Cosa significa il GDPR per la mia azienda?
Cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione Europea (UE) incentrata sulla protezione dei dati e sulla privacy di tutti i cittadini e i residenti all’interno dell’UE. Il GDPR disciplina il modo in cui le aziende, inclusa GoDaddy, utilizzano i dati personali dei cittadini europei. Il GDPR è entrato in vigore il 25 maggio 2018. Per saperne di più su cosa sia il GDPR e su come GoDaddy sia conforme al GDPR, leggi le informazioni nel nostro centro per la privacy.
GoDaddy non è uno studio legale
Speriamo che questo documento offra una panoramica su cosa sia il GDPR e su cosa possa significare per te, ma GoDaddy non si occupa di fornire consulenze legali e questa non è una guida completa al GDPR. Ogni situazione aziendale è diversa e il GDPR, essendo un regolamento, è molto complesso. Per domande specifiche sulle tue operazioni aziendali e su come potrebbero essere coinvolte dal GDPR (e da altre leggi sulla privacy applicabili), ti consigliamo caldamente di consultare un avvocato.
Non siamo esperti della tua attività specifica
Anche se saremmo lieti di darti consigli espliciti su come gestire la conformità al GDPR, non è possibile farlo per ogni singolo intento e scopo. Ogni azienda è gestita diversamente, con diverse politiche, protocolli, impiegati, sedi ecc. Vogliamo pertanto fornire una panoramica sul modo in cui GoDaddy gestisce il GDPR, ma ci sono diverse sfumature nel regolamento, che abbiamo messo in luce per te in questo documento, e tu dovrai fare delle considerazioni personali basandoti sulla tua situazione.
Cosa rende diverso il GDPR?
Il GDPR non è poi così diverso da tutte le altre leggi sulla privacy nel mondo. Ciò che rende il GDPR di altissimo profilo è il fatto di raggiungere qualsiasi azienda che tratti i dati personali di utenti UE, oltre l’UE, ovunque nel mondo, e le vincola anche con penali significative (fino a 20 milioni di euro o il 4% dei ricavi annui) nel caso di non conformità. In questo modo, più paesi, multe più alte, portata maggiore significano una maggiore copertura mediatica. Non intendiamo che non ci siano differenze; il GDPR richiede ai paesi coinvolti di fornire determinati diritti ai propri clienti (come il ‘diritto di essere dimenticati’ e il ‘diritto di portabilità dei dati’) e di applicare determinate misure di conformità aziendali.
La mia attività è coinvolta?
La tua azienda potrebbe essere coinvolta per alcune ragioni. Se quando vendi prodotti o servizi la tua azienda si trova all’interno dello Spazio Economico Europeo (EEA) o se intrattieni qui rapporti commerciali con i clienti, continua a leggere. Se non intrattieni rapporti commerciali in questa regione o con individui appartenenti all’UE probabilmente non avrai problemi (ma di nuovo, contatta il tuo consulente legale per accertartene).
I miei prodotti e servizi GoDaddy sono conformi al GDPR?
Nessun prodotto o servizio è di per sé ‘conforme al GDPR’. Tuttavia, se configurati adeguatamente alle tue necessità aziendali e utilizzati in concomitanza con altre misure, politiche e processi implementati in quanto specificamente necessari per la tua attività (alcuni dei quali sono descritti di seguito), possono essere utilizzati conformemente al GDPR. Nessuno conosce la tua azienda meglio di te. Anche se GoDaddy spera di offrire gli strumenti e le risorse necessari ad aiutare la tua azienda ad essere conforme al GDPR, e noi siamo a tua disposizione, il nostro compito non è quello di assicurarci che la tua azienda sia conforme alle leggi applicabili.
Cosa significa essere conforme al GDPR?
Il GDPR si focalizza molto sulla privacy delle informazioni personali. In poche parole, si tratta di assicurarti che i dati personali dei tuoi clienti siano protetti e utilizzati in modo adeguato. Prima di entrare nello specifico, di seguito puoi trovare alcune definizioni chiave secondo la legge che ci aiuteranno a definire le rispettive responsabilità riguardo il trattamento dei dati personali:
- Soggetto interessato: persona che fornisce informazioni personali. Può essere un cliente, un impiegato o un visitatore del sito web (quest’ultimo se raccogli informazioni utilizzando i “cookie e tecnologie simili”).
- Titolare del trattamento: la parte che determina gli scopi e le finalità del trattamento dei dati personali.
- Responsabile del trattamento: la parte che tratta i dati personali a carico del titolare del trattamento.
- Il trattamento: qualsiasi operazione o insieme di operazioni attuata sui dati personali, con procedure automatizzate o meno, come raccolta, archiviazione, organizzazione, conservazione, adattamento o alterazione, recupero, consultazione, utilizzo, trasmissione, divulgazione o distribuzione, allineamento o combinazione, restrizione, cancellazione o distruzione.
