Sapere come elaborare i dati in base al GDPR? Quindi supera questo test rapido.

Alcuni quiz ti dicono se la tua personalità è più una "primavera" o un "autunno".

Alcuni ti dicono se l'Autorità per la protezione dei dati ha o meno il diritto legale di multare la tua azienda per milioni di dollari.

Indovina quale è questo.

È ora di giocare, questo è conforme al GDPR?

1.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

2.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

3.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

4.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

5.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

6.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

7.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

8.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni

9.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

10.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

11.

1. Questo è conforme.
2. Questo non è conforme.
3. Hmm... abbiamo bisogno di più informazioni.

Tasto di risposta

1. B
2. B
3. B
4. UN
5. B
6. B
7. UN
8. B
9. UN
10. C
11. C

Se hai... 11 su 11

Congratulazioni! Sei una superstar del GDPR... o qualcosa del genere.

Titoli, riconoscimenti e badge non sono importanti. Ma la conformità al GDPR lo è davvero.

E sembra che tu sappia come elaborare i dati personali (a meno che tu non abbia indovinato), che si tratti di cookie, e-mail o dati sensibili.

Quindi datti una pacca sulla spalla. Condividi la tua saggezza. Prepara i tuoi colleghi. E rileggi le spiegazioni di seguito, se c'è qualcosa di cui non sei sicuro.

Se hai... qualcosa di meno di 11 su 11.

beh. Ce l'abbiamo. Questa roba è difficile.

Potresti voler continuare a leggere...

Ne manca uno? Indovina un paio di volte? Hai bisogno di un promemoria? Ecco una rapida ripartizione.

1. B

Ehi, guarda, è quell'esempio che potresti aver visto in giro per Internet!

Esatto amici, non controllare in anticipo le caselle del consenso. Le persone devono dare il consenso attivamente ora.

"Volevo solo fare clic sul pulsante "Avanti". Non ho nemmeno visto quella casella di controllo. Ora sono nella tua mailing list?”—non è mai una cosa che i tuoi utenti dovrebbero pensare.

Ecco cosa dice GDPR sul consenso al trattamento, per renderlo ufficiale:

Consenso" dell'interessato indica qualsiasi manifestazione di volontà dell'interessato, data liberamente, specifica, informata e inequivocabile con la quale lo stesso, con una dichiarazione o con un'azione affermativa esplicita, esprime il consenso al trattamento dei dati personali che lo riguardano o lei – Articolo 4

Chiara, affermativa, azione. Mantieni quelle caselle vuote.

2. B

No, non conforme.

La chiave qui è qualcosa chiamato "raggruppamento", che non è consentito dal GDPR. Ecco un paio di citazioni diverse che danno a questo un "no".

“Se il consenso dell'interessato è prestato nell'ambito di una dichiarazione scritta che riguardi anche altre materie, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie (…) ” – Articolo 7, comma 2

“Il consenso dovrebbe riguardare tutte le attività di trattamento svolte per lo stesso scopo o finalità. Quando il trattamento ha più finalità, per tutte deve essere prestato il consenso ” – Considerando 32

Quindi, partecipare a un evento? Questo è un chiaro "scopo diverso" rispetto a una newsletter mensile. Il consenso deve essere chiesto separatamente.

3. B

Sembra il nostro modulo di adesione standard e persuasivo. E questo è tutti i tipi di non conformi.

Prima di tutto, sta chiedendo di raccogliere molte informazioni che non sono necessarie per portare l'interessato al loro obiettivo (ovvero: inviare loro il PDF che si stanno iscrivendo per ricevere). Ciò va contro il requisito GDPR di minimizzazione dei dati o "privacy by design". La migliore pratica qui è: se stai raccogliendo informazioni e non è chiaro il motivo per cui le stai raccogliendo, dovresti renderlo noto ai tuoi utenti.

Facebook offre un ottimo esempio di come farlo bene:

Inoltre, questo esempio, ancora una volta, è raggruppato.

È un raggruppamento leggermente meno eclatante rispetto all'esempio precedente. Qui, accettando di ricevere il PDF, stai almeno dando il consenso a ricevere il contenuto. Un abbonamento a una mailing list e un download, a questo proposito, hanno uno "scopo" simile. Tuttavia, formulato com'è, ti sarebbe difficile inquadrarli come "lo stesso". Quindi il consenso dovrebbe essere dato separatamente.

4. A

Ehi no, questo è abbastanza buono!

Ora potresti argomentare che non HANNO BISOGNO di raccogliere il nome di un'azienda o un numero di telefono qui. Quindi, adattandosi alla privacy in base alla progettazione, quei campi dovrebbero essere omessi.

