Cosa significa GDPR per la tua azienda

Oggi è un buon giorno per saperne di più su cosa significhi il GDPR per la tua azienda.

Il regolamento generale sulla protezione dei dati dell'Unione europea, o GDPR, entrerà in vigore il 25 maggio 2018. E mentre manca quasi un anno, operativamente, ci sono un carico metrico di cose che devi fare per essere conforme. (Sì, "carico di testa metrico" è un termine tecnico.)

In questo episodio del podcast Rethink, abbiamo parlato con David Fowler, che è il responsabile della privacy, della conformità e della consegna di Act-On. Come afferma David, il GDPR segna il più grande cambiamento nella legge sulla protezione dei dati dell'UE in una generazione. E si applica ai 510 milioni di cittadini dell'UE, così come a tutte le imprese che fanno affari con loro, indipendentemente da dove hanno sede.

Goditi la conversazione e speriamo che tu possa ottenere uno o due utili suggerimenti da portare alla tua attività.

Nathan Isaacs : David, puoi dirmi di più su quello che fai ad Act-On?

David Fowler : Aiuto i nostri clienti a navigare nella roadmap digitale in termini di obblighi previsti dalle leggi locali, statali, federali e internazionali in relazione al marketing digitale. Mi assicuro anche che quando i nostri clienti premono il pulsante "invia" per le loro e-mail, i messaggi abbiano tutte le possibilità di arrivare alla posta in arrivo. La conformità digitale nel 2017 è un campo molto ampio e profondo. Se sei un operatore di marketing negli Stati Uniti che spedisce all'UE, ad esempio, i tuoi obblighi saranno diversi rispetto a se sei un operatore di marketing negli Stati Uniti che spedisce in Canada. È nostro compito informare i nostri clienti dei loro obblighi ai sensi di quelle particolari tabelle di marcia legislative.

Nathan : Una delle cose di cui stiamo parlando oggi è il regolamento generale sulla protezione dei dati, o GDPR. Puoi dirmi di cosa si tratta e di cosa si tratta?

David : Il GDPR è una legge che entrerà in vigore in Europa nel 2018, il 25 maggio per l'esattezza. E quello che è, essenzialmente, è una riscrittura completa della direttiva sui dati dell'UE del 1995. E per quelli di voi che ascoltano il podcast, non ci sono leggi universali in Europa in termini di conformità digitale. Esistono interpretazioni della direttiva sui dati e ciascun paese può determinare quale sia la propria interpretazione di tale legge. Quindi, come puoi vedere, proprio questo in effetti crea questo enorme potenziale di confusione.

Il GDPR è una legge universale che si applicherà a tutte le aziende che hanno cittadini europei nei loro database. Questo sarà su tutta la linea per tutti i paesi all'interno dell'UE. È una legge per 500 milioni di individui.

Nathan : Per le aziende con sede negli Stati Uniti o in altre parti del mondo che fanno affari con individui in Europa, questo vale per loro. È giusto?

Davide : Esatto. E ci sono alcune pesanti multe se sei inadempiente, fino al 4 percento dei ricavi totali di un'azienda. Se sei Google, ad esempio, qual è il 4 percento di un trilione di dollari?

Le tue responsabilità ai sensi del GDPR

Nathan : Una nuova legge si applica a come faccio affari con le persone. Cosa devo fare come azienda per essere conforme?

David : È importante comprendere le responsabilità ai sensi del GDPR. E in Europa hai due gusti. Hai il controllore e il responsabile del trattamento dei dati. Ad esempio, sei un cliente di Act-On. Saresti un controllore secondo la roadmap GDPR. E noi [Act-On] saremmo i responsabili del trattamento dei tuoi dati. I nostri obblighi ai sensi del GDPR sono, A, rispettare la legge, ovviamente. Ma anche B, crea i nostri prodotti e servizi che ti consentono di rispettare i tuoi obblighi ai sensi del GDPR.

Non è nostra responsabilità garantire che tu sia conforme. Ma è nostra responsabilità dimostrare che i nostri prodotti ti consentono di essere conforme, ovvero cose come fornire meccanismi di consenso, backup del consenso, double opt-in, tutti questi tipi di cose che diamo per scontate in termini di autorizzazione, i nostri prodotti dovrebbero essere al punto in cui lo fanno.

L'utilizzo di una piattaforma di automazione del marketing nell'ambito del GDPR è qualcosa che tu, in quanto titolare del trattamento dei tuoi dati e i dati dei tuoi clienti, non solo dovrai rispettare, ma anche capire come utilizzare la tecnologia per farlo. Ora i diritti umani, in termini di dati e informazioni personali e quel genere di cose, ci sono molte più questioni che vengono al tavolo sotto GDPR se sei il destinatario di una relazione digitale da parte del cliente. Operativamente, ci sono molte cose a cui dovresti pensare in termini di preparazione per questo. Ma alla fine, dove la gomma incontra la strada, se hai un cliente che non puoi provare come è entrato nella tua lista, o non puoi provare da dove viene, o non puoi provare il meccanismo di consenso che era utilizzato per iniziare a fare marketing con loro, quindi, in sostanza, saresti inadempiente ai sensi del GDPR.

