Domande frequenti sul GDPR

Argomenti della formazione

Scopri le domande più frequenti sul GDPR per assicurarti di rispettarlo.

GDPR è l'acronimo di General Data Protection Regulation, o Regolamento generale sulla protezione dei dati. Si tratta di una legge promulgata dalla Commissione Europea nel 2016 ed entrata in vigore il 25 maggio 2018. Il GDPR è stato concepito per proteggere la privacy di tutti i cittadini dell'UE, anche quando interagiscono con aziende situate al di fuori dell'Unione Europea, imponendo norme sui dati personali. Per maggiori informazioni sul GDPR, consulta la nostra serie di blog.

A livello legale, mi è permesso trasferire i dati dei miei clienti europei a Klaviyo?

Sì. Il GDPR riconosce una serie di meccanismi legali per trasferire i dati fuori dall'UE. In seguito all'invalidazione del quadro dello Scudo UE-USA per la Privacy, Klaviyo ha inserito le clausole contrattuali standard della Commissione Europea nella propria Appendice sulla protezione dei dati, incorporata nei propri Termini di Servizio. Ti consigliamo di consultare il tuo team legale per individuare il meccanismo di trasferimento appropriato per qualsiasi trasferimento di dati che la tua organizzazione potrebbe effettuare.

Qualora non si possa dimostrare l'opt-in esplicito per i profili legacy, esiste un modo per confermare il consenso via e-mail?

Prima dell'entrata in vigore del GDPR (25 maggio 2018), consigliavamo di inviare una campagna per la conferma dell'autorizzazione a tutte le persone iscritte nell'UE. Tuttavia, ora che il GDPR è in vigore, non suggeriamo più questa prassi. Prima di contattare i clienti o gli iscritti esistenti per cui non puoi dimostrare l'opt-in esplicito, consulta il tuo team legale.

Come possiamo dimostrare il consenso, compreso il giorno in cui una persona iscritta ha effettuato l'opt-in?

Oltre a utilizzare il doppio opt-in, è necessario mantenere la lingua presentata al consumatore nel modulo, nell'e-mail o nella pagina web in cui ha fornito il consenso. Quindi, dovrai essere in grado di produrre sia l'ora/data in cui ha espresso il consenso sia esattamente ciò a cui ha dato il consenso.

Per i campi e-mail sui nostri siti web, dobbiamo aggiungere altre caselle di controllo che la clientela deve spuntare prima di inviare i propri dati?

Klaviyo offre moduli conformi al GDPR con più caselle di controllo, ideali per ottenere un consenso granulare (ad es. il consenso separato per il marketing via e-mail e per il marketing su Facebook).

Dovrai selezionare moduli ritenuti conformi al GDPR e poi personalizzarli adeguatamente in base al tuo programma di marketing. Se raccogli informazioni personali sui consumatori UE attraverso altre piattaforme, dovrai apportare le dovute modifiche anche su queste piattaforme.

Quali tipi di dati personali trattate, dove sono ospitati, con chi li condividete e per quanto tempo li conservate?

Le informazioni sui dati che trattiamo e sulle misure che adottiamo per proteggerli sono riportate nella nostra Appendice sul trattamento dei dati (ATD). Le misure di sicurezza sono specificamente delineate nell'Allegato 2 dell'Appendice. Puoi anche leggere i nostri Termini di servizio per intero.

Dobbiamo aggiornare le clausole in piccolo quando acquisiamo e-mail che includono informazioni sul modo in cui i dati vengono archiviati in Klaviyo?

Sì, le clausole in piccolo devono essere aggiornate per riflettere le seguenti indicazioni per la clientela UE esistente e potenziale:

• Usa un linguaggio chiaro e facile da capire.
• Specifica perché vuoi i dati e cosa intendi farne.
• Cita la tua organizzazione ed eventuali elaboratori terzi cui ti affiderai.
• Fai sapere alle persone che possono revocare il consenso.

Per rispettare il GDPR devo inviare le e-mail di opt-in nella lingua locale?