Ma considerando che il tuo obiettivo utente qui è eseguire un test di CRM e, sai, gestire le relazioni con i clienti per la loro azienda, ha senso che SuperOffice voglia sapere chi è quell'azienda.

Quindi gli daremo un passaggio.

Inoltre, controlla quanto sono belle, segmentate e deselezionate quelle caselle. Chiedono un consenso esplicito alla loro politica sulla privacy. Hanno chiesto un consenso attivo e separato.

Quando viene istituito il GDPR, questo dovrebbe volare.

5. B

Essi. erano così. chiudere.

Fino a quella seconda casella di controllo e alla menzione di terzi.

Ai sensi del GDPR, qualsiasi terza parte con cui desideri condividere i tuoi dati deve essere nominata. "Terze parti fidate" non è abbastanza chiaro. Le categorie non funzionano. Se qualcuno ha intenzione di accettare l'ascolto di terze parti, deve sapere esattamente chi sono queste parti.

6. B

Quindi, la buona notizia è che... hanno ragione di terze parti.

Hanno ottenuto il consenso disaggregato giusto.

Ma questo è un opt-out, non un opt-in.

Verrai contattato a meno che non selezioni "no".

Non mi sembra un consenso affermativo e attivo.

7. A

10/10.

Woolworth NAILS granulare opt-in.

Se ti stai chiedendo perché sono stato irrazionalmente entusiasta di questo esempio, questo è qualcosa che molti moduli sbagliano.

Un errore comune è chiedere il consenso per inviare materiali, ma dimenticare di separare il "come".

Quindi un promemoria: se vuoi inviare sms, hai bisogno di un consenso specifico per inviare sms. Se vuoi inviare email, hai bisogno di un consenso separato e specifico per inviare email.

Woolworth ti dice anche esattamente che tipo di materiali riceverai da loro. È una buona idea, sia per la conformità al GDPR, sia per convincere il tuo pubblico a registrarsi.

8. B

Un momento di silenzio per il soft opt-in, perché il GDPR l'ha ucciso.

I cookie, con identificatori univoci, sono dati personali ai sensi del GDPR.

E come ricordi, i dati personali richiedono il consenso attivo, inequivocabile, specifico, yada yada yada.

Ciò significa che l'intera assurdità "usando questo sito accetti" non è più legale. E non puoi iniziare a eseguire i cookie finché non ottieni un sì affermativo.

(Questo è un argomento grande, complicato e disordinato, che ha a che fare con l'intersezione di GDPR ed ePrivacy. Puoi leggere di più qui).

9. A

Questo fa tutto ciò che il numero 8 ha fatto in modo sbagliato, giusto.

Ti dice esattamente a cosa servono quei cookie. E poi ti dà una chiara opzione per accettarli o non accettarli.

E per un tocco finale, ti consente di espandere e selezionare quali cookie stai bene e con quali no.

È una cosa di bellezza, dal punto di vista legale.

(Dal punto di vista del marketing, tuttavia, non hai fornito ai tuoi utenti molti motivi per acconsentire o meno. Forse una migliore spiegazione del vantaggio dei cookie del tuo sito potrebbe aiutare in questo sforzo).

10. C

Quindi, una specie di domanda trabocchetto.

Come accennato, se parliamo di consenso approvato dal GDPR, questo non riesce. Le caselle preselezionate sono un "no".

Ma se ci chiediamo "Lancome ha il diritto di inviare un'e-mail a questa persona?", abbiamo ancora alcune cose da valutare.

Perché nel caso in cui ciò non fosse abbastanza complicato, il consenso non è l'unico modo per trattare lecitamente i dati personali .

Inserisci: la condizione di interesse legittimo.

Ma non ti eccitare. L'elaborazione dei dati a causa di "interessi legittimi" percepiti è complicato.

Questa condizione è più per le situazioni "Avevo bisogno di elaborare il loro numero di conto per eseguire servizi di prevenzione delle frodi".

Non "Pensavo legittimamente che fossero interessati, quindi ... ho inviato loro un sacco di e-mail senza consenso".

Ma una cosa che sembra dare alle persone il via libera ha a che fare con i dati per i clienti esistenti.

Ecco la riga nella legislazione di cui parlano:

“ Tale interesse legittimo potrebbe sussistere, ad esempio, quando esiste una relazione pertinente e appropriata tra l'interessato e il responsabile del trattamento in situazioni come quelle in cui l'interessato è un cliente o al servizio del responsabile del trattamento. ” – Considerando 47

La chiave qui è chiedersi: "Eseguendo questa azione, me (l'interessato) potrebbe ragionevolmente aspettarsi che i miei dati vengano utilizzati in questo modo?"

Quindi, se compro una maglietta, dovrei ragionevolmente aspettarmi di ricevere un'e-mail di conferma del mio acquisto? (Senza il consenso esplicito a ricevere email?).