- Dati personali: il GDPR si applica solo ai ‘dati personali’, ovvero a qualsiasi informazione relativa a una persona che possa essere identificata direttamente o indirettamente, in particolare mediante riferimento a un identificativo. Questa definizione tiene conto di un’ampia gamma di identificativi che costituiscono dati personali, incluso il nome, il numero identificativo, i dati di localizzazione o identificativi online, riflettendo dei cambiamenti nella tecnologia e nel modo in cui le organizzazioni raccolgono informazioni sulle persone. Fondamentalmente, se puoi utilizzare i dati per identificare un utente, cliente o chiunque altro, si tratta di dati personali.
Cosa significano per me queste definizioni?
Nel nostro rapporto, a volte siamo noi i titolari del trattamento (quando raccogliamo i tuoi dati come nome, indirizzo, email, numero di telefono e i dati della carta di credito per venderti i nostri prodotti e i nostri servizi), altre volte noi siamo i responsabili del trattamento e tu il titolare del trattamento (per esempio quando utilizzi i nostri servizi di hosting per scopi aziendali e le informazioni arrivano nei nostri server in modo tale da poter fornire, gestire e mantenere i servizi per te (ulteriori informazioni a riguardo di seguito).
Cosa richiede esattamente la legge?
La versione ufficiale del GDPR è composta da 261 pagine, contiene 173 premesse e 99 articoli e (come già detto) è complesso e spesso generico, vago e ambiguo (fortunati noi). Tratteremo solo alcuni punti chiave:
Trasparenza
Quali informazioni raccogli e come possono essere utilizzate? Spiegarlo ai clienti in modo semplice da leggere e da comprendere è un principio importante per qualsiasi regolamento sulla privacy, incluso il GDPR.
Immaginiamo che tu ultimamente abbia ricevuto un milione di email relative all’aggiornamento del politica sulla privacy, giusto? Non è una coincidenza. Il GDPR richiede alle aziende di fornire più trasparenza e chiarezza sul modo in cui raccolgono e utilizzano le informazioni dei clienti (in altre parole rendere tutto più trasparente). Le politiche sulla privacy consentono di offrire trasparenza spiegando ai clienti in modo semplice e chiaro come raccogli e utilizzi i loro dati personali e come ti possono contattare ed esercitare i diritti ai quali possono appellarsi.
GoDaddy offre gli strumenti che permettono di includere le politiche sulla privacy al tuo sito web, e in alcuni casi offre anche dei template dai quali lavorare. In ogni caso, dato che noi non conosciamo il modo in cui opera la tua azienda, ci è impossibile fornirti una politica sulla privacy pienamente conforme.
Controlli del cliente e gestione del consenso
Essere trasparenti è un grande inizio, ma se utilizzi (o raccogli) più informazioni del necessario sui tuoi clienti per vendere loro beni o servizi, devi assicurarti anche di dar loro l’opzione di poter acconsentire ad altri utilizzi e permettere loro di controllare e poter eventualmente revocare il consenso.
L’esempio più ovvio è l’utilizzo degli indirizzi email o dei numeri di telefono raccolti per comunicare con i clienti (solitamente pensiamo in termini di opt-in/opt-out per questo tipo di comunicazioni/iscrizioni). Queste informazioni possono essere fornite dai clienti durante la creazione di un account o l’acquisto di un tuo prodotto o servizio. In ogni caso è inclusa anche la raccolta di informazioni sui visitatori del sito web tramite strumenti comunemente noti come “cookie” (e tecnologie simili come i pixel, gli script, ecc). Sicuramente avrai notato dei “banner cookie” visitando dei siti web e, similmente alla politica sulla privacy, questi banner cookie hanno lo scopo di fornire una maggiore trasparenza. Visualizzando un banner cookie, gli utenti possono capire meglio quali strumenti vengono utilizzati per raccogliere informazioni su di loro, se accettare o rifiutare il loro utilizzo, e/o poter controllare in maniera precisa quali cookie possono essere considerati accettabili per questo scopo.
Secondo il GDPR, è necessario fornire ai clienti il diritto di dare il consenso a tale raccolta (e all’utilizzo che ne consegue), e l’unico modo in cui il consenso può essere fornito in maniera adeguata è offrire l’opzione di esercitare tale consenso in modo semplice, specifico (per l’utilizzo particolare), ed esplicito. Caselle preselezionate, la regola del “silenzio-assenso” o l’inattività non possono essere utilizzati per indicare il consenso dei clienti. Per esempio, se sul tuo sito web è presente una casella di controllo Condividiamo i tuoi dati con una terza parte per inserzioni pubblicitarie”, non è possibile preselezionare questa casella al fine di raccogliere i dati del soggetto interessato e trattarli. La casella deve essere non selezionata per i soggetti interessati della regione EEA; saranno saranno loro a selezionarla se accettano di dare il consenso al trattamento.
In sostanza, dovresti assicurarti che i tuoi clienti possano esercitare il controllo sull’utilizzo dei propri dati personali, sulle comunicazioni e sui consensi, incluso il diritto di revocare tali consensi.
Diritto di essere dimenticati
Prima abbiamo detto che il GDPR è molto simile ad altre leggi sulla privacy in tutto il mondo; ciò che però lo rende unico è che tratta di un diritto esclusivo dei tuoi clienti. Il GDPR offre ad ogni utente il ‘diritto di essere dimenticati’ (“diritto di cancellazione” per la legge). Ciò significa che il cliente può richiedere di far cancellare i propri dati personali (e di farli “dimenticare”), se questi non sono più utili allo scopo o al trattamento iniziali.
