Come rendere la tua organizzazione pronta per il GDPR: 6 consigli pratici che funzionano

Il 25 maggio 2018 — il giorno in cui il GDPR entra ufficialmente in vigore — si sta avvicinando costantemente. Uno dei regolamenti più rigorosi fino ad oggi, il GDPR mira a garantire la raccolta, l'elaborazione e la conservazione sicure e legali dei dati personali dei cittadini dell'UE. Quindi non c'è da meravigliarsi se il FUD (paura, incertezza e dubbio) sta crescendo rapidamente.

Per aiutarvi a prepararvi per il GDPR ed evitare il panico durante l'audit di conformità al GDPR, abbiamo contattato diverse aziende e posto la seguente domanda: Quali passi ha intrapreso la vostra organizzazione per conformarsi al GDPR e quali consigli potete dare a coloro che stanno appena iniziando? Abbiamo ricevuto molte risposte utili e persino sorprendenti, e siamo ansiosi di condividere le sei principali.

Jose Romero, Senior Digital Strategist

Overit, un'agenzia di marketing digitale full-service (Albany, New York, U.S.)

Il GDPR ha alcune importanti implicazioni per la nostra azienda così come per i nostri clienti, molti dei quali hanno attività internazionali che si affidano a comunicazioni frequenti con prospettive, clienti e altri stakeholder chiave nell'UE. Il consenso è importante, quindi abbiamo iniziato a parlare con i nostri clienti ed educarli su come ottenere il consenso appropriato dagli utenti sui quali tengono registrazioni o che prevedono di contattare nel prossimo futuro.

All'interno del nostro team, abbiamo iniziato a prepararci setacciando le nostre liste di contatti per eliminare i record delle persone con cui non manteniamo più relazioni e aggiornare i record di coloro che hanno assunto nuove posizioni e sono ancora interessati a ricevere notizie da noi. Questo include, ma non si limita a, lead freddi, lead persi, contatti rimbalzati, indirizzi non coinvolti e liste di media.

Abbiamo anche iniziato il processo di revisione della nostra politica sulla privacy sul nostro sito web e stiamo rivedendo il modo in cui raccogliamo gli indirizzi, e continuiamo a lavorare per migliorare la nostra comunicazione complessiva con le parti interessate sia per i contatti nazionali che internazionali.

Non è la prima volta che dobbiamo rafforzare le nostre pratiche di conformità internazionale. In passato, abbiamo dovuto affrontare il CASL (Canadian Anti-Spam Law) e prendere precauzioni in merito, e sono sicuro che non sarà l'ultima volta. Come regola generale, i cambiamenti legislativi all'estero tendono a dare il tono all'industria, quindi la nostra intenzione non è solo rispettare il CASL o il GDPR, ma assicurare che il nostro marchio sia responsabilmente e proattivamente alla ricerca di potenziali cambiamenti nella legislazione di marketing e privacy a livello internazionale.

Karolina Rut, Specialista in Comunicazione

Sparkbit, un'azienda che offre servizi di outsourcing dello sviluppo software e consulenza IT (Varsavia, Polonia)

L'entrata in vigore del GDPR comporta grandi cambiamenti per le PMI come la nostra. In primo luogo, abbiamo consultato un avvocato specializzato nella protezione dei dati personali per comprendere meglio cosa comporta il GDPR e come la nostra azienda dovrebbe procedere per conformarsi. Successivamente, abbiamo iniziato ad analizzare quali dati abbiamo, chi ha accesso ad essi, come sono protetti e quali sono i potenziali rischi di compromissione dei dati.

Abbiamo preparato un elenco molto dettagliato di ogni documento contenente dati sensibili e specificato come viene conservato (copia stampata, su disco per computer, nel cloud, ecc.). Ora il nostro obiettivo è creare regole per la gestione di ogni tipo di dato sensibile, come chi può accedere a quale tipo di dato, dove dovrebbe essere conservato e per quanto tempo, quali documenti devono essere stampati e messi sotto chiave, quali documenti possono avere una versione digitale, ecc. Stiamo anche preparando un specifico accordo di riservatezza per i nostri dipendenti.

