Adabra Marketing Automation & GDPR

General Data Protection Regulation
Approfondiamo Adabra & Marketing Automation alla luce della nuova regolamentazione

Cos'è il GDPR

Il GDPR (General Data Protection System) è il nuovo Regolamento Generale sulla protezione dei dati (UE/679/2016) che è stato adottato il 27 Aprile 2016 e che ha l’obiettivo di rafforzare e unificare le leggi di in materia di protezione dei dati personali delle persone fisiche, nonché in materia di libera circolazione di tali dati e che abroga la direttiva 95/46/EC, dando inizio ad una nuova era della privacy

La versione ufficiale del regolamento è disponibile all’indirizzo che segue:

Cosa ha fatto Adabra per essere conforme al nuovo regolamento

Sin dalla sua nascita Adabra ha sempre prestato grande attenzione alla normativa privacy e a tutte le successive modifiche. Operando nel settore della profilazione e segmentazione dati, è stato dunque necessario essere in linea (addirittura un passo avanti in molti casi) rispetto agli obblighi di legge.

È stato, dunque, relativamente semplice adeguarsi al GDPR in quanto buona parte degli adempimenti che le nuove norme prevedono, erano già presenti nell’ossatura iniziale dei nostri sistemi.

Ma andiamo a vedere insieme e nel dettaglio quali sono le nuove funzionalità che la nostra piattaforma offre e dove essa è stata modernizzata per conformarsi alla nuova regolamentazione:

Diritto all'oblio

Il GDPR da agli utenti (“interessati”), i cui dati vengono processati, una nuova serie di possibilità. Una delle più importanti è quella relativa al “diritto all’oblio”, ovvero alla possibilità per gli interessati di ottenere che i loro dati trattati sulla piattaforma Adabra, pur raccolti con il loro consenso, vengano completamente cancellati.
La legge si applica a dati stoccati sia in forma digitale che cartacea, così come a tutti i backup di tali dati.

Per rendere effettivo questo diritto, Adabra ha confermato il pulsante di oblio (Opt Out), adeguando anche le durate standard di stoccaggio dati

Diritto alla portabilità

Il GDPR introduce anche il diritto alla portabilità dei dati, consentendo ai nostri clienti e ai loro utenti di richiedere in un formato strutturato, di uso comune e leggibile da dispositivo elettronico i dati personali che li riguardano e di chiederne anche il trasferimento, ad esempio ad un’altra società qualora i loro contratti fossero trasferiti.

Il diritto alla portabilità dei dati si applica al trattamento:

– basato sul consenso marketing

– effettuato in modo automatizzato

Il diritto di richiedere la trasmissione dei dati ad un altro titolare sussiste solo se l’operazione è tecnologicamente fattibile, essendo perciò necessario che, ad esempio, i due sistemi interessati, trasmittente e ricevente, siano compatibili.

La nostra piattaforma Adabra è già conforme anche sotto questo aspetto, e pertanto i nostri clienti potranno facilmente trasferire tutti i contatti a sistemi esterni nella forma che gli sarà più conveniente: sotto forma di file o via API.

Attività di monitoraggio

Il GDPR permette di acquisire un valido consenso, sia per quanto riguarda il trattamento dei dati degli utenti che per la profilazione, anche sulla base del comportamento dell’utente che prosegua la propria navigazione nel sito internet, purché gli sia data la possibilità di disabilitare i cookie, di modificare le impostazioni del browser, di negare il consenso all’utilizzo di tecnologie similari (es. fingerprintings).

È allora sufficiente che i clienti siano in grado di dimostrare che l’informativa sull’utilizzo dei cookie sia stata data (tramite il pop-up).

Sulla piattaforma Adabra sarà anche possibile disattivare il monitoraggio di uno specifico utente, quando dovesse scadere il suo consenso o nel caso che egli eserciti il diritto di opposizione o cancellazione dei suoi dati. Questi potrà essere monitorato di nuovo soltanto qualora dovesse ridare il consenso.

