Simona Bia presenta YesNology: come gestire il GDPR in pochi click?

YesNology, la piattaforma per la gestione del processo di compliance, nasce per supportare il titolare del trattamento nelle attività quotidiane che devono essere svolte per gestire, riguardo il trattamento dei dati personali, la relazione tra titolare del trattamento e interessato.

Ad esempio, preventivamente alla raccolta dei dati deve essere fornita l’informativa e serve poter dimostrare che questa operazione è correttamente avvenuta; se devono essere raccolti dati e consensi, anche questo passaggio deve essere tracciabile; i consensi raccolti, devono essere adeguatamente gestiti, prevedendo il processo di revoca.

YesNology supporta questi processi certificando quello che avviene.

Come e perché usare YesNology per gestire i consensi in conformità con il GDPR

Se un interessato decide di esercitare i propri diritti, a cominciare da quello di revocare un consenso, le richieste devono essere adeguatamente gestite, entro i termini, e il processo di revoca di un consenso deve essere analogo, prevedendo la medesima user experience, rispetto al processo con il quale il consenso  è stato formulato. I relatori che mi hanno preceduta hanno affrontato il tema del GDPR evidenziando gli aspetti legali, ma il processo di compliance comporta anche risvolti significativi che impattano sulle opportunità di business e di relazione verso i clienti e potenziali clienti, che per il GDPR sono interessati.

La scelta di creare uno strumento digitale per gestire il processo di compliance deriva dal fatto che le tematiche privacy e le conseguenti esigenze sono estremamente  attuali e, per quanto a noi noto, non esiste un altro strumento che garantisca la centralità del ruolo dell’interessato. Dati Gartner indicano che entro la fine del 2023 il 75% della popolazione mondiale avrà i propri dati coperti da una normativa privacy.

Pur essendo gli impianti normativi diversi da Paese a Paese, rileva come il GDPR sia efficace in tutti i Paesi UE e appaia quale normativa più stringente. Questa considerazione unita al fatto che YN è strutturalmente tradotta in 5 lingue e, per funzionalità propria, lascia ampio margine al titolare del trattamento di determinare vincoli e meccanismi, ci permette di ritenerla adeguata per gestire la compliance anche rispetto a norme di riferimento diverse.

Per i titolari di trattamento, la gestione della compliance è una variabile strategica, determinante nella riduzione del rischio – pensiamo a quanto possono incidere controlli e sanzioni – fino a rivelarsi una vera e propria variabile che favorisce lo sviluppo del business.

L’analisi Gartner evidenzia come le organizzazioni con un equilibrio tra il rischio sui dati e le esigenze di trattamento, abbiano la possibilità di incrementare del 50% le proprie opportunità di crescita; dunque infondere fiducia digitale favorisce lo sviluppo attraverso un processo di comunicazione mirato verso i soggetti realmente interessati a conoscere le proposte di un titolare: gli interessati facilmente forniranno un consenso se saranno certi di poterlo agevolmente revocare in qualsiasi momento e in autonomia.

Dalla nostra attività sul campo, possiamo rilevare che una delle maggiori difficoltà riguarda la gestione dei clienti potenziali e la raccolta del consenso per poterli contattare per finalità di marketing, ad esempio inviare newsletter: spesso il numero di questi contatti è molto più elevato del numero dei clienti effettivi e, senza uno strumento che semplifichi notevolmente la user experience, il consenso si ottiene in meno del 10% delle richieste.

Abbiamo rilevato che semplificare il processo e garantire una modalità altrettanto semplice per revocare il consenso, permette effettivamente di ottenere risultati molto più positivi.

Le peculiarità di YesNology: analizziamo la piattaforma

YesNology è uno strumento unico, che permette di digitalizzare l’ecosistema dei servizi di consenso e di gestione delle preferenze, garantendo all’interessato l’autonomia di rivedere e modificare le proprie scelte nel tempo. È una piattaforma dedicata innanzitutto al titolare del trattamento, cioè colui che deve fornire l’informativa o raccogliere dati e consensi, ma prevede anche una sezione dedicata agli interessati.

La modalità di accesso dell’interessato permette al titolare di valutare quale grado di certezza sia necessario per la sua identificazione. Oggi prevediamo accessi:

  • In sola visualizzazione
  • Senza registrazione
  • Con registrazione, quindi credenziali di accesso con utente e password
  • Con richiesta di OTP, dunque controllando che l’interessato abbia effettivamente nella propria disponibilità l’indirizzo mail e il numero di cellulare che ha dichiarato.

Di tutte le esigenze di processo della compliance, YesNology può gestire sia le informative che le nomine, accogliendo in un unico contenitore:

  • Quanto avviene online – ad esempio fornendo informative e raccogliendo dati e consensi nelle sezioni dei siti dedicate alle candidature o all’iscrizione alