Regolamento sulla protezione dei dati personali (GDPR): tutto quello che c'è da sapere

Ultimo aggiornamento il 4 giugno 2024 Database

Gestite un'azienda? Siete proprietari di un sito web o esperti nel trattamento dei dati personali? È fondamentale comprendere le implicazioni del Regolamento generale sulla protezione dei dati (GDPR) sulle vostre attività. Entrerà in vigore in Europa il 25 maggio 2018.

Che cos'è GDPR ?

GDPR fornisce un quadro di riferimento per il trattamento dei dati personali all'interno dell'Unione europea (UE). Fa seguito alla legge francese sulla protezione dei dati del 6 gennaio 1978. Offre ai cittadini un maggiore controllo sulle modalità di utilizzo dei loro dati personali.

Il sito GDPR è stato predisposto per : 

  • Armonizzazione delle regole in Europa ;
  • Fornire un quadro giuridico identico per i professionisti. Grazie al regolamento, essi possono sviluppare le loro attività digitali, stabilendo al contempo un rapporto di fiducia con gli utenti. 

Quali sono gli obiettivi di GDPR ?

Scoprite i tre obiettivi principali del Regolamento generale sulla protezione dei dati: 

  • Aumentare i diritti delle persone. GDPR crea il diritto alla portabilità dei dati personali. Include disposizioni specifiche per i minori.
  • Responsabilizzare le varie parti responsabili del trattamento dei dati. Questo vale sia per i responsabili del trattamento che per gli incaricati del trattamento.
  • Rendere credibile la regolamentazione. Come possiamo farlo? Intensificando la cooperazione tra le autorità di protezione dei dati. In particolare, potranno adottare decisioni comuni e inasprire le sanzioni per i trattamenti transnazionali.

Chi è tenuto ad applicare il sito GDPR ?

Qualsiasi organizzazione, a prescindere dalle dimensioni, dall'ubicazione o dall'attività, può essere interessata da GDPR. Il regolamento si applica a tutte le organizzazioni, sia pubbliche che private, che trattano dati personali, per loro conto o meno, se :

  • Hanno sede in uno degli Stati membri dell'Unione europea;
  • La loro attività si rivolge direttamente ai residenti europei.

Ad esempio, un'azienda con sede in Italia che esporta i suoi prodotti in Tunisia deve rispettare il sito GDPR. Questo perché l'azienda ha sede nell'Unione Europea. Allo stesso modo, un'azienda con sede in Giappone e con un negozio di e-commerce in lingua francese che consegna prodotti in Francia è tenuta a conformarsi.

Il Regolamento generale sulla protezione dei dati si applica anche ai subappaltatori: web host, integratori di software, agenzie di comunicazione, ecc. che trattano dati personali per conto di un altro soggetto (un'azienda, un ente locale o un'associazione). Questi ultimi trattano dati personali per conto di un altro soggetto (una società, un ente locale o un'associazione). 

Buono a sapersi: Chi dovrebbe nominare un DPO?

Le aziende che trattano dati e i subappaltatori sono tenuti a nominare un responsabile della protezione dei dati (DPO) se :

  • Operano nel settore pubblico;
  • La loro attività principale richiede un monitoraggio regolare, sistematico e su larga scala delle persone;
  • La loro attività principale è il trattamento di dati sensibili o di dati relativi a condanne penali, come reati o infrazioni.

In particolare, il DPO ha la responsabilità di consigliare l'azienda sull'implementazione di una valutazione dell'impatto sulla privacy (PIA). Questa viene effettuata quando il trattamento dei dati presenta un rischio per i diritti e le libertà delle persone. L'obiettivo è valutare l'origine, la natura, la specificità e la gravità del rischio.

Chi è responsabile dell'implementazione di GDPR ? 

In Francia, la Commission nationale de l'informatique et des libertés (CNIL ) vigila sulla protezione dei dati personali. Creata nel 1978, questa autorità amministrativa indipendente agisce per conto dello Stato. Tuttavia, non è posta sotto l'autorità del governo o di un ministero. 

Il CNIL è composto da un collegio di 18 membri, eletti o nominati, e da un'équipe di 25 agenti a contratto governativo. È organizzato in cinque direzioni

  1. Dipartimento di supporto legale (DAC).
  2. Direzione per la protezione dei diritti e delle sanzioni (DPDS).
  3. Dipartimento per la Tecnologia e l'Innovazione (DTI).
  4. Dipartimento Relazioni Pubbliche (DRP).
  5. Dipartimento amministrativo e finanziario (DAF).