Tracciamento dei dati anonimi

Se il tracciamento degli utenti avviene sulla base di dati anonimi, che non consentono di identificarli, neppure indirettamente, il GDPR non si applica e il cliente non si dovrà preoccupare di acquisire alcun consenso dagli utenti.

Devo modificare i miei form?

Non è necessario modificare i form di raccolta contatti. Non sarà necessario includere alcuna richiesta di consenso aggiuntiva, rispetto a quelle sinora utilizzate, purché il cliente acquisisca prova di avere fornito l’informativa agli interessati.

Definizione della fonte del dato

La piattaforma Adabra permetterà, allineandosi agli obblighi imposti dal GDPR, di identificare e rivelare da dove i dati siano stati acquisiti (“fonte del dato”).

Modifiche Contrattuali

Facciamo come abbiamo sempre fatto, rivolgendoci ai nostri clienti con la massima chiarezza e trasparenza. Per poter utilizzare Adabra è necessario siglare il contratto di licenza e autorizzare il trattamento dei dati da parte di Ad Spray Srl, secondo quanto previsto nelle nostre Condizioni Generali di Servizio (CGS), che abbiamo aggiornato per tutto quanto implicato dall’attuazione del GDPR.

Anche per i nostri clienti attuali, gli obblighi previsti dal GDPR diverranno effettivi a decorrere dal 25 Maggio 2018.

Localizzazione Geografica

Esplicitazione Data Storage

Adabra ha a cuore la privacy degli utenti e ha scelto di ubicare i propri server e le attività di stoccaggio dei dati in territorio UE.

Proprio così!

I diversi server utilizzati da Adabra sono in Italia e ridondati geograficamente all’interno dell’Unione Europea. Inoltre, i nostri fornitori sono conformi alla normativa ISO-27001 (Data storage) e anche in caso vi siano integrazioni con piattaforme terze che risiedano al di fuori della comunità europea, abbiamo verificato che queste garantiscono un adeguato livello di protezione dei dati personali, aderendo all’accordo Privacy Shield UE-US.

Documentazione a disposizione del cliente

Adabra ha implementato una politica di sicurezza dei dati e procedure di gestione dei sistemi IT, che sono tutte documentate e a disposizione del cliente.

Che accade al database attuale del cliente?

La legge non è retroattiva, significa cioè che l’utilizzo di tutti i profili comportamentali raccolti legalmente prima dell’entrata in vigore del GDPR continuerà ad essere possibile. Ulteriori attività di elaborazione e definizione dei profili degli interessati dovranno – d’ora in avanti – essere consentite sulla base di nuove informative conformi al GDPR.

La cancellazione dei dati sarà necessaria solo in caso di richiesta da parte dell’interessato.

Come acquisire un consenso valido e verificabile dall'utente

Il consenso è validamente prestato se è “esplicito”, vale a dire: espresso. Il GDPR ha escluso che possa rilevare ogni forma di consenso implicito o tacito (il silenzio, cioè, non equivale al consenso), oppure ottenuto proponendo una serie di opzioni già preselezionate.

Deve poi essere libero (ossia non forzato o condizionato), formulato in forma specifica (e, perciò, non espresso con riferimento ad un trattamento genericamente individuato, mentre i diversi consensi dovranno essere separati l’uno dall’altro), informato (vale a dire, preceduto da relativa informativa).

Le modifiche più importanti introdotte dal GDPR

Di seguito le modifiche più importanti introdotte dal GDPR

Territorialità dei server

I vostri dati personali (e i dati dei vostri clienti) dovranno essere stoccati in territorio europeo. Se i dati sono stoccati fuori del territorio UE, in accordo con il GDPR, Adabra si premurerà di verificare che i Paesi nei quali i dati sono trasferiti garantiscano un adeguato livello di protezione dei dati personali (decisione di adeguatezza della Commissione Europea), oppure siano adottate garanzie adeguate mediante strumenti contrattuali (model clauses; binding corporate rules).

Diritto all'oblio

I vostri utenti hanno il diritto all’oblio e, a loro richiesta, dovrete poter effettuare la cancellazione dei loro dati dal vostro database.

