Panoramica Operativa in materia di Privacy

Blendee
Marketing Automation & GDPR

Presentiamo a seguire una panoramica di come la nostra società ha applicato ai propri trattamenti di dati personali il Regolamento europeo 2016/679 (c.d. General Data Protection Regulation o “GDPR”).L’obiettivo delle tue attività di marketing, digitali e non, deve essere centrato sui tuoi utenti.Grazie alla segmentazione evoluta di Blendee, i nostri clienti potranno utilizzare caratteristiche demografiche, di comportamento passato e presente e comprendere la fase in cui si trovano gli utenti all’interno del Customer Lifecycle, tracciando il loro comportamento sia online che offline.Questi segmenti dinamici, aggiornati in tempo reale, permetteranno di conoscere al meglio gli utenti, costruendo per loro esperienze dedicate

Regolamento GDPR ➝
Blendee | saoftware per la customer experience

Cosa ha fatto Adabra per essere Conforme al Nuovo Regolamento?

Sin dalla sua nascita Adabra ha sempre prestato grande attenzione alla normativa privacy e a tutte le successive modifiche. Operando nel settore della profilazione e segmentazione dati, è stato dunque necessario essere in linea (addirittura un passo avanti in molti casi) rispetto agli obblighi di legge. È stato, dunque, relativamente semplice adeguarsi al GDPR in quanto buona parte degli adempimenti che le nuove norme prevedono, erano già presenti nell’ossatura iniziale dei nostri sistemi. Ma andiamo a vedere insieme e nel dettaglio quali sono le nuove funzionalità che la nostra piattaforma offre e dove essa è stata modernizzata per conformarsi alla nuova regolamentazione:

Il GDPR attribuisce agli utenti (“interessati”), i cui dati vengono trattati, alcuni diritti. Tra questi, va senz’altro menzionato il diritto all’oblio, che nel nuovo impianto del GDPR diviene sinonimo di diritto alla cancellazione dei dati. Questo significa che gli interessati hanno il diritto di chiedere la cancellazione dei loro dati personali se non sono più necessari rispetto alle finalità per le quali sono stati raccolti e trattati; sono trattati illecitamente e/o l’interessato ha revocato il consenso o si è opposto al trattamento e il titolare non ha ulteriori finalità e altre basi giuridiche per trattare i dati.

Tra gli altri diritti previsti dal GDPR, merita una specifica menzione anche il diritto alla portabilità dei dati, che consente ai nostri clienti e ai loro utenti di richiedere in un formato strutturato, di uso comune e leggibile da dispositivo elettronico i dati personali che li riguardano e/o di chiederne il trasferimento ad un nuovo fornitore, qualora i loro contratti fossero trasferiti in capo a quest’ultimo. Il diritto alla portabilità dei dati si applica a tutti i trattamenti di dati personali: basati sul consenso dell’utente; effettuati in modo automatizzato. Va peraltro precisato che, il diritto di richiedere la trasmissione dei dati ad un altro titolare sussiste solo se l’operazione è tecnologicamente fattibile, essendo perciò necessario che, ad esempio, i due sistemi interessati, trasmittente e ricevente, siano tra loro compatibili. La piattaforma Blendee consente in modo semplice ed immediato l’esercizio del diritto alla portabilità dei dati, e pertanto i clienti e i loro utenti potranno facilmente ottenere copia e/o trasferire tutti i loro contatti ad un altro titolare del trattamento, nella forma che gli sarà più conveniente: sotto forma di file o via API.

Il GDPR definisce all’art. 4 il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, specificando che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale ”.Questo significa che anche un identificativo on line è un dato personale. Sono, invece, dati anonimi le informazioni che, originariamente o a seguito di specifico trattamento, non possono essere associate ad un individuo identificato od identificabile.Se il tracciamento degli utenti avviene sulla base di dati anonimi, che non ne consentono pertanto l’identificazione, neppure indirettamente, il GDPR non si applica e il cliente non si dovrà preoccupare di acquisire i loro consensi.

