, se avete una campagna di email marketing negli Stati Uniti, dovete seguire il CAN-SPAM Act del 2003, e ci sono leggi equivalenti in molti altri Paesi. . Se fate molti affari a livello internazionale, vale la pena di parlare con un esperto per sapere quali leggi siete tenuti a seguire per proteggere i dati dei vostri clienti.