Autovalutazione della conformità normativa al GDPR

È necessario assegnare chiaramente la responsabilità per la sorveglianza della protezione dei dati quando si svolgono attività di marketing diretto.

Se del caso, dovresti disporre di gruppi di indirizzo per monitorare le prestazioni nella protezione dei dati ed esaminare questioni pertinenti.

È necessario disporre di linee di segnalazione e collegamenti efficaci tra i ruoli chiave per garantire un approccio coordinato.

È necessario un programma di lavoro mirato per il marketing diretto e la protezione dei dati; la direzione dovrebbe monitorarne regolarmente i progressi.

È necessario disporre di politiche e procedure, approvate dalla dirigenza aziendale, per fornire indicazioni al personale su come conformarsi alla legislazione sulla protezione dei dati quando si svolgono attività di marketing diretto.

È necessario comunicare queste politiche al personale, inclusi dipendenti a tempo determinato o collaboratori temporanei, e rivederle regolarmente.

Dovresti stabilire parametri di prestazione, che riflettono le esigenze e i rischi dell'organizzazione, per consentirte di controllare la conformità.

Si dovrebbe intraprendere un monitoraggio su base regolare e riferire i risultati al responsabie in capo al marketing diretto in modo che possa valutare i rischi e intraprendere le azioni appropriate.

Condurre controlli o audit regolari delle tue pratiche di marketing diretto ti aiuterà a garantire la conformità per la protezione dei dati.

È necessario informare tutto il personale addetto al marketing diretto in merito alle proprie responsabilità sulla protezione dei dati al momento o immediatamente dopo la designazione e con aggiornamenti regolari per mantenere adeguati livelli di consapevolezza.

Il materiale di sensibilizzazione sulla protezione dei dati potrebbe includere poster, e-mail a livello di intero ufficio, aggiornamenti intranet o newsletter.

Se necessario, dovresti fornire una formazione specializzata al personale in particolari ruoli specifici, in base alle esigenze del ruolo professionale svolto.

Ai sensi della legislazione sulla protezione dei dati (GDPR):

• il consenso deve essere un'azione positiva, che dimostri come l'interessato accetti l'uso dei propri dati personali per il marketing diretto.
• non sono consentite caselle di attivazione preselezionate: il silenzio o l'inattività dell'interessato non dimostrano la concessione del consenso.

Dovresti:

• assicurarti che il consenso per il marketing sia separato da altre richieste di consenso.
• informare l'interessato sui metodi di marketing che si intendono utilizzare, ad esempio e-mail, testo, telefono, chiamata automatica, posta.
• fornire all'interessato la possibilità di scegliere i sistemi di contatto preferiti (cosiddetto "consenso granulare"). Gli interessati non dovrebbero infatti essere costretti ad accettare tutto o niente.
• rendere facile all'interessato revocare il consenso e fornire informazioni specifiche per farlo.
• identificare la tua azienda e qualsiasi terza parte che si basa sul consenso per il trattamento dei dati personali.

Dovresti essere in grado di identificare:

• nome o altro identificativo dell'interessato.
• ora e data in cui l'interessato ha espresso il consenso.
• la piattaforma o il meccanismo che hai utilizzato per ottenere il consenso.
• esattamente le attività oggetto del consenso.

Dovresti essere in grado di aggiornare facilmente le informazioni del punto precedente alla ricezione di eventuali modifiche.

Dovresti archiviare il testo del sito web, il volantino, il contratto, lo script telefonico ecc. che hai usato per informare l'interessato nel momento in cui ha fornito il consenso. È necessario incrociare queste informazioni con le schede dei clienti per tenere traccia in modo accurato di ciò a cui hanno acconsentito se è necessario recuperare tali informazioni.

Se gestisci più di un marchio o attività commerciale collegata, devi essere specifico su quale attività commerciale ha ottenuto il consenso. Per il marketing incrociato dei marchi è necessario fornire i nomi di tutti i marchi al momento di ottenere il consenso. Non puoi presumere che se un interessato acconsente al marketing di un marchio acconsenta al marketing di tutti.

Se offri servizi online ai minori e devi ottenere il consenso, devi adottare misure di verifica dell'età e chiedere il consenso dei genitori ai minori di 13 anni.

Se si trasmettono i dati personali degli interessati a terzi per finalità di marketing, è necessario richiedere specificamente questo consenso. Devi fornire all'interessato il nome di tutte le terze parti coinvolte. Devono esserci dettagli sufficienti per consentire all'interessato di operare sul marketing una scelta informata.

Dovresti anche esaminare i consensi e i meccanismi di consenso esistenti per verificare che soddisfino gli standard previsti dal GDPR. In tal caso, non è necessario ottenere un nuovo consenso conforme al GDPR.

Tuttavia, se il consenso non è conforme, dovrai richiedere un nuovo consenso conformemente al GDPR o identificare un diverso criterio di liceità per il trattamento (e assicurarti che la prosecuzione del trattamento sia corretta) o interrompere il trattamento.

Non tutto il marketing richiederà il consenso poiché il criterio del legittimo interesse potrebbe potenzialmente essere applicato in tutte le situazioni in cui non è richiesto obbligatoriamente il consenso, ad esempio marketing postale, chiamate in diretta a numeri non registrati nel registro delle opposizioni o posta elettronica, in cui si applica il criterio della scelta in ingresso debole (soft opt-in).

