5 aspetti pratici GDPR da valutare nell’utilizzo di software di terze parti

Software di terze parti

5 aspetti pratici GDPR da valutare nell’utilizzo di software di terze parti

Secondo un’indagine Siftery, oggi le aziende in media usano 37 software di terze parti per le loro attività quotidiane.

E Scott Brinker di ChiefMarTech.com afferma che solo i marketer usano regolarmente più di 100 software diversi.

L’utilizzo di software di terze parti rappresenta un aspetto altamente critico quando con tali software vengono trattati dei dati personali di clienti, potenziali clienti, candidati, partner, fornitori, …

Oggi non desidero soffermarmi tanto sugli aspetti di “governance” (cioè quelli burocratici) legati alla scelta di una piattaforma o un software di terze parti. Su questo tema, ti ricordo solo un paio di punti salienti:

  • Con l’azienda proprietaria della piattaforma devi stringere un accordo scritto, con cui viene nominata ufficialmente come tuo responsabile esterno del trattamento. Tipicamente, con i big software sentirai parlare di “Data Processing Addendum” o “Data Processing Agreement”, che sono dei contratti standard che devi sottoscrivere prima di attivare il software.
  • Se l’azienda proprietaria del software non è basata dentro il territorio dell’Unione Europea, devi accertarti che offra garanzie sufficienti per quanto riguarda la protezione dei dati personali che gli darai “in pasto”. In particolare, se è un’azienda statunitense, hai la possibilità di verificare se ha aderito al Privacy Shield.
    Il Privacy Shield è un accordo tra Unione Europea e Usa: un meccanismo di autocertificazione a cui le aziende statunitensi possono volontariamente aderire garantendo misure di sicurezza adeguate agli standard UE sulla privacy.
    Puoi verificare se l’azienda americana con la quale intendi collaborare aderisce al “Privacy Shield” controllandone la presenza nella lista delle aziende certificate, che trovi nel sito governativo https://www.privacyshield.gov/participant_search

 

Passiamo ora alla parte più “scottante”: l’aspetto più critico nell’utilizzo dei software di terze parti è capire come vengono gestiti nella pratica i dati personali.

Di seguito trovi i 5 punti chiave per una valutazione degli aspetti pratici GDPR nell’utilizzo di software di terze parti.

1) CENSIMENTO

Fai il censimento di tutte le piattaforme / software esterni che fanno trattamenti sui dati personali.
A scanso di equivoci:
• In questo articolo vedi quali sono i trattamenti previsti dal GDPR
• E in questo articolo trovi un approfondimento su cosa si intende per dati personali (che non sono solo il nome e cognome…).

“ma la mia azienda lavora con il b2b,
quindi non abbiamo dati personali,
ma solo aziendali”

 

>> Se la tua azienda lavora con altre aziende (b2b), non è esente dal GDPR.
Perché le aziende sono composte da persone fisiche, e quindi anche l’indirizzo email di una persona interna all’azienda (es. mario.rossi@active121.com) è un dato personale.
Arriverai ad ottenere una lista con tutti i tool e software utilizzati in azienda, ad esempio:

  • Software di e-mail marketing
  • CRM
  • Tool installati sul sito:
    • Live chat
    • Chatbot
    • Software di heatmapping
  • Tool / strumenti di condivisione dei dati personali esternamente all’azienda (condivisione file, immagini, video, …)
  • Software per gestire landing page
  • Software per la gestione del customer care
  • ….

 

2) PERIMETRO DI RESPONSABILITÀ

Una volta individuate le piattaforme esterne utilizzate in azienda, sarà necessario delimitare il perimetro di responsabilità di ciascun software:

  • Quali trattamenti fa il software sui tuoi dati personali?
  • Per quali finalità?
  • Quali persone in azienda ha accesso al software? (ed è quindi sono autorizzate ad utilizzarlo?)

 

3) POLITICHE DI DATA RETENTION

Per Data Retention si intende il periodo di conservazione dei dati personali. Nell’informativa privacy resa al momento della raccolta dei dati personali, tipicamente viene indicato per quanto tempo la tua azienda conserverà i dati personali raccolti, per ogni specifica finalità (es. 6 mesi).
È importante quindi che i software che la tua azienda utilizza:

  • Ti permettano di rispettare il periodo di conservazione, in base alla finalità per cui un dato personale è stato raccolto (quindi che tu possa impostare il periodo di conservazione);
  • e che alla scadenza del periodo di conservazione per ciascuna finalità, il dato personale venga cancellato, o in alternativa anonimizzato.

 

4) GESTIONE DELLE RICHIESTE DEGLI INTERESSATI

Il GDPR ha posto il vincolo massimo di 1 mese per dare risposta alle richieste degli interessati in merito al trattamento dei loro dati personali.
Il nostro consiglio è di verificare con i software di terze parti che utilizzi che policy hanno in merito: es. ti garantiscono supporto per risposte ai diritti degli interessati entro i tempi previsti? Ti danno direttamente la possibilità di poter verificare informazioni su dati, trattamenti e consensi alle finalità?

5) MEMORIZZAZIONE ED AGGIORNAMENTO DEI CONSENSI

Nel caso in cui il tuo utente decida di revocare il consenso al trattamento dei dati per una specifica finalità (es. per la newsletter), la tua azienda non potrà più trattare i suoi dati per quella finalità.

In questo caso, devi assicurarti che i dati vengano cancellati effettivamente dal software di email marketing che utilizzi (oppure anonimizzati), e non solamente che vengano contrassegnati come “non vuole più ricevere newsletter”, continuando ad essere conservati nel software (perché anche la conservazione, come abbiamo visto in questo articolo, è un trattamento).

La cancellazione (o anonimizzazione) del dato personale deve essere effettuata se non ci sono altre basi giuridiche per continuare a trattare quei dati personali (ad esempio: consensi per altre finalità, obblighi di conservazione, obblighi per adempiere ad un contratto).

Inoltre, con il GDPR l’azienda ha l’onere della prova: deve dimostrare di aver ottenuto un consenso valido per il trattamento dei dati personali da parte dell’interessato.

PERCHÉ È IMPORTANTE UN REGISTRO DEI CONSENSI CENTRALIZZATO

L’onere della prova (GDPR) diventa complicato se i consensi sono distribuiti in più archivi dell’azienda e in software e piattaforme diversi, magari anche con informazioni duplicate o non aggiornate.

Per questo motivo, la soluzione più tutelante per l’azienda per rispondere all’obbligo GDPR dell’onere della prova è creare un Registro dei Consensi centralizzato affinché i consensi siano accessibili in sicurezza da parte degli operatori dell’azienda e eventualmente anche degli interessati stessi.

Gestire a mano il Registro dei Consensi è rischioso, oltre che molto dispendioso in termini di tempo. Valuta di utilizzare un software specifico per centralizzare raccolte e consensi, in grado di mantenere sincronizzati tutti gli applicativi ad esso collegati, ed evitando così trattamenti illeciti, a tutela dell’azienda.

Scopri come PrivacyOS ti può aiutare con il Registro dei Consensi e la Centralizzazione dei Dati personali.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.