GDPR - 10 settimane al via

In Awin abbiamo passato gli ultimi nove mesi a stabilire gli elementi costitutivi del nostro approccio e, in particolare, abbiamo continuato a consolidare e definire la nostra preparazione in vista dei più grandi cambiamenti delle leggi sulla data privacy mai avvenuti. Il principio di accountability si esemplifica nell’attuare politiche responsabili e seguire giusti approcci nella gestione dei dati, in tutti gli aspetti di un'azienda.

Pertanto, il GDPR ci impone di considerare più aree dell'azienda: dalla formazione alla tecnologia.

Tenendo questo a mente, abbiamo pensato di aggiornare i nostri partner sugli ultimi sviluppi fatti in alcune aree del nostro network, sperando che questo contribuisca a fare un po' più di chiarezza più in merito ad un argomento complesso come il GDPR.

1. Assessment

Creazione di un gruppo di stakeholder interno

Data la grande varietà di funzioni svolte dall'azienda, è importante che i diversi stakeholder del gruppo siano al corrente dell’importanza del GDPR. Per questo il gruppo di stakeholder riflette la diversità dei team e di conseguenza esemplifica il business. Le riunioni si tengono ogni due settimane. Inoltre, ogni mercato ha nominato un responsabile della protezione dei dati che avrà la responsabilità a livello locale di garantire la conformità. Il responsabile della protezione dei dati (DPO) sarà a disposizione per rispondere alle richieste dei clienti e sostenere iniziative di formazione.

 Privacy Impact Assessment (PIA)

I preparativi per il GDPR coinvolgono il business in vari modi. Come parte del processo di valutazione, è importante identificare le varie aree interessate dell'azienda, tra cui marketing, tecnologia, vendite e ingegneria. Analizzare come un'azienda utilizza i dati attraverso una serie di servizi e funzioni, dovrebbe essere parte integrante della due diligence del GDPR.

 Ecco perché abbiamo realizzato un PIA completo, che ha analizzato tutte le aree del nostro tracking, dai cookie di base al cross-device. Abbiamo valutato anche l'impatto della nostra tecnologia plug-in, le transaction query generate dai siti di cashback e le specifiche in materia di lead generation. Nel valutare tutti questi aspetti stiamo considerando il come, cosa e perché di ciascuno, oltre a considerare il periodo di conservazione dei dati.

 Un estratto del nostro PIA sarà disponibile per tutti i nostri partner a tempo debito.

Base giuridica del trattamento

Scegliere una base legale per l'utilizzo dei dati è al cuore del GDPR.

Le tecnologie di tracciamento di Awin sono sottoposte ad una regolamentazione specifica sui cookie e sugli identificatori, derivante dalla Direttiva 2002/58/CE (“Direttiva e-privacy”) contenuta negli artt. 121 e ss. del Codice della Privacy e nel provvedimento del Garante sui cookies (“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, dell’8 maggio 2014). Tale regolamentazione non è stata cambiata dal GDPR e, quindi, rimane regolato dalla normativa attuale (ad esempio quella che regola l’ottenimento del consenso degli utenti).

Dato che il settore dei cookie e degli identificatori non è stato toccato dal GDPR, non ci sono quindi mutamenti: questo settore - fino a quando il legislatore europeo o il Garante - non daranno dirette indicazioni in tal senso, rimane regolato dalla normativa attuale, senza che gli venga applicato il GDPR (almeno per quanto riguarda ciò che è già disciplinato).

Ulteriori considerazioni

Nel valutare le nostre tecnologie di tracciamento, è necessario dunque prendere in considerazione non solo le disposizioni del GDPR ma anche le disposizioni nazionali italiane che implementano la Direttiva e-privacy.

2. Documentazione

Creazione di regole interne

Dopo aver valutato tutto ciò che è nel PIA, abbiamo rinnovato i nostri registri di elaborazione e le politiche interne in linea con i risultati della valutazione, e con i requisiti del GDPR. Alle organizzazioni sarà richiesto di mettere in atto più processi rispetto a prima, in particolare in caso di segnalazioni di violazione dei dati, richieste di accesso ai dati e così via.

La nostra posizione verso i nostri clienti

Dato il vasto numero di rapporti che Awin intrattiene con i publisher, con gli advertiser, con le agenzie e con le altre terze parti, Awin ha ricevuto numerose richieste di chiarimento da parte loro in merito alla regolazione dei rapporti in materia di trattamento dei dati. Abbiamo esaminato le richieste dei clienti e stiamo raccogliendo una serie di risposte e FAQ. Questo archivio è in costruzione, e a poco a poco inizieremo a pubblicare il materiale. Tra questo si troverà anche una revisione degli strumenti di terze parti e la conferma che le attività di trattamento dei dati abbiano le necessarie garanzie in essere.

 3. Trasparenza e conoscenza 

Privacy Policy

L'area finale che stiamo esaminando riguarda la comunicazione ai nostri business partner commerciali, in modo da mantenerli informati sui cambiamenti che stiamo facendo. Parte di questo processo è costituito da un imminente aggiornamento della nostra fair processing notice che dimostra perché e come trattiamo i dati. 

Comunicazioni generali

Oltre a tutte le sfide logistiche e legali che devono essere affrontate, la comunicazione e l'educazione sono la chiave del GDPR. Aumentare la consapevolezza, tenere aperta una discussione sul GDPR, oltre agli aggiornamenti su come e quando avverranno questi cambiamenti, è qualcosa su cui ci stiamo impegnando come azienda, come dimostra ad esempio il nostro evento di ieri. Ecco anche perché abbiamo lanciato un portale dedicato al GDPR che conterrà tutte le informazioni di potenziale interesse per i nostri partner. 

Consapevolezza dei dipendenti

Oltre che verso l’esterno, il GDPR implica l'obbligo anche per i dipendenti di essere informati e preparati sui suoi contenuti. Anche questo aiuta le aziende ad adottare un approccio basato sulla privacy by design, al fine dello sviluppo di strumenti e tecnologie, oltre che per aiutarli nello svolgimento delle loro attività quotidiane. Pertanto, il gruppo degli stakeholder sta sviluppando un programma di formazione obbligatorio per i membri dello staff di Awin. 

4. Prossimi passi

Come spiegato, ci sono ancora diversi progetti in corso a cui stiamo lavorando internamente per garantire che il nostro business sia conforme entro maggio 2018. Grazie a queste attività, i nostri partner avranno presto accesso a:
• Un estratto del nostro PIA
• Diverso materiale utile per i nostri publisher, che spiegherà le modifiche ai nostri termini contrattuali esistenti, incluso un template di data processing agreement fornito da Awin
• Una soluzione di consenso che può essere applicata dai nostri publisher. Awin vuole garantire ai suoi partner infatti la migliore tecnologia possibile e la massima flessibilità. Affilinet ha precedentemente lanciato uno strumento di consenso e Awin ha anche sviluppato un plug-in per la direttiva e-Privacy. Questi sono in fase di valutazione per assicurarsi che offrano la migliore soluzione alla luce degli altri strumenti di consenso in fase di sviluppo.
• Una FAQ dettagliata sulle nostre attività di elaborazione dati, per assicurarsi che i nostri clienti abbiano una buona comprensione di ciò che sta facendo Awin con i dati che utilizza
• Privacy policy Awin aggiornata e conforme al GDPR, che advertiser e publisher sono liberi di citare all’interno delle proprie policy.

Volete saperne di più? Leggete i contenuti sul nostro portale a tema GDPR.