Per utilizzare correttamente Blendee non è necessario modificare i form di raccolta dei contatti. Non sarà necessario includere alcuna richiesta di consenso aggiuntiva, rispetto a quelle che i nostri clienti utilizzano normalmente, purché forniscano l’informativa  agli interessati e acquisiscano prova di averla resa.

La piattaforma Blendee permetterà, allineandosi agli obblighi imposti dal GDPR, di rilevare, identificare e conservare le evidenze relative alla provenienza dei dati personali (“fonte del dato”), identificando dove e da chi essi sono stati raccolti.

Nel caso della piattaforma Blendee, i dati personali degli utenti sono trattati per finalità di profilazione e marketing, con il loro consenso che è sempre revocabile in ogni momento. Il diritto di revocare il consenso al trattamento dei dati degli utenti dei nostri clienti, si applica ai dati trattati sia in forma digitale che cartacea, così come a tutti i backup di tali dati. Per rendere effettivo questo diritto, Blendee ha predisposto il pulsante di revoca (Opt Out), adeguando anche le durate standard di utilizzazione e conservazione dei dati. I clienti e/o i loro utenti possono anche opporsi ad ulteriori invii di comunicazioni promozionali via email, utilizzando l'apposito link “unsubscribe”, che è presente in ciascuna email promozionale inviata.

‍Blendee ha implementato una politica di sicurezza dei dati e procedure di gestione dei sistemi IT, che sono tutte documentate e a disposizione del cliente. Il trattamento dei dati personali effettuato mediante Blendee è stato sottoposto a valutazione d’impatto “privacy” (DPIA), così come prescritto dal GDPR. Anche la DPIA è a disposizione dei nostri clienti per assolvere i loro obblighi di compliance, ai sensi dell’art. 35, GDPR.

I dati personali dei nostri clienti (e i dati dei loro utenti) sono trattati e conservati in territorio europeo. Se i dati fossero trasferiti fuori dal territorio europeo , in accordo con il GDPR, Blendee accerterà che i Paesi nei quali i dati sono trasferiti garantiscano un adeguato livello di protezione dei dati personali (e che, pertanto, sussista una decisione di adeguatezza della Commissione Europea), oppure che siano adottate garanzie adeguate mediante strumenti contrattuali quali le "Clausole contrattuali tipo" (ai sensi dell’art. 46, par. 2, lett. c) e lett. d), GDPR).

Il GDPR vuole che siano applicati i principi della privacy by design e della privacy by default sin dalla progettazione di un trattamento dei dati personali. In definitiva, occorre mettere in atto misure tecniche ed organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione e ad integrare nel trattamento le necessarie garanzie, al fine di tutelare i diritti degli utenti e a garantire che siano trattati – per impostazione predefinita – solo i dati necessari.

Sono previste pesanti sanzioni amministrative pecuniarie per le violazioni del GDPR e del D. Lgs. 196/2003 (c.d. “Codice privacy”) che arrivano fino a 20mln di euro o il 4% del fatturato delle imprese, se superiore. Nella normativa interna (D. Lgs. 196/2003) sono previste anche sanzioni penali per specifiche e tassative violazioni.

Le nuove regole sulla responsabilizzazione (accountability) sono funzionali ad assicurare che chiunque tratta dati personali abbia adottato le misure di sicurezza organizzative e tecnologiche adeguate al rischio che incombe sui dati e sia in grado di dimostrare che i suoi trattamenti avvengano in  conformità al GDPR.

La tracciabilità dei dati è una declinazione del principio di accountability. Infatti, solamente acquisendo traccia ed evidenza delle modalità di raccolta dei dati, dei consensi, delle operazioni svolte sui dati e della loro cancellazione, il titolare sarà in grado di dimostrare di avere correttamente operato rispetto ai dati.

