News e
Eventi
GDPR: cosa fare adesso che è in vigore in due casi concreti
#pagusnews Torna Indietro

GDPR: cosa fare adesso che è in vigore in due casi concreti

Il Regolamento europeo 2016/679, meglio noto con la sigla inglese GDPR (General Data Protection Regulation), è finalmente entrato in vigore. Se come noi, lavorate in agenzia, o se siete dei freelance, sappiamo cosa avete passato, tra aggiornamenti della privacy policy dei siti e newsletter per confermare il consenso all’iscrizione dei contatti.

Ora che voi e i vostri clienti siete “GDPR compliant”, la protezione dei dati personali deve essere uno degli obiettivi di ogni attività o progetto che ne comporta il trattamento. Se ci seguirete nella lettura, vi proporremo due casi concreti e vi spiegheremo come comportarvi per essere a norma.

Per iniziare, vi ricordiamo velocemente chi possono essere le figure coinvolte, ovvero:

Titolare del trattamento: è «l’organizzazione che ha bisogno del processo stesso e quindi lo ha ideato, promosso e debitamente finanziato».1 In altre parole, è il vostro cliente, che vi dà l’incarico, per esempio, di gestire una campagna di lead generation su Facebook.

Responsabile del trattamento: «la persona o l’organizzazione che determina le finalità e i mezzi del trattamento, cioè che lo mette in atto o istruisce in modo preciso chi lo mette in atto (il cosiddetto sub-fornitore) ».Siamo noi di Pagus Media e siete voi.

Ora che abbiamo chiaro chi sono gli attori, passiamo a vedere due casi quotidiani in cui vi state occupando di trattamento dei dati. Una premessa: con “trattamento” si intende anche la semplice detenzione. Ecco perché vi abbiamo proposto questi due casi.

Candidature

Sembrerà banale ricordarlo ma i curricula che ricevete devono contenere la formula di autorizzazione al trattamento dei dati personali (“D. Lgs 196/2003 e successive modifiche”, così da includere anche il GDPR). Qualora mancasse avete due alternative:

  • chiedere il consenso all’interessato

  • eliminare la mail, se il profilo non è di vostro interesse.

In ogni caso, il GDPR prescrive di tenere i dati solo per il tempo necessario all’espletamento dell’incarico. Come fare per non dimenticarsene? Il nostro consiglio è quello di eliminare la mail con la candidatura, dopo aver stampato il curriculum e la lettera di presentazione. Archiviate tutto in una cartellina, posta in un luogo sicuro e accessibile solo a chi si occupa della selezione del personale. Almeno una volta all’anno, eliminate i curricula vecchi, che ormai sono certamente inutili.

Campagna di lead generation

Quando fate una campagna di lead generation per un vostro cliente, il modo più sicuro per voi sarebbe quello di non aver accesso ai contatti che raccogliete, per esempio, facendoli atterrare direttamente nel CRM del vostro cliente.

Sappiamo bene che spesso non è possibile: per esempio in una campagna lead su Facebook, potete sì connettere un CRM (per esempio Mailchimp) e farvi confluire direttamente i dati ma i contatti sono comunque scaricabili dalla Fan Page, ovvero ne avete accesso, in quanto amministratori della Pagina. E se avete accesso ai dati che raccogliete, diventate a tutti gli effetti Responsabili del trattamento, perciò è vostro compito dimostrare di essere in grado di svolgere l’attività in modo conforme.

Se vi occupate del download dei lead da inviare periodicamente al cliente, il nostro consiglio è quello di dimostrare che il trattamento avviene in modo conforme fino alla consegna dei dati nelle sue mani. Da qual momento in poi, ricordategli sempre di farne un uso conforme al consenso rilasciato dagli utenti.

Per concludere

Come ricorda Alberto Pattono nel suo libro: «Il GDPR è un processo, non un atto».2 Le aziende e i professionisti italiani sono abituati ad adempire a una norma in un’unica soluzione. Il GDPR invece è un flusso, e come tale richiede costanti verifiche sulle modifiche, a partire dalla procedura di raccolta e trattamento dei dati, ma anche nelle sue finalità.

1 Alberto Pattono, GDPR. Lo stretto indispensabile per le PMI: Cosa devono davvero fare le piccole imprese per adeguarsi al Regolamento europeo per la protezione dei dati personali (RGPD 2016/679), 2018, pag. 6.

2 A. Pattono, GDPR. Lo stretto indispensabile per le PMI, pag. 4.

GDPR: cosa fare adesso che è in vigore in due casi concreti
In Evidenza

Articoli Correlati

Contattaci

Vuoi saperne di più?
Scrivici.

Scrivi qui la tua richiesta

INFORMATIVA AI SENSI DEL GDPR 679/2016
I dati personali da Lei forniti: nome, cognome, indirizzo email, numero di telefono ed azienda, sono raccolti al fine di dare esecuzione alla Sua richiesta di informazioni.
Il Titolare del trattamento dei dati è la Società Pagus Media s.r.l. Unipersonale con sede a Vicenza in Via Vecchia Ferriera 5.
I dati saranno trattati sia manualmente, sia con l’ausilio di strumenti elettronici (presenti fisicamente sul territorio italiano). Ogni precauzione è stata messa in atto per minimizzare il rischio di accesso indebito, cancellazione, modifica o appropriazione da parte di terzi non autorizzati.
I dati potranno essere comunicati a terzi a fini commerciali.
I dati saranno tenuti per tre anni a partire dal Suo ultimo contatto con la nostra azienda.
Si informa inoltre come, ai sensi dell’art. 7 del D.lgs.196/2003 e GDPR 679/16, è diritto dell’interessato quello di richiedere in qualsiasi momento la conferma dell’esistenza di dati personali, di conoscerne il contenuto, l’origine e le modalità di trattamento, di chiederne l’aggiornamento, la rettifica, la cancellazione o la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge. All'interessato è riservata la facoltà di opporsi al trattamento dei dati personali e di conoscere in ogni momento il titolare del trattamento degli stessi.
Qualunque motivo di insoddisfazione o protesta potrà essere da Lei riportato all’Autorità Garante per la protezione dei dati personali, Piazza Monte Citorio n° 121, 00186 Roma, tel. 06.696771, email: garante@gpdp.it.