Impatti operativi del GDPR

Nathan : Quali sono gli impatti operativi del GDPR?

Davide : Ottima domanda. Ci sono 10 aree a cui devi pensare dal punto di vista della tua azienda in termini di preparazione per il lato operativo del GDPR. Il numero uno è la sicurezza dei dati e la notifica delle violazioni.

Pertanto, in caso di violazione dei dati, il tuo obbligo è di informare la DPA, l'autorità per la protezione dei dati, entro un periodo di 72 ore dal verificarsi di tale violazione o dal fatto che tu ne sia a conoscenza. Il DPO obbligatorio, o responsabile della protezione dei dati, è qualcosa che viene implementato ai sensi del GDPR, il che significa che se sei un'azienda di una certa dimensione, devi effettivamente avere un dipendente nel personale che si occupi dei tuoi sforzi di protezione dei dati.

Il consenso dell'interessato è un problema enorme: come si ottiene il consenso da un interessato. Ai sensi del GDPR, l'interessato è l'individuo effettivo e non un'anomalia. I trasferimenti di dati transfrontalieri sono importanti. Se stai spostando i dati in Europa o dall'Europa agli Stati Uniti o ovunque possano andare, è qualcosa a cui pensare. In termini di come viene fatto dal punto di vista dell'adeguatezza, nel contesto attuale, il meccanismo di trasferimento transfrontaliero dei dati tra Europa e Stati Uniti è governato da un programma chiamato scudo per la privacy e noi siamo certificati dallo scudo per la privacy come azienda. Ma ci saranno altre entità che verranno a giocare per aiutarlo.

La profilazione e il diritto di rifiutare saranno un problema enorme in termini di come gli individui vengono profilati e come hanno il diritto di opporsi all'essere profilati; nel senso che, se so che oggi indossi una camicia bianca, analizzerò le tue preferenze sulla camicia e magari ti manderò dei pantaloni bianchi per abbinarla. Come individuo, il problema è come puoi gestirlo in termini di poter rinunciare a quella profilazione andando avanti.

Un altro grande problema è il diritto alla portabilità dei dati e il diritto all'oblio. In base al GDPR, il concetto è che tu come individuo hai il diritto di prendere i tuoi dati dall'azienda A e trasferirli all'azienda B in un formato di lettura automatica accettabile, e hai anche il diritto di avere il fatto che tu abbia mai avuto una relazione digitale con quel particolare brand dimenticato. Quindi questo è un problema enorme in termini di come le aziende saranno in grado di conformarsi a ciò e implementare davvero quei tipi di strategie attorno a quei concetti. Stiamo ancora cercando di abbracciarlo.

La settima area riguarda i doveri e le responsabilità dei titolari e dei responsabili del trattamento. Qual è la tua responsabilità ai sensi del GDPR come responsabile del trattamento, che è Act-On, e quali sono le tue responsabilità ai sensi del GDPR come titolare del trattamento, che è il cliente di Act-On. E sono due problemi diversi in termini di alcune delle cose che vengono al piatto con questo.

Un altro problema a cui pensare è la pseudonimizzazione dei dati personali: come posso prendere i tuoi dati e creare un profilo più ampio basato su altre entità di tipo di terze parti che potrebbero collegarsi a quello, alla tua particolare roadmap. Codici di condotta, come e perché bisogna agire in un certo modo. E infine, multe e procedure sono un grosso problema; potresti essere multato del 4 percento delle entrate globali della tua azienda se non sei conforme.

Quindi, ci sono molte cose dal punto di vista operativo. E ti garantisco, se hai una persona per la privacy, se hai una persona per la conformità, e quelle persone non stanno parlando con i tuoi tecnici o con i tuoi ingegneri, allora devi iniziare a pensare di riunire quelle persone, perché lo farà prendi un villaggio per fare questa cosa da una prospettiva organizzativa.

Diritti degli individui ai sensi del GDPR

Nathan : Quali sono i diritti degli individui in tutto questo?

