Non farti ingannare da questi 6 miti del GDPR

Pubblicato: 2018-03-12
Non farti prendere in giro da questi 6 miti del GDPR

Mancano pochi mesi terrificanti al giorno di implementazione del GDPR e Internet è pieno di cattivi consigli.

La quantità di post sul blog e risposte di Quora che ho visto disseminati di luci verdi, che dovrebbero essere ROSSE, è sbalorditiva.

E poiché noi di Convert, abbiamo passato sempre più tempo a imparare, leggere e strapparci i capelli per questo nuovo, grande, importante atto legislativo, più il mio cervello ha iniziato a far lampeggiare campanelli d'allarme.

"Questo comportamento standard del settore ora è negativo ", afferma. "DEVI AVVERTIRLI."

Ecco.

Queste sono le 6 grandi bugie che la gente crede sul GDPR che la gente sbaglia e che tutti noi dobbiamo correggere entro il 25 maggio.

Mito n. 1: questo riguarda solo l'UE.

Se solo.

Una delle cose più ambiziose del GDPR è il modo in cui amplia l'ambito legislativo delle politiche sulla privacy dei dati. Ora, c'è un atto legislativo generale che stabilisce le regole in tutta l'UE.

Ma oltre a ciò, il GDPR è importante per chiunque abbia a che fare con i dati dei cittadini dell'UE.

Anche se la tua azienda ha sede altrove, se hai visitatori web cittadini dell'UE e li monitori con i cookie, dovresti applicare il GDPR. Se raccogli le e-mail di interessati europei, se memorizzi il loro indirizzo IP, se interagisci con i loro dati , sei vincolato alle stesse nuove regole di chiunque abbia un server con sede nell'UE.

E onestamente, anche se sei sicuro al 100% di non avere a che fare con i dati dell'UE, rispettare il GDPR è un buon passo nella giusta direzione. Le leggi sulla privacy ovunque stanno cambiando. Il Canada sta lavorando a una nuova legislazione con il Privacy Act.

I dati sono, sempre di più, una preziosa forma di valuta. Il che rende la legislazione sui dati più importante che mai.

Mito n. 2: posso giustificare i miei cookie/e-mail fredde/ecc. per “legittimo interesse”.

La condizione di interesse legittimo è... complicata.

Anche se può (momentaneamente) lasciarti un po' di respiro per alcuni tipi di email fredde, non è così utile come potrebbero sperare gli esperti di marketing.

Per fare un po' di backup, il GDPR delinea 6 diverse condizioni legali per l'elaborazione dei dati. I due rilevanti per gli esperti di marketing sembrano essere: il consenso dell'interessato e gli "interessi legittimi".

Richiedere il consenso richiede che tu soddisfi tutti i tipi di condizioni: deve essere attivo, non ambiguo, affermativo, ecc.

In confronto, "interessi legittimi" sembra una passeggiata nel parco. Ma l'intenzione di questa clausola non era "Pensavo legittimamente che fossero interessati... quindi posso inviare loro quello che voglio, giusto?"

Ecco cosa ti consiglia di confermare l'ICO (l'organismo di regolamentazione dei dati del Regno Unito) prima di decidere di elaborare i dati….

  • Abbiamo verificato che gli interessi legittimi siano la base più appropriata.
  • Comprendiamo la nostra responsabilità nel proteggere gli interessi dell'individuo.
  • Abbiamo condotto una valutazione degli interessi legittimi (LIA) e ne abbiamo tenuto un registro, per assicurarci di poter giustificare la nostra decisione.
  • Abbiamo identificato gli interessi legittimi rilevanti.
  • Abbiamo verificato che la lavorazione è necessaria e non esiste un modo meno invadente per ottenere lo stesso risultato.
  • Abbiamo fatto un test di equilibrio e siamo fiduciosi che gli interessi dell'individuo non prevalgano su quegli interessi legittimi.
  • Utilizziamo i dati delle persone solo nei modi che ragionevolmente si aspetterebbero, a meno che non abbiamo un'ottima ragione.
  • Non utilizziamo i dati delle persone in modi che riterrebbero invadenti o che potrebbero causare loro danni, a meno che non abbiamo un'ottima ragione.
  • Se elaboriamo i dati dei bambini, prestiamo particolare attenzione per assicurarci di proteggere i loro interessi.
  • Abbiamo preso in considerazione misure di salvaguardia per ridurre l'impatto ove possibile.
  • Abbiamo considerato se possiamo offrire un opt-out.
  • Se la nostra LIA identifica un impatto significativo sulla privacy, abbiamo considerato se è necessario condurre anche una DPIA.
  • Manteniamo la nostra LIA sotto controllo e la ripetiamo se le circostanze cambiano.
  • Includiamo informazioni sui nostri interessi legittimi nella nostra informativa sulla privacy.

Quindi, se vuoi fare affidamento su interessi legittimi, devi confermare queste cose. E devi documentare il tuo processo. E devi decidere in anticipo che stai elaborando con la condizione di interessi legittimi. Non può essere solo un tuo ripiego perché hai chiesto il consenso in modo errato.