La tua azienda deve:

• dimostrare che il marketing diretto è necessario per i tuoi scopi.
• eseguire un test di bilanciamento per la stima del legittimo interesse.
• dare agli interessati una chiara opzione di rinunciare (opt-out) al marketing diretto quando acquisisci i loro dati personali.

Non dovresti utilizzare elenchi acquistati per e-mail, messaggi di testo o chiamate automatizzate, a meno che non si abbia la prova di un consenso esplicito (opt-in) concesso negli ultimi sei mesi dove è specificato il nome della propria attività.

Se raccogli il consenso dei minori, dovresti disporre di prove adeguate per dimostrare che hai preso provvedimenti per verificare l'età del minore e che hai ottenuto il consenso dei genitori.

È necessario tenere traccia di quando e come è stato ottenuto il consenso raccolto e l'oggetto esatto del consenso stesso.

Puoi mantenere un "elenco di soppressione" delle persone che non desiderano ricevere marketing. È necessario mantenere tale elenco aggiornato e accurato e valutare quali addetti possono accedervi.

Dovresti fornire una informativa sulla privacy agli interessati delineando:

• quali metodi di comunicazione per il marketing utilizzerai.
• i dettagli di qualsiasi condivisione con terze parti.
• le finalità di qualsiasi condivisione che può aver luogo, a meno che non sia applicabile un'esenzione di legge.
• il criterio di liceità per il trattamento.
• come gli interessati possono revocare il proprio consenso e opporsi al marketing.

Dovresti chiedere il consenso per trasmettere i dati di contatto a terze parti per il marketing e indicare i nominativi di ciacuna di esse.

È necessario tenere traccia di quando e come è stato ottenuto il consenso raccolto e l'oggetto esatto del consenso stesso.

Puoi mantenere un "elenco di soppressione" delle persone che non desiderano ricevere marketing. È necessario mantenere tale elenco aggiornato e accurato e valutare quali addetti possono accedervi.

Se terze parti agiscono come responsabili del trattamento che svolgono attività di marketing, dovresti avere stipulato specifici contratti per garantire la sicurezza di tutti i dati forniti.

Dovresti fornire una informativa sulla privacy agli interessati delineando:

• quali metodi di comunicazione per il marketing utilizzerai.
• i dettagli di qualsiasi condivisione con terze parti.
• le finalità di qualsiasi condivisione che può aver luogo, a meno che non sia applicabile un'esenzione di legge.
• il criterio di liceità per il trattamento.
• come gli interessati possono revocare il proprio consenso e opporsi al marketing.

Revocare il consenso deve essere facile come era stato concederlo. Ciò significa che il processo di revoca del consenso dovrebbe essere una procedura a singola fase facilmente accessibile. Se possibile, gli interessati dovrebbero essere in grado di ritirare il proprio consenso utilizzando lo stesso metodo di quando lo hanno dato.

È necessario conservare una traccia dettagliata per dimostrare la raccolta del consenso: chi ha acconsentito, quando, come e cosa è stato detto. Ciò faciliterà in qualsiasi momento la revoca del consenso da parte degli interessati.

Prendi in considerazione l'utilizzo di strumenti di gestione delle preferenze in modo che gli interessati possano accedervi e aggiornare le proprie impostazioni di consenso. Tieni sotto controllo i consensi raccolti e aggiornali se cambia qualcosa. Stabilisci revisioni regolari del consenso nei tuoi processi aziendali.

Gli interessati possono opporsi al marketing se utilizzi il legittimo interesse come criterio di liceità per il marketing diretto.

Gli interessati hanno il diritto di rinunciare al marketing (opt-out), se originariamente era stato applicato il criterio della scelta in ingresso debole (soft opt-in).

I dati personali in tuo possesso devono essere accurati e aggiornati. Ciò che rientra in queste categorie cambierà nel tempo e man mano che le esigenze della tua azienda cambieranno.

È necessario disporre di procedure atte a garantire la correzione o la rimozione periodica di qualsiasi dato personale utilizzato per il marketing diretto che sia inesatto o obsoleto.

È necessario adottare misure ragionevoli per garantire l'accuratezza dei dati personali raccolti per il marketing diretto e per far fronte alle sfide relative all'accuratezza dei dati personali degli interessati, le cui informazioni vengono acquisite nel tempo. Ciò dovrebbe consentire la modifica, la rimozione o la precisazione dei dati personali ove opportuno.

Laddove un interessato riscontri che i propri dati sono inesatti o ti chiede di cancellari, allora dovresti disporre di procedure per assicurarti di rispondere alla sua richiesta entro un mese.

I dati raccolti attraverso attività di marketing diretto dovrebbero essere adeguati, pertinenti e limitati a quanto necessario. Se non prendi decisioni in merito a quali dati personali dovresti conservare per il marketing diretto, allora rischi di raccogliere dati in eccesso e di violare la privacy di un interessato, oppure potresti disporre di così poche informazioni da non garantire un efficace processo decisionale su tali soggetti. Ancora una volta ciò che è adeguato, pertinente e non eccessivo cambierà con le esigenze aziendali.

È necessario identificare quali tipi di archivi o insiemi di dati sono raccolti ed elaborati a seguito di attività di marketing diretto, quale tipo di informazione è conservato da questi archivi e quindi scartare, eliminare o anonimizzare i dati personali all'interno di archivi in tuo possesso non appena diventano eccedenti le tue esigenze.

Dopo aver identificato i tipi di archivi o insiemi di dati in tuo possesso, è possibile assegnare i periodi di conservazione. È quindi possibile distruggere gli archivi in modo sicuro alla fine dei rispettivi periodi.