David : Sì, questa è un'ottima domanda. Perché ai sensi del GDPR, l'individuo ha il diritto di essere informato, di sentirsi dire: "Ho preso le tue informazioni da qui, e questo è quello che ho intenzione di farne, e questo è quello che non ho intenzione di fare con esso.' Il diritto di accesso, in modo che tu come individuo possa metterti in contatto con noi e dire: "Ehi, le mie informazioni non sono corrette, non sono corrette, non sono accurate e ho bisogno che tu le cambi, in base al profilo che hai su di me .' Il diritto alla ricertificazione, che significa la stessa cosa: potresti effettivamente cambiare o adattarti in base a ciò che sai. Il diritto alla cancellazione: "Ehi, Act-On, per favore cancella tutte queste informazioni su di me" o "Mr. e signora cliente, per favore cancella tutte queste informazioni su di me,' e come hai intenzione di farlo?

Hai il diritto di limitare l'elaborazione, che significa "Ehi, vorrei ricevere e-mail da te, ma non voglio ricevere SMS". Oppure, "Vorrei ricevere e-mail, ma non voglio ricevere messaggi"... o qualunque sia il caso. E poi il diritto di limitare la portabilità dei dati, nel senso che vado a prendere i miei dati dall'azienda A e li trasferisco all'azienda B. Potresti, in teoria, avere clienti che escono il venerdì alle 17 e poi vanno in un'altra azienda il lunedì alle 8:00 E, tecnicamente, dovrebbero essere attivi e funzionanti all'interno di quell'ambiente.

E poi finalmente il diritto di obiettare: "Questo è giusto, questo è sbagliato, questo è indifferente". E il diritto di relazionarsi al processo decisionale automatizzato e alla profilazione, il che significa, dato che ora siamo nel canale digitale con cose come l'intelligenza artificiale, che potresti iniziare a costruire profili su persone e soggetti indipendentemente dal fatto che ne siano a conoscenza o meno. Devi essere molto sincero in termini di come divulghi tali informazioni e come costruisci quei profili.

Quello che immagino è che le aziende compenseranno eccessivamente il consenso. Pensi a come intraprendi una relazione digitale oggi: divulgazione, consenso e tutte queste cose che diamo per scontate. Ma il punto è che penso che vedrai molte pagine di profilo e pagine di onboarding, dove non avrai caselle preselezionate, ma permetterai alle persone di poter dire: "Vorrei seleziona questo o deseleziona quello.' Le caselle preselezionate sul GDPR sono un no-no completo. È totalmente illegale.

E quello che farei ora come marketer è, nei tuoi sforzi di preparazione, quando questa cosa andrà in onda a maggio del prossimo anno, non ci sarà alcun periodo di grazia. Ogni pezzo di dati che hai sul tuo file a maggio 2018 dovrà essere conforme il giorno in cui sarà pubblicato. Quindi, dovresti iniziare a pensare ora a come ri-autorizzare o arrivare al punto in cui inizi a rivelare cose diverse sulle persone mentre ti prepari per l'implementazione del GDPR. Quindi, autorizza nuovamente i tuoi elenchi, ottieni il tuo consenso in ordine, inizia a parlare di divulgazioni e quel genere di cose. E quindi questo è ciò che dovresti iniziare ad abbracciare oggi.

Ulteriori informazioni sul GDPR

Nathan : Ne stiamo parlando ora solo in modo che le persone abbiano l'opportunità di iniziare a conformarsi o mettere in atto quei meccanismi per essere conformi, noi stessi e chiunque altro. Esiste una lista di controllo?

David : Divulgazione completa, non siamo in grado di fornire consulenza legale o guida. Ma alcune delle autorità per la protezione dei dati all'interno dell'UE sono più esplicite e sono state più comunicative di altre. E un ottimo esempio di DPA che ha diffuso molte informazioni è l'ICO, l'Ufficio del Commissario per le informazioni del Regno Unito.

Se vai sul loro sito web, hanno un sacco di informazioni in termini di cosa dovresti pensare, come ti prepari e quali saranno i tuoi obblighi l'anno prossimo.

Nathan : Quindi, questo è qualcosa per far discutere l'intero team, dal marketing alla conformità, al legale e all'ingegneria, giusto?

Davide : Assolutamente. Perché ognuno lo interpreterà in modo diverso. Voglio dire, la documentazione è profonda centinaia di pagine. È estremamente ingombrante. Ma è davvero un approccio di buon senso a una relazione digitale. E non si tratta solo dell'individuo ora. Riguarda anche il modo in cui fai affari con i tuoi fornitori e come li ritieni responsabili delle cose. Per certi aspetti, è un quadro per un approccio digitale di buon senso non solo per il marketing, ma anche per rinunciare a certe cose. È sicuramente qualcosa a cui dovresti pensare ora. E se non l'hai fatto, allora sei un po' indietro rispetto alla palla 8.

Riepilogo

Act-On produrrà webinar, schede tecniche e altri contenuti sul GDPR per tutto il prossimo anno. Puoi anche inviare un'e-mail a David se hai una domanda: [email protected] .