Con l’entrata in vigore del GDPR, la nuova normativa europea che fa chiarezza in tema di diritti e difesa della privacy, anche per il comparto dell’email marketing si è assistito ad una vera e propria rivoluzione.
Non poteva essere altrimenti perché la nuova normativa definisce in maniera chiara ed univoca quanto sia importante il ruolo dello user e della sua volontà di aderire ad una campagna di direct mail.
La legge è quindi proiettata tutta verso il mondo digital e gli spazi per evitare le norme si sono ridotti drasticamente. Per le grandi società che operano nel settore dell’email marketing, a questo punto, è necessario avere una certificazione GDPR per i propri database.
La certificazione ISO 27000
Anche se non appropriato perfettamente al nuovo regolamento europeo per la privacy, molte aziende che curano database per email marketing si stanno dotando di questa certificazione. Un esempio è Bancomail, che in Italia è leader nel settore della gestione di dati e di email. L’ISO 27000 è una certificazione specifica per la sicurezza delle informazioni gestite da società terze.
La certificazione per le banche dati
Le istituzioni europee nel redigere e varare la normativa sulla tutela della privacy non hanno dimenticato la certificazione delle banche dati. In particolare con gli articoli 42 e 43. Il legislatore focalizza la sua attenzione sull’aspetto relativo alla sicurezza della custodia dei dati invitando le istituzioni nazionali, le autorità di controllo, gli organi di vigilanza e via dicendo, all’istituzione di specifici meccanismi volti a certificare i meccanismi di protezione dei dati nonché dei marchi o dei sigilli. Bisogna, in buona sostanza dimostrare che si sta attuando quanto previsto dal Regolamento in merito alla gestione dei dati. Il GDPR prevede che siano il titolare della gestione dei dati nonché il responsabile del trattamento dei dati a rispondere di questo aspetto.
La legge ovviamente non trascura le difficoltà che possono incontrare le aziende più piccole o addirittura le micro unità produttive.
Certificazione ed email marketing
La certificazione GDPR è di conseguenza caldamente consigliata per tutte le società che gestiscono dati personali di terzi, ma anche di tutte quelle aziende che si trovano ad avere a che fare con dati trattati per fini interni. Possono certificarsi anche le restanti società pur non essendo obbligate dalla legge come quelle indicate nell’art. 3 del GDPR.
Attenzione però: certificarsi non vuol dire che non si è più responsabili del trattamento e della gestione dei dati e non impedisce i controlli da parte delle autorità competenti. La certificazione che si andrà a richiedere è solo una garanzia del fatto che si sta utilizzando un sistema di gestione adeguato che risponde ai requisiti previsti dalla legge.
Per ottenere questa certificazione bisogna che si lasci lo spazio necessario agli auditor degli enti di certificazione di poter entrare in possesso di tutti i documenti necessari e l’accesso alle attività di trattamento dei dati.
La validità della certificazione così ottenuta è di tre anni dopo i quali si può chiedere il suo rinnovo alle medesime condizioni. Chiaramente se l’audit non dovesse andare a buon fine si perde la certificazione.
Il comitato europeo che controlla questo specifico aspetto del GDPR raccoglie in un apposito registro tutti i meccanismi di certificazione nonché i marchi e i timbri di garanzia con l’impegno di renderli pubblici con qualsiasi mezzo.
Gli organismi di certificazione GDPR
Sono gli articoli 57 e 58 del GDPR che definiscono e delineano quelli che possono essere gli enti certificatori. Gli stati membri dell’UE devono garantire che questi organi di certificazione siano stati vagliati e accreditati da altri enti come le autorità di controllo competenti designate che il GDPR stabilisce negli articoli 55 e 56 oppure, prendendo in prestito il comma interessato: “dall’organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall’autorità di controllo competente ai sensi degli articoli 55 o 56”.
La legge definisce e delinea nel dettaglio quali sono le caratteristiche che deve avere l’ente certificatore. Sono indicazioni puntuali che servono per evitare che si possano creare confusioni nei ruoli.
La Certificazione GDPR in Italia
Lo stato italiano si è mosso per tempo definendo in accordo con la normativa l’organismo di accreditamento che è Accredia. Quest’ultima però non può ancora muoversi per l’accreditamento degli enti di certificazione, poiché in attesa che si concludano i lavori dell’EDPB, il comitato dei garanti europeo.
Nel frattempo le società che vogliono accreditarsi per svolgere audit di certificazione sui database e, più in generale, sul rispetto delle norme sulla privacy si stanno muovendo. Alcuni dati sembrano indicare che l’ISO/IEC 17065 sia lo strumento di riferimento. In realtà, molte società in attesa che si chiarisca bene la normativa in tutti i suoi aspetti, cercano soluzioni per tranquillizzare i propri clienti e, così come la Bancomail, si certificano con l’ISO 27000.