Al momento, ci sentiamo abbastanza pronti per l'entrata in vigore del GDPR. L'ultima cosa che ci resta da fare è creare un elenco dei potenziali rischi per la nostra organizzazione e i dati, insieme al loro impatto e alle raccomandazioni di controllo, così da poterli evitare.

Ruth Carter, Proprietaria/Avvocato

Carter Law Firm, la società ombrello per le attività di oratoria e scrittura professionale di Ruth Carter, un avvocato autorizzato in Arizona e un'autorità in materia di proprietà intellettuale, contratti commerciali e diritto di internet (Phoenix, Arizona, Stati Uniti d'America)

Sono un avvocato specializzato in internet che fornisce consulenza ai clienti sulla GDPR compliance, e mi sto preparando per il GDPR per la mia azienda. Oltre ad aggiornare la politica sulla privacy dell'azienda, ho aggiunto la doppia conferma all'iscrizione alla nostra lista email e sto chiedendo alla mia attuale lista email di ri-confermare l'iscrizione. Chiunque non dia la conferma e di cui non conosco e non posso verificare la residenza sarà rimosso dalla lista email.

Ecco i miei principali consigli per le aziende che lavorano sulla conformità:

• Leggi attentamente la legge da solo o consulta un avvocato o un fornitore di fiducia.
• Utilizza il consenso con doppia conferma per la tua lista email.
• Non aggiungere nessuno alla lista email senza il suo esplicito consenso.
• Siate trasparenti riguardo ai dati che raccogliete e al modo in cui vengono utilizzati.
• Raccogli solo i dati di cui hai bisogno.
• Consenti l'accesso ai dipendenti e ai collaboratori solo sulla base del principio di necessità di conoscenza.
• Meglio pecar di prudenza; la multa per aver violato questa legge è di milioni di dollari.

Hannah Whitehouse, Responsabile Marketing dei Contenuti

Bouncezap, creatore di uno strumento di marketing per la generazione di lead utilizzato dalle aziende per aumentare il loro tasso di conversione (Londra, Regno Unito)

Come fornitore di SaaS che lavora con diverse aziende, sappiamo che proteggere le informazioni dei nostri clienti è fondamentale. Di recente ci siamo concentrati sulla riscrittura della nostra politica sulla privacy in modo che i nostri utenti, e in particolare i nostri clienti, sappiano come vengono utilizzate le loro informazioni e che i loro dati sono al sicuro. Gestiamo uno strumento di generazione di lead che fornisce analisi sulle campagne dei nostri utenti; pertanto, il GDPR è ancora più importante per noi: i nostri utenti sapranno che le loro informazioni sono sicure e non verranno utilizzate nei nostri materiali promozionali senza il loro esplicito consenso.

Nei prossimi due mesi, contatteremo personalmente gli utenti per informarli della nostra politica, oltre a mostrare chiaramente la nuova politica sui dati sul sito web, in modo da essere protetti indipendentemente dalla pagina su cui atterrano i visitatori.

Consiglierei alle aziende preoccupate per la conformità al GDPR di iniziare ora. Chiedetevi, avete una politica sulla privacy? È in evidenza sul vostro sito? È vaga? È importante ricordare che la vostra politica sulla privacy e i termini di utilizzo servono tanto a proteggervi quanto a proteggere i vostri utenti. Infine, utilizzate la miriade di risorse online relative al GDPR per assicurarvi di non trascurare nulla. L'ultima cosa di cui la vostra azienda ha bisogno è di trovarsi a correre all'ultimo minuto prima della scadenza ancora senza protezione.

Ian McClarty, Presidente

PhoenixNAP, un fornitore globale di servizi IT che offre soluzioni infrastrutturali come servizio progressive da diverse località in tutto il mondo (Phoenix, Arizona, U.S.)