Chiunque tratti dati personali deve essere preparato a rilevare e gestire eventuali violazioni di dati personali (data breaches) e a notificarle alla Autorità Garante per la Protezione dei Dati Personali nel termine di 72 ore da quando ne è venuto a conoscenza. Nei casi in cui la violazione possa implicare un pregiudizio grave per i diritti e le libertà degli utenti, la violazione deve essere comunicata anche a loro, con mezzi idonei. Si ha violazione dei dati personali nel caso di una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali. Per la notificazione alla Autorità Garante per la Protezione dei Dati Personali è prevista una apposita procedura on line disponibile nel sito ufficiale dell’Autorità.

Chiunque tratti dati personali deve adottare misure di sicurezza adeguate al livello di rischio cui sono esposti i dati. Le misure di sicurezza fisiche, logiche ed organizzative devono garantire riservatezza, disponibilità e integrità dei dati personali trattati da titolare e responsabile. La valutazione dei rischi deve essere periodicamente aggiornata, come anche le misure di sicurezza che servono a mitigare i rischi riscontrati. Sono misure di sicurezza, tra le altre: la pseudonimizzazione, la crittografia, la capacità di assicurare su base permanente la resilienza dei dati (mediante backup, piani di disaster recovery) e procedure per testare, valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

È consigliabile adottare e documentare  una specifica procedura per la notificazione delle violazioni di dati e, più in generale, per la gestione degli incidenti informatici. Alla procedura deve essere data ampia diffusione nel contesto aziendale del cliente. Anche se l’incidente di sicurezza non richieda di essere notificato all’Autorità, poiché non ricorrono i presupposti della notificazione, esso deve essere annotato in un registro interno appositamente predisposto, in modo da rimanere documentato in caso di controlli da parte dell’Autorità.

È consigliabile dotarsi di una specifica procedura per la gestione delle istanze di esercizio dei diritti degli utenti, mettendo a loro disposizione specifica documentazione e predisponendo modulistica apposita per agevolare l’esercizio dei diritti.  Nel caso di trattamenti che si basano sul consenso degli utenti, nello specifico, deve essere garantito loro di esercitare la revoca del consenso o di opporsi al trattamento, con la stessa facilità con la quale gli è stato richiesto di esprimerlo.

Tra i documenti necessari a dimostrare la compliance privacy aziendale, va menzionato anche il registro delle attività di trattamento del titolare, nel quale devono essere annotati tutti i trattamenti svolti, le tipologie di dati trattati, le categorie di interessati cui si riferiscono i dati, le finalità del trattamento, le categorie di destinatari a cui sono comunicati i dati, se i dati sono trasferiti in paese extraeuropeo e, ove possibile, i termini per la cancellazione dei dati e le misure di sicurezza adottate. Nella ipotesi in cui siano trattati dati personali anche nella qualità di responsabile del trattamento, deve essere implementato anche il registro del responsabile, nel quale sono documentate tutte le attività svolte per conto di uno o più titolari del trattamento. Il registro del responsabile contiene indicazione del nome e dei dati di contatto del titolare per conto del quale il responsabile tratta i dati, le categorie di trattamenti effettuati, se i dati sono trasferiti in paese extraeuropeo e, ove possibile, un a descrizione delle  misure di sicurezza adottate.

Per alcune attività di trattamento che prevedono l’uso di nuove tecnologie e che presentano un rischio elevato per i diritti e le libertà degli utenti è necessario svolgere specifica valutazione d’impatto del trattamento sulla protezione dei dati. Specifici provvedimenti della Autorità Garante per la Protezione dei Dati Personali e dell’European Data Protection Board individuano i trattamenti da sottoporre a valutazione d’impatto.
Nel caso in cui, all’esito della valutazione d’impatto, i rischi per i diritti e le libertà degli interessati restino rilevanti, è necessario consultare l’Autorità Garante per la Protezione dei Dati Personali perché adotti i provvedimenti del caso.