Dove il diritto è applicabile, è necessario eliminare dai sistemi i dati personali del soggetto interessato (a meno che esistano delle ragioni legali o aziendali legittime per conservare tali dati, per esempio ai fini di informativa finanziaria o necessità di conservazione legale).
Per esempio, se un cliente decide di non intrattenere più rapporti commerciali con te, probabilmente non vuole che le sue informazioni archiviate in precedenza vengano conservate. Sebbene esistano delle limitazioni a questo diritto, con eccezioni e sfumature complesse, dove applicabile, è necessario considerare la tua capacità di rispettare la richiesta ricevuta e il modo in cui farlo.
GoDaddy, dal canto suo, come abbiamo descritto e in conformità alle nostre clausole integrative sul trattamento dei dati, rispetterà le tue richieste (in quanto titolare del trattamento) di rimuovere dai sistemi le informazioni personali dei clienti nel caso in cui lo richiedessero.
Diritto di portabilità dei dati
La portabilità dei dati è un altro diritto unico del GDPR che permette agli utenti di ottenere e riutilizzare i dati personali in base alle proprie necessità e ai diversi servizi. Ciò permette loro di spostare, copiare o trasferire facilmente i dati personali da un ambiente IT a un altro, in modo sicuro e affidabile senza intaccarne la fruibilità.
Mettiamo che tu sia un organizzatore di eventi. Il tuo cliente ti ha fornito tutti i suoi dettagli di contatto e le sue preferenze personali rilevanti, ma poi si è trasferito e ha deciso di assumere un altro organizzatore di eventi. Nella regione EEA, quel cliente deve avere la possibilità di ottenere una copia elettronica dei propri dati personali da fornire facilmente al nuovo organizzatore. GoDaddy è qui per soddisfare tali richieste, entro i limiti dei dati personali dei clienti, ed è in grado di esportare i dati dai prodotti e dai servizi che offriamo direttamente al cliente.
Privacy fin dalla progettazione
La privacy fin dalla progettazione (o di default) significa essenzialmente che per ottenere, trattare, archiviare o utilizzare dei dati personali siano contemplate e incluse le protezioni necessarie; non sono necessarie considerazioni particolari o ulteriori passaggi, devono essere raccolti solo i dati strettamente necessari, devono essere ricevuti in modo sicuro (per esempio crittografandoli), archiviati in un luogo sicuro, e l’accesso deve essere consentito solo a persone con una motivazione valida e appositamente addestrate. Prima di inoltrare i dati personali dei clienti è necessario assicurarsi che anche la terza parte applichi le protezioni adeguate.
Essenzialmente, è come un paziente che si fa visitare da un medico in uno studio. Da paziente, ti aspetti che la tua cartella sanitaria, gli appunti e i consigli ricevuti siano riservati e confidenziali. Riserva lo stesso tipo di sorveglianza ai soggetti interessati e sarai nel giusto.
Qualsiasi verifica delle operazioni commerciali deve includere il modo in cui i prodotti e i servizi di GoDaddy possono essere utilizzati rispettando la privacy. Noi speriamo che i nostri prodotti e i nostri servizi soddisfino le tue esigenze, ma sta a te prendere una decisione indipendente riguardo l’utilizzo adeguato dei nostri servizi relativamente alle leggi applicabili sulla privacy e sulla protezione dei dati personali.
Notifiche della violazione dei dati
Nel caso spiacevole di una violazione dei dati personali, le aziende hanno il dovere di comunicare la violazione all’autorità di supervisori entro 72 ore, o comunque in maniera tempestiva. Per ulteriori dettagli sulla divulgazione e quali passaggi seguire, consulta il tuo avvocato.
Cosa significa questo per noi?
Come menzionato in precedenza, per la maggior parte del tempo GoDaddy è responsabile del trattamento. I dati verranno trattati per tuo conto esclusivamente per fornire i servizi che hai acquistato da noi, o come diversamente specificato. È possibile usare i nostri servizi per raccogliere dati al fine di vendere i tuoi prodotti o per raccogliere informazioni sulle prenotazioni o sui potenziali clienti? Nessun problema. Ci assicureremo per te che i dati vengano trattati in modo sicuro e riservato.
In qualità di titolare del trattamento, sei tu a controllare il modo in cui i dati vengono utilizzati e archiviati e li elaboreremo solo secondo i termini del ns Appendice sul trattamento dei dati nella fornitura e manutenzione dei servizi per tuo conto. Ciò significa che devi prestare molta attenzione alle tue politiche interne e all'accesso dei dipendenti ai record, incluso il modo in cui condividi i dati con terze parti e la facilità con cui qualcuno può accedere alle informazioni dell'interessato.
Come vedi dai punti chiave di cui sopra, il GDPR (e altre leggi sulla privacy) si occupano principalmente di assicurare che i dati che raccogliamo e utilizziamo per avere successo con la nostra azienda, siano sicuri e protetti in modo adeguato.