Se potessi dare un solo consiglio a coloro che saranno interessati, è “Non allarmatevi.” Abbiamo visto il regolamento come una minaccia imminente che avremmo dovuto affrontare in fretta. Tuttavia, il GDPR è destinato a proteggere i dati personali dei cittadini dell'UE, che è un'impresa lodevole. Le organizzazioni che dimostrano di fare del loro meglio per mettere in atto misure di protezione dei dati personali non devono preoccuparsi che i regolamenti influenzino le loro operazioni quotidiane o i loro ricavi.

Molti requisiti non sono affatto chiari e le organizzazioni devono usare il loro miglior giudizio nel decidere un piano di implementazione. Pertanto, per fare del tuo meglio per conformarti al GDPR, e non essere troppo sicuro della tua prontezza per esso.

Qualsiasi organizzazione che voglia essere preparata deve intraprendere i seguenti passi minimi:

• Passo 1: Assicurati che la dirigenza sia coinvolta e guidi il cambiamento. Qualsiasi sforzo per implementare le politiche e le procedure necessarie per la conformità richiede il consenso di tutti gli esecutivi di livello C e l'aspettativa che questi cambiamenti influenzeranno tutti i team a tutti i livelli.
• Passaggio 2: Eseguire un'analisi approfondita dei dati. Cercare tutti i dati personali memorizzati in ogni sistema ovunque. Questo non è uno sforzo piccolo e potrebbe richiedere mesi.
• Passo 3: Determinare la base per il consenso di tutti i dati. Una volta che sai quali dati possiedi, scopri perché li conservi in primo luogo. Questo non è solo un esercizio per giustificare perché “vuoi” conservare i dati. Invece, questo passo assicura che tu abbia una ragione legale e giustificabile per mantenere tali dati.
• Passaggio 4: Decidere una politica di conservazione. È necessario determinare per quanto tempo mantenere i dati e cosa farne (eliminarli, archiviarli o anonimizzarli) una volta che non sono più necessari o non è più legalmente possibile conservarli.
• Passo 5: Formare il personale. Anche se formare tutto il team è vantaggioso, inizialmente si vorrà concentrarsi sul personale di prima linea che gestisce le richieste dei clienti. Successivamente, formare il personale di back-end che gestisce e mantiene i sistemi e il software dove vengono conservati i dati personali, e il personale tecnico incaricato di progettare, architettare e costruire nuovi sistemi e software che devono seguire le politiche sui dati.

Sophie Miles, CEO e Co-fondatrice

QuotesAdvisor.com, un'azienda che offre un confronto gratuito tra prestiti personali, crediti ipotecari, crediti su pegno, carte di credito, carte di debito e assicurazioni auto (Torino, Italia)

Abbiamo deciso di non richiedere ai nostri utenti informazioni personali. Sebbene questa scelta significhi perdere terreno rispetto agli strumenti di marketing, come la fidelizzazione dei clienti e il CRM, abbiamo fatto alcune valutazioni e concluso che sarebbe necessario un finanziamento del 26% in più per modificare le nostre unità di archiviazione dati e il sito web per allinearli ai requisiti del GDPR, piuttosto che semplicemente aggiornare il nostro sito web e non raccogliere più dati personali.

In particolare, abbiamo deciso di rimuovere i moduli di inserimento per le informazioni di base sull'identità come nome, indirizzo e numeri di identificazione. Pertanto, possiamo concentrare i nostri sforzi sul database dei nostri clienti, che è molto più piccolo e vitale per la nostra attività.

Il nostro consiglio per chi è agli inizi è di concentrarsi sul database più importante. Prima avevamo informazioni su tutto, ma abbiamo scoperto che ne utilizzavamo solo una frazione.

Considerazioni finali

Non esiste una formula universale per ottenere la conformità al GDPR. Tuttavia, se vi preparate determinando quali dati avete e di quali avete realmente bisogno, e stabilendo politiche adeguate, potete smettere di andare nel panico — non solo sopravviverete nell'era del GDPR, ma ne trarrete effettivamente vantaggio.