Diritto alla Portabilità

I vostri clienti hanno il diritto di richiedere che i loro dati gli vengano restituiti o vengano trasferiti ad un’altra società in un formato strutturato, di uso comune e leggibile da dispositivo elettronico.

Richiesta di consenso

Il consenso al trattamento dei dati personali dovrà essere comunque richiesto nelle modalità previste e rispetto ad una informativa correttamente formulata.

Garanzia di protezione dei dati

Dovrete applicare la protezione dei dati fin dalla progettazione (privacy by design) delle vostre soluzioni IT e dei vostri sistemi.

Incremento delle sanzioni

Le sanzioni amministrative pecuniarie per violazione della normativa crescono – fino a 20mln di Euro e il 4% del fatturato, se superiore.

Responsabilità degli amministratori

Le nuove regole sulla responsabilità sono funzionali ad assicurare che il titolare abbia adottato le misure di sicurezza organizzative e tecnologiche adeguate al rischio e sia in grado di dimostrare che i suoi trattamenti avvengano in  conformità al GDPR.

Tracciabilità dei dati

Siete obbligati a mantenere traccia dei dati processati

Notifica violazione della sicurezza

Siete obbligati a notificare alla Autorità Garante per la Protezione dei Dati personali qualsiasi incidente che riguardi una violazione dei dati sotto i profili della perdita di riservatezza, integrità e disponibilità e avete un breve termine per farlo: 72 ore!

Cosa devo fare per essere conforme alla nuova normativa?

Dovrete predisporre la documentazione necessaria, che include:

Politica di sicurezza

Un documento sintetico (Noto come DPS “Documento programmatico sulla Sicurezza”) dove vengono spiegate le principali precauzioni per tutelare i dati da voi gestiti.

Procedura di notificazione di incidenti informatici

Adozione e documentazione di una procedura per notificare gli incidenti informatici alla Autorità garante per la Protezione dei Dati Personali ed eventualmente ai vostri utenti.

Procedure di gestione dell'esercizio del diritto d'accesso

Adozione e documentazione di una procedura sull’esercizio del diritto d’accesso ai dati personali da parte degli utenti.

Registro delle attività di trattamento

Creazione e manutenzione di un registro che riporti come vengono svolte le operazione di processo dei dati.

Valutazione d'impatto privacy

Effettuazione della valutazione d’impatto privacy nel caso che il trattamento dei dati personali presenti rischi elevati per i diritti e le libertà degli interessati.

Nomina del Data Protection Officer

Nominare il Data Protection Officer quando le vostre attività principali consistono in trattamenti, che per loro natura, ambito di applicazione e finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Come si svolge un Audit? Che documentazione devo preparare?

Nel caso di audit che abbia ad oggetto verifiche mirate a valutare il grado di conformità dell’organizzazione al GDPR, è necessario dimostrare che:

(i) i dati sono stati ottenuti sulla base di un consenso o delle altre basi legali,

(ii) coloro che trattano i dati hanno ricevuto istruzioni per farlo (autorizzazione scritta rilasciata dal titolare);

(iii) esista un registro delle violazioni (data breaches);

(iv) eventuali violazioni siano notificate all’Autorità Garante per la protezione dei Dati Personali entro 72 ore dal fatto.

L’audit verrà inviata preceduto da una notifica scritta e consisterà nella visita di controllori che verificheranno le modalità con cui vengono gestiti i dati (incluso il livello di sicurezza raggiunto) ed i mezzi utilizzati, nonchè la presenza di documentazione che sia idonea a rappresentarli.

Adabra ha implementato anche a tal fine misure di sicurezza conformi al GDPR, incluse fra le quali: l’adozione di una procedura di gestione degli accessi e degli utenti; l’istituzione del registro delle operazioni di trattamento dei dati personali; il monitoraggio e l’adozione di politiche d’intervento in caso di violazioni della sicurezza; l’istituzione del registro delle violazioni di dati personali; la gestione delle politiche di backup; l’adozione di politiche di crittografia dei dati personali inviati dai clienti.

Vuoi saperne di più su come essere conforme al GDPR
Contattaci!