Non necessariamente. I requisiti specifici possono variare da Paese a Paese, quindi ti consigliamo di consultare il tuo team legale in merito ai requisiti specifici di ciascun Paese. Comunque, Klaviyo fornisce una lingua di opt-in predefinita in diverse lingue.

Devo ottenere il consenso per tutti i dati personali dei consumatori?

L'unica possibilità di avere una base legale per la raccolta o l'elaborazione di dati sensibili è il consenso esplicito. Per altri dati personali possono esserci diverse opzioni per stabilire una base legale, ma il consenso è una di quelle su cui spesso le organizzazioni fanno affidamento.

Tra le altre basi legali rientrano:

• Il trattamento è necessario per l'esecuzione di un contratto o per prendere provvedimenti su richiesta della persona interessata prima di stipulare un contratto.
• Il trattamento è necessario per l'adempimento di un obbligo legale.
• Il trattamento è necessario per preservare gli interessi vitali della persona interessata o di un'altra persona.
• Il trattamento è necessario per i legittimi interessi dell'azienda e tali interessi non sono superati dagli interessi o dai diritti fondamentali della persona interessata.
• Il trattamento è necessario per un compito svolto nell'interesse pubblico o per l'adempimento delle responsabilità di un pubblico ufficiale.

Ti consigliamo di consultare il tuo team legale per stabilire la base legale appropriata per il trattamento dei dati da parte della tua organizzazione.

Potete anonimizzare i miei dati in modo che io possa visualizzare un profilo ma non vedere le informazioni di identificazione personale?

Al momento non consentiamo alla clientela di anonimizzare un profilo, ma i dati anonimizzati associati a quel profilo rimangono nell'account (ad esempio, gli eventi di  Ordine effettuato) per preservare l'accuratezza delle metriche delle prestazioni. I dati possono essere anonimizzati quando vengono estratti dal sistema, ma all'interno di Klaviyo hai piena visibilità dei dati incorporati in qualsiasi profilo.

Allo stesso modo, per dimostrare la conformità è possibile eliminare i contatti con un record di cancellazione, nonché esportare tutti i dati di un determinato profilo se richiesto da uno dei suoi contatti.

Un'e-mail per carrello abbandonato è conforme al GDPR?

La risposta a questa domanda non è del tutto chiara. Tuttavia, molte organizzazioni ritengono che sia ancora possibile inviare e-mail per carrello abbandonato senza consenso esplicito per le comunicazioni di marketing, sulla base del legittimo interesse. Potresti considerare un'e-mail per carrello abbandonato come una comunicazione pertinente all'intento esplicito di completare una transazione con la tua azienda. Altre e-mail attivate, come l'abbandono della navigazione e i winback, invece, potrebbero non essere consentite a meno che in precedenza la clientela non abbia acconsentito a ricevere e-mail di marketing da te secondo modalità conformi al GDPR.

Detto questo, l'applicabilità degli interessi legittimi o di qualsiasi altra base giuridica dipenderà dalle circostanze particolari, tra cui, ad esempio, il numero e la frequenza delle e-mail e il tempo trascorso dall'abbandono del carrello. Ti consigliamo vivamente di consultare il tuo team legale in merito alle tue campagne e-mail per verificare che siano conformi alle leggi vigenti.

L'utilizzo di Google Fonts è conforme al GDPR?

L'utilizzo di Google Fonts può causare problemi di conformità al GDPR, in quanto il server di Google necessita dell'indirizzo IP del destinatario per consegnare i caratteri. Secondo il GDPR, un indirizzo IP si qualifica come informazione personale, che può essere utilizzata per identificare l'utente. Tieni presente che inserendo Google Fonts nella tua libreria di caratteri, si ritiene che tu stia utilizzando Google Fonts.

In alternativa a Google Fonts, Klaviyo fornisce una selezione di caratteri ospitati in Klaviyo da utilizzare nei moduli di iscrizione, nelle pagine di consenso e nelle e-mail. Questi caratteri non richiedono l'IP del ricevitore.

Risorse aggiuntive

• Acquisisci il consenso nel rispetto del GDPR
• Best practice per il rispetto delle leggi sulla privacy dei dati
• Caricamento e segmentazione con consenso
• Consenso nei profili