I 18 membri del CNIL comprendono : 

  • Quattro membri del Parlamento, due deputati e due senatori;
  • Due membri del Consiglio economico, sociale e ambientale (CESE), la terza assemblea costituzionale della Repubblica;
  • Sei rappresentanti delle più alte corti, due membri del Consiglio di Stato, due membri della Corte di Cassazione e due membri della Corte dei Conti;
  • Cinque personalità qualificate. Il Presidente dell'Assemblea nazionale ne nomina una. Il Presidente del Senato ne nomina un altro. Il Consiglio dei ministri nomina gli ultimi tre;
  • Il presidente della Commissione per l'accesso ai documenti amministrativi (CADA).

Buono a sapersi : Quali sono le quattro missioni della CNIL?

  1. Informare, proteggere i diritti. Nell'ambito del suo ruolo di informazione generale, la CNIL risponde alle richieste dei cittadini e delle imprese. Garantisce ai cittadini un accesso adeguato ai dati contenuti nei processi che li riguardano. Se hanno difficoltà a esercitare i loro diritti, possono presentare un reclamo alla CNIL.
  2. Supporto alla conformità, consulenza. Per aiutare le organizzazioni a conformarsi al regolamento, la CNIL ha messo a punto una serie di strumenti completi.
  3. Anticipare e innovare. Attraverso il suo Laboratorio di Innovazione Digitale (LINC), il CNIL contribuisce ai dibattiti sulle sfide etiche della tecnologia digitale. Partecipa allo sviluppo di soluzioni tecnologiche che proteggono la privacy.
  4. Controllo e penalizzazione. Garantisce la corretta applicazione dei regolamenti sul campo. Nel 2022 sono stati effettuati 345 controlli. Se necessario, può anche emettere avvisi formali o imporre sanzioni alle organizzazioni.

Quali sono i 5 principi fondamentali della protezione dei dati personali?

  1. Scopo. La persona responsabile di un file ha il diritto di registrare e utilizzare le informazioni sulle persone solo per uno scopo specifico, legale e legittimo. 
  2. Proporzionalità e pertinenza. I dati raccolti devono essere pertinenti e strettamente necessari per lo scopo della pratica.
  3. Il periodo di conservazione. Non è consentito conservare a tempo indeterminato i dati delle persone in un archivio. A seconda del tipo di informazioni registrate e dello scopo dell'archivio, è necessario stabilire un periodo di conservazione preciso.
  4. Sicurezza e riservatezza. La persona responsabile del fascicolo deve garantire la sicurezza delle informazioni contenute. Deve assicurarsi che solo le persone autorizzate possano accedervi.
  5. Diritti individuali. Questi diritti consentono alle persone di mantenere il controllo sui propri dati. Il titolare del trattamento deve spiegare come esercitare tali diritti. Se scelgono di esercitare i propri diritti, le persone devono ricevere una risposta entro un mese al massimo. 

Buono a sapersi: Quali diritti hanno le persone sui loro dati personali?

  • Il diritto di accedere ai dati che li riguardano;
  • Diritto di rettifica e opposizione ;
  • Il diritto alla portabilità ;
  • Il diritto all'oblio ;
  • Il diritto alla notifica ;
  • Il diritto al risarcimento dei danni materiali o immateriali ;
  • Azione di gruppo.

Protezione dei dati personali: 6 buone pratiche 

Scoprite i nostri consigli per la vostra azienda per garantire la conformità GDPR.

  1. Raccogliere solo i dati necessari per raggiungere il proprio obiettivo

È essenziale raccogliere i dati per uno scopo ben definito e legittimo. Non avete il diritto di trattarli ulteriormente per altri scopi. Ad esempio, un file di candidati a scopo di reclutamento non può essere utilizzato per distribuire offerte promozionali.

Per conformarsi al sito GDPR, è possibile affidarsi al principio di minimizzazione. In questo modo si riducono le informazioni raccolte a quelle necessarie per raggiungere l'obiettivo.

  1. Dimostrare trasparenza

I cittadini devono poter mantenere il controllo sui dati che li riguardano. Ciò presuppone che siano ben informati a monte su come verranno utilizzati i loro dati. Le informazioni devono essere sia : 

  • Coerente con le situazioni e i mezzi di raccolta ;
  • Accessibile e comprensibile.

È vietato raccogliere informazioni su di loro a loro insaputa. 

