Tutto sotto controllo con il GDPR dell'UE?
Il regolamento generale europeo sulla protezione dei dati (EU GDPR) è in vigore dalla fine di maggio. Anche se si tratta di una legge dell'UE, riguarda certamente le aziende svizzere. Come si sono preparate le PMI a questo proposito?
Il GDPR dell'UE ha un obiettivo principale: proteggere meglio i dati personali dei clienti dall'uso improprio e garantire agli utenti più diritti. I legislatori dell'UE hanno gli occhi puntati soprattutto sui grandi "raccoglitori di dati" come Google, Amazon, Facebook, ecc. Il regolamento europeo sulla protezione dei dati (GDPR) è un passo importante in questa direzione. Tuttavia, tutte le aziende che trattano e immagazzinano dati personali in qualsiasi forma sono interessate - e le leggi sono inesorabili in questo senso.
Molto sforzo
A chi lo chiedi: ovunque, anche in Svizzera, si dice che il GDPR dell'UE ha portato soprattutto un'accozzaglia di lavoro supplementare. Perché anche le aziende della "piccola" Svizzera hanno dovuto fare i conti con il "juggernaut" GDPR dell'UE, che nelle ultime settimane si è espresso in innumerevoli e-mail che chiedono la conferma o il rinnovo dei dati personali. Questo perché il nuovo regolamento stabilisce che i dati personali possono essere memorizzati solo con il consenso esplicito. Le aziende che hanno ampi archivi di dati, compresi i dati che sono stati conservati per anni ma quasi mai utilizzati, hanno avuto più problemi. Pertanto, hanno dovuto ottenere nuovamente il consenso di tutti i destinatari. Molti utenti hanno preso questa come un'opportunità per dire definitivamente addio al database del mittente. Per gli email marketer in particolare, questa re-opt-in è stata un'arma a doppio taglio: da un lato, hanno corso il rischio di perdere molti destinatari più o meno per sempre, ma dall'altro, la qualità del database è aumentata: coloro che hanno risposto positivamente alla re-opt-in hanno fatto capire che volevano ancora ricevere informazioni e quindi appartengono al gruppo target. Secondo gli esperti, tuttavia, questa riapertura non sarebbe stata assolutamente necessaria: Chiunque abbia già ottenuto dati tramite opt-in è già al sicuro secondo il GDPR.
Proteggere i cittadini dell'UE a livello globale
Due criteri sono decisivi per l'applicabilità del GDPR dell'UE alle imprese svizzere: da un lato il luogo di stabilimento e dall'altro il mercato di destinazione. Così, se un webshop con sede in Svizzera offre o vende beni a persone residenti in un paese dell'UE, rientra nel campo di applicazione del GDPR. Questo include anche una serie di misure pubblicitarie. Il legislatore si è concentrato in particolare sulla cosiddetta pubblicità basata sul comportamento. Se, per esempio, un operatore alberghiero svizzero crea profili dei suoi clienti dell'UE per poter fare loro nuove offerte "su misura", anche questo rientra nel GDPR "nella misura in cui il profilo è creato sulla base del comportamento nell'UE", come si legge in un documento informativo dell'Incaricato federale della protezione dei dati e dell'informazione IFPIC. Il GDPR si applicherà probabilmente anche al caso in cui l'operatore di un sito web utilizza il web tracking per trarre conclusioni sulle preferenze dei prodotti o simili in base al comportamento di navigazione degli utenti. Ciò significa che i siti web devono prima chiedere ai visitatori se è possibile utilizzare i cosiddetti cookie. Questo perché sono ciò che rende possibile il tracciamento in primo luogo.
Pulizia dei dati attesa da tempo
Le aziende che abbiamo intervistato sembrano aver fatto i loro compiti. È stato uno sforzo, ma l'effetto positivo è probabilmente: ora c'è "ordine nella scuderia" sotto forma di un database interno ripulito senza "cadaveri di file". E i clienti possono essere informati in qualsiasi momento sui dati che hanno memorizzato e sono obbligati a cancellarli se lo desiderano - a meno che non ci sia una legge di grado superiore che lo vieti.
E cosa succede in caso di violazioni del GDPR dell'UE? Le sanzioni minacciate devono essere prese abbastanza seriamente. Tuttavia, chi ha sempre trattato i dati personali in modo affidabile dovrebbe avere poco da temere dalla minaccia di sanzioni. In ogni caso, resta da vedere come sarà l'attuale giurisprudenza e se si verificherà una marea di cause. Non appena saranno disponibili le prime sentenze dei tribunali, diventerà chiaro se e in quale forma si dovranno riadattare i propri processi di dati.
"I miei dati mi appartengono"
Nonostante tutte le critiche al GDPR dell'UE - come è noto, una legge svizzera riveduta sulla protezione dei dati è anche in cantiere e probabilmente genererà più lavoro - è importante notare che la nuova legge sulla protezione dei dati dell'UE non è l'unica: Quando si tratta di dati come una cosiddetta "nuova moneta", c'è bisogno di regole generalmente applicabili. Dopo tutto, va bene se ognuno di noi che distribuisce quotidianamente i suoi dati attraverso i canali online quasi "à discrétion" può anche avere sempre un'idea di quello che succede con le sue informazioni personali. È come controllare regolarmente il tuo saldo bancario. E chi non si prende cura dei propri soldi?
Come le PMI svizzere hanno affrontato il GDPR dell'UE
Le PMI svizzere hanno affrontato i requisiti del GDPR dell'UE in modo diverso. Ne abbiamo parlato con Gaby Stäheli, Co-CEO della GRYPS Offertenportal AG di Rapperswil con 17 dipendenti.
Signora Stäheli, quale lavoro (aggiuntivo) le ha causato finora il GDPR dell'UE in generale?
Gaby Stäheli: Per la preparazione e la realizzazione dei compiti più importanti fino all'introduzione, abbiamo avuto bisogno di circa 10-15 giorni di persone. Per un'azienda con 17 dipendenti che lavorano a pieno regime, questo è un enorme sforzo aggiuntivo. Ci aspettiamo uno sforzo supplementare quando la Svizzera seguirà l'esempio.
Dove, per esempio nei vostri siti web, avete dovuto fare i maggiori aggiustamenti?
La formulazione della politica sulla privacy, che ora è molto più completa, e il design dei nostri questionari online. Anche la definizione dei processi interni relativi alle future divulgazioni e cancellazioni di dati è stata costosa.
Come vi assicurate che, per esempio, i clienti possano esercitare il "diritto all'oblio" dei loro dati?
Un processo definito internamente viene avviato non appena un cliente richiede o desidera che i suoi dati vengano cancellati. Tuttavia, questo è possibile solo se non è in contraddizione con il periodo legale di conservazione dei dati per le transazioni dei clienti.
Più in generale, come garantite la sicurezza dei dati personali che gestite?
Tutti i sistemi e i server su cui si trovano i dati dei clienti sono criptati. Questi sono situati in centri dati professionali con alti standard di sicurezza garantiti. Anche i nostri dipendenti sono formati di conseguenza.
Informazioni: potete trovare altre interviste nella sezione Edizione stampata ORGANIZZATORE 6-2018.