Mito n. 3: devo nominare un responsabile della protezione dei dati.

Il GDPR consiglia ad alcune aziende di nominare un responsabile della protezione dei dati, per supervisionare la transizione e la sicurezza dei dati in futuro.

E i poteri che sono hanno abbastanza chiaro che le autorità pubbliche dovrebbero nominarne uno. E le aziende la cui funzione principale include l'elaborazione dei dati o il monitoraggio sistematico degli stessi. E se elabori regolarmente categorie speciali di dati, come dati sanitari o affiliazioni religiose e politiche, probabilmente dovresti avere un DPO nel tuo team.

Ma a parte queste condizioni, onestamente, non esiste una regola rigida su quando la tua azienda è abbastanza grande da imporre l'assunzione di un DPO. O quando i dati che gestisci sono abbastanza complessi da averne bisogno. 250 dipendenti è una regola pratica spesso sballottata.

In generale, sembra che le PMI che elaborano i tipi e le quantità standard di dati, per scopi di marketing, possano cavarsela con una solida consulenza legale e un'approfondita dedizione alla trasparenza dei dati.

Mito n. 4: questo è un buon modo per chiedere il consenso.

Questo essere...

No! Il consenso deve essere attivo. Non puoi lasciare le tue caselle preselezionate

No! Il consenso deve essere attivo. Non puoi lasciare le tue caselle preselezionate.

No! Questo è raggruppare. Devi chiedere il consenso per processi separati

No! Questo è raggruppare. Devi chiedere il consenso per processi separati, separatamente. Non puoi semplicemente lanciare abbonamenti alla "newsletter mensile" con le iscrizioni agli eventi.

No! Nomina le tue terze parti o non conta!

No! Nomina le tue terze parti o non conta!

No: i cookie persistenti necessitano ora di un consenso esplicito e attivo.

No: i cookie persistenti necessitano ora di un consenso esplicito e attivo. Come in, qualcuno deve fare clic su una cosa o selezionare una casella che dice "Acconsento". Non lo danno semplicemente continuando a navigare.

E le sfumature continuano.

L'importante è: le regole del consenso non sono più quelle di una volta.

Per ulteriori informazioni su ciò che sono ora, abbiamo una ripartizione più sostanziale qui.

Mito n. 5: non sono dati personali.

Il GDPR ha ampliato l'ambito dei dati personali, da ciò che era precedentemente riconosciuto come "Informazioni di identificazione personale".

Vi presentiamo umilmente questa utile tabella:

Dati personali identificativi (PII)
Dati personali
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle
  • Nome completo (se non comune)
  • Indirizzo di casa
  • Indirizzo e-mail
  • numero identificativo nazionale
  • Numero di passaporto
  • Numero di targa del veicolo
  • Numero di patente
  • Volto, impronte digitali o scrittura a mano
  • Numeri di carta di credito
  • Identità digitale
  • Data di nascita
  • Luogo di nascita
  • Informazioni genetiche
  • Numero di telefono
  • Nome di accesso, nome utente, nickname o handle

+

  • Indirizzo IP
  • Identificatori univoci come ID dispositivo, UserID, TransactionID, CookieID
  • Dati pseudonimi (questi sono dati irriconoscibili + chiave in un punto diverso per renderlo nuovamente leggibile)

I più importanti qui sono i cookie, che sono un po' complicati. Esattamente quali tipi di cookie saranno considerati dati personali, sarà stabilito con il nuovo Regolamento ePrivacy.

Al momento, ci sono alcune eccezioni per i cookie nel "settore delle prestazioni". Questi sono i tipi che raccolgono solo informazioni sull'utilizzo del sito Web, a beneficio dell'operatore del sito Web. Non identificano i visitatori, ma si basano su dati aggregati.

Puoi trovare un approfondimento su come il GDPR regolerà i cookie qui.

Mito n. 6: finché aggiorno i miei processi entro il 25 maggio, sono al sicuro.

Come marketer, questa è la condizione del GDPR che mi fa venire voglia di strapparmi i capelli.

Si applica retroattivamente.

Si applica a tutti i tuoi dati esistenti.

Ciò significa che se hai raccolto e-mail, eseguito cookie o pasticciato con dati personali in un modo non conforme al GDPR, tutti i dati archiviati diventano un problema a partire dal 25 maggio.

Noi raccomandiamo:

  1. Indipendentemente dal fatto che i cookie del tuo sito funzionino per una durata di 3, 6 o 12 mesi, è una buona idea ricominciarli da capo e cancellare tutti i dati personali che hanno archiviato.
  2. Esegui una campagna di riautorizzazione per cercare di salvare la tua lista di posta elettronica esistente.

È un mal di testa. Ed è un peccato perdere alcuni di quei contatti per i quali hai lottato duramente.

Ma, come si suol dire...

A volte le cose vanno in pezzi, quindi cose migliori possono andare insieme e anche la privacy dei dati è importante, quindi dovremmo tutti seguire la legge.

Assapora uno degli strumenti di test A/B più attenti alla privacy in circolazione
Assapora uno degli strumenti di test A/B più attenti alla privacy in circolazione