Sì, hai un caso abbastanza buono, l'interesse legittimo si applica qui.

Che ne dici di un avviso che ci sarà un enorme sconto la prossima settimana su un prodotto simile?

Il tuo caso sta diventando un po' più sottile.

Email settimanali?

Cartarrrr sottile.

Ad essere onesti, oltre le tue conferme d'ordine standard, non rischieremmo. Chiedere il consenso (correttamente!), è il modo più sicuro per garantire che le tue basi siano coperte.

Ma se vuoi davvero utilizzare la condizione di interesse legittimo per elaborare i dati personali, ti preghiamo di leggere prima questo.

11. C

UN ALTRO DIVERTENTE TOCCO SU QUESTO.

Il GDPR delinea una categoria separata di dati denominata "dati personali sensibili". E i requisiti di elaborazione sono diversi per questo tipo di informazioni.

Lo ammetto subito, questo non è l'esempio migliore. Quindi è stata una domanda crudele, ed è una specie di forzatura. (C'è una discussione complicata in corso in questo momento su a che punto il peso di qualcuno conta come dati sulla salute dal punto di vista della privacy dei dati, se sei interessato).

Ecco la lingua esatta su quali dati contano come "sensibili", dall'articolo 9:

Per dati personali sensibili si intendono i dati personali costituiti da informazioni in merito a:

a) l'origine razziale o etnica dell'interessato,

(b) le sue opinioni politiche,

(c) le sue convinzioni religiose o altre credenze di natura simile,

(d) se è iscritto a un sindacato (ai sensi del TU 1992 sindacato e rapporti di lavoro),

(e) la sua salute o condizione fisica o mentale,

(f) la sua vita sessuale,

(g) la commissione o la presunta commissione da parte sua di qualsiasi reato, o

(h) qualsiasi procedimento per qualsiasi reato commesso o che si presume sia stato commesso da lui, l'eliminazione di tale procedimento o la sentenza di qualsiasi tribunale in tale procedimento.

Quindi supponiamo che questa app raccolga ciò che, di sicuro, conta come dati su un soggetto "salute o condizione fisica o mentale". Chiede informazioni sulle condizioni mediche precedenti, registra il peso e la pressione sanguigna o i modelli di sonno nel tempo.

Se raccoglie informazioni che contano come dati personali sensibili, che cosa?

Se i dati personali di questa app non fossero sensibili, questo sembra un modulo di assunzione piuttosto conforme. Sembra che dovrebbe essere un chiaro caso di interessi legittimi.

Ti stai registrando per utilizzare l'app. Vuoi usare l'app. Acconsenti all'utilizzo dell'app.

E l'app tiene traccia della tua forma fisica.

Certo, ti sembra legittimo che ti chiedano dati sulla tua forma fisica. Inoltre c'è una politica sulla privacy accessibile e una dichiarazione sui termini delle condizioni lì se vuoi sapere come vengono utilizzati quei dati.

Ma ci sono ulteriori condizioni di trattamento che dobbiamo seguire, se si tratta di "dati personali sensibili".

1. Gli interessi legittimi non contano più come condizione di elaborazione.
2. Se scegli di elaborare in base alla condizione del consenso, non deve più essere solo "non ambiguo", deve essere "esplicito".

Ciò significa che semplicemente fare clic su un pulsante "Iscrivimi" non è abbastanza buono.

Il GDPR afferma che è necessaria una dichiarazione che "specifici la natura dei dati che vengono raccolti, i dettagli della decisione automatizzata e i suoi effetti, o i dettagli dei dati da trasferire e i rischi del trasferimento" (Direttiva 95/46/ CE, articolo 29).

Oppure, poiché l'ICO lo scompone:

Ciò suggerisce che il consenso dell'individuo dovrebbe essere assolutamente chiaro. Dovrebbe coprire i dettagli di elaborazione specifici; il tipo di informazione (o anche la specifica informativa); le finalità del trattamento; e qualsiasi aspetto speciale che possa interessare l'individuo, come qualsiasi divulgazione che potrebbe essere effettuata.

E POI, una volta che le persone lo sanno tutto, è necessario sollecitare loro un'azione esplicita. Ad esempio, spuntare una casella che dice "Accetto" o "Acconsento".

Fondamentalmente: dovrebbero sapere tutto ciò che stai facendo con quei dati. E dovrebbero dirti chiaramente che sono d'accordo con un'azione affermativa.

Quindi, se si tratta di dati personali sensibili, non è sufficiente inserire la tua politica sulla privacy e i termini di servizio in caratteri piccoli dopo il modulo. Dovresti assicurarti che le persone abbiano la possibilità di leggerlo, quindi selezionare una casella o fare clic su un pulsante che dice "Accetto".