  1. Facilitare l'esercizio dei diritti delle persone

Siete obbligati a organizzare i mezzi con cui i vostri potenziali clienti e clienti possono esercitare i loro diritti. Devono poterlo fare inviando una semplice e-mail a un indirizzo dedicato. Se lo fanno, dovete rispondere alle loro richieste nel più breve tempo possibile. 

  1. Stabilire periodi precisi di conservazione dei dati data

È vietato conservare a tempo indeterminato i dati personali dei vostri obiettivi. Devono essere conservati solo per il tempo necessario a raggiungere l'obiettivo. Successivamente, devono essere distrutti, resi anonimi e/o archiviati. Tutto ciò deve essere conforme agli obblighi normativi applicabili alla conservazione degli archivi pubblici.

  1. Garantire la sicurezza dei dati personali

Sicurezza fisica e informatica, locali, armadi e postazioni di lavoro sicuri, gestione rigorosa delle autorizzazioni e dei diritti di accesso... Tutte le misure volte a proteggere i dati devono essere adottate. Devono essere adattate alla sensibilità delle informazioni o ai rischi per le persone in caso di incidente di sicurezza.

  1. Adottare un approccio continuo alla conformità

È importante controllare regolarmente se : 

  • Non ci sono stati cambiamenti importanti nei trattamenti; 
  • Le procedure e le misure di sicurezza in vigore sono rispettate;
  • È necessario un adattamento.

Emailing: come ottenere il consenso dei destinatari?

Nell'ambito di una campagna di e-mailing, il consenso del destinatario dei messaggi pubblicitari viene ottenuto utilizzando il metodoopt-in. Si noti che se il destinatario non dice "sì", questo deve essere considerato come un "no". Il consenso del potenziale cliente si ottiene con una dichiarazione di questo tipo: "[] acconsento che il mio indirizzo e-mail venga utilizzato per ricevere offerte dall'azienda X via e-mail".

Per l'invio di e-mail, in particolare, pensate al doppio opt-in. A differenza del classicoopt-in , questo metodo si basa su due fasi: 

  • Il destinatario dell'annuncio esprime la sua soddisfazione;
  • Essi confermano il loro desiderio di ricevere messaggi pubblicitari cliccando su un link inviato per e-mail.

Dataventure opt-in Con, raccogliere i profili utilizzando varie leve: 

  • Clic-lead. Questo tipo di campagna soddisfa gli obiettivi di visibilità, traffico e acquisizione di lead. La raccolta è dedicata al 100% ai contenuti di CPL . Non c'è condivisione di indirizzi. La soluzione clic-lead offre un elevato volume di raccolta che può essere definito in anticipo.
  • Co-registrazione premium. Questa soluzione consente di raccogliere lead ad alto valore aggiunto. La campagna è posizionata su una pagina dedicata al vostro marchio. È accompagnata da un visual che evidenzia la vostra offerta. Avete piena libertà di impostare le domande di qualificazione.
  • Co-registrazione. Ideale per raccogliere profili di affinità a costi controllati
  • Co-sponsorizzazione. Questa soluzione di raccolta massiccia e conveniente offre il costo per profilo più basso del mercato. Ogni mese, potrete beneficiare della raccolta potenziale di centinaia di migliaia di profili opt-in .

Dataventure Dataventuremonetizza i mezzi di raccolta del gruppo. Dataventure opt-in Ogni mese vengono raccolti più di 3 milioni di indirizzi e-mail per i principali inserzionisti. è uno deiprincipali raccoglitori di profili in Francia.

Quali sono i vantaggi del doppio opt-in ?

La scelta del doppio opt-in porta molti vantaggi alle aziende: 

  • Conferma della validità dell'indirizzo e-mail ;
  • Migliorare la qualità della mailing list ;
  • Conformità alle norme sulla protezione dei dati ;
  • Riduzione del numero di reclami ;
  • Migliore immagine del marchio.

Cancellazione dei dati, avvertimenti, diffide, sospensione dei flussi di dati... Chi non rispetta le disposizioni di GDPR rischia pesanti sanzioni amministrative. A seconda della categoria di infrazione, le multe possono arrivare a 10 o 20 milioni di euro. Nel caso di un'azienda, le sanzioni vanno dal 2% al 4% del suo fatturato annuo mondiale. 

Volete creare campagne di acquisizione clienti sicure e personalizzate? Dataventure GDPR I nostri esperti sono in grado di offrire lemigliori soluzioni ai vostri problemi di traffico eacquisizione clienti.

Scopri gli altri articoli

Avviare un progetto

Se volete ottenere una consulenza gratuita e senza impegno, compilate il modulo sottostante e vi contatteremo.