Quando le attività principali di trattamento dei dati personali consistono nel monitoraggio regolare e sistematico su larga scala degli interessati, oppure nel trattamento su larga scala di dati appartenenti a categorie particolari, è necessario nominare il  Data Protection Officer (DPO). Il DPO è nominato in funzione delle sue qualità professionali e delle sue conoscenze specialistiche in materia di protezione dei dati personali e cybersecurity.
Il DPO relaziona ai vertici aziendali sulle attività svolte e controlla la concreta applicazione da parte del titolare o del responsabile delle misure prescritte dal GDPR e dalla normativa interna. Il DPO funge da punto di contatto per le istanze degli interessati e per le richieste dell’Autorità Garante per la Protezione dei Dati Personali.

Blendee | Privacy compilance

Modifiche Contrattuali

Ci rivolgiamoai nostri clienti con la massima chiarezza e trasparenza, come abbiamo sempre fatto.
Per poter utilizzare Blendee è necessario siglare il contratto di licenza e autorizzare il trattamento dei dati personali da parte della Società, secondo quanto previsto nelle sue Condizioni Generali di Servizio (CGS), che abbiamo aggiornato per tutto quanto implicato dall’attuazione del GDPR.

Visualizza le Condizioni Generali di Servizio ➝

Cosa accade al Database Attuale del Cliente?

La legge non è retroattiva, significa cioè che l’utilizzo di tutti i profili comportamentali raccolti legalmente prima dell’entrata in vigore del GDPR continuerà ad essere possibile.

Ulteriori attività di elaborazione e definizione dei profili degli interessati dovranno – d’ora in avanti – essere consentite sulla base di nuove informative conformi al GDPR.

La cancellazione dei dati sarà necessaria solo in caso di richiesta da parte dell’interessato.

Blendee | marketing ecommerce automation
Blendee | lead generation ecommerce

Come acquisire un Consenso Valido e Verificabile dall'Utente

Il consenso è validamente prestato se è “espresso”. Il GDPR ha escluso che possa rilevare ogni forma di consenso implicito o tacito (il silenzio, cioè, non equivale al consenso), oppure ottenuto proponendo una serie di opzioni già preselezionate.
Deve, poi, essere libero (ossia non forzato o condizionato), formulato in forma specifica (e, perciò, non espresso con riferimento ad un trattamento genericamente individuato, mentre i consensi per finalità diverse dovranno essere separati l’uno dall’altro), informato (vale a dire, preceduto da relativa informativa).Il consenso può essere revocato in qualsiasi momento. La revoca non pregiudica il trattamento lecitamente svolto fino alla revoca.

Localizzazione Geografica

Esplicitazione Data Storage
Blendee ha scelto di ubicare i propri server e le attività di trattamento dei dati personali nel territorio dell’Unione Europea, avendo a cuore i dati personali degli utenti e le esigenze di loro protezione.

Proprio così!
I server utilizzati da Blendee sono ubicati in Italia e ridondati geograficamente all’interno dell’Unione Europea. Inoltre, i nostri fornitori applicano lo standard ISO-27001 sulla gestione e protezione della sicurezza delle informazioni e anche nel caso in cui vi siano integrazioni con piattaforme terze che risiedano al di fuori dell’Unione Europea, Blendee applica garanzie adeguate per il trattamento dei dati, andando a verificare che per il paese importatore dei dati sussistano decisioni di adeguatezza della Commissione Europea o applicando le "Clausole contrattuali tipo" (ai sensi dell’art. 46, par. 2, lett. c) e lett. d), GDPR).

Blendee | advertising automation

Scegli il Partner Giusto come Guida
verso il Successo.

Scopri Blendee e Crea una Strategia Vincente!

Contattaci per una consulenza
Contattaci per una consulenza

Alcuni Articoli che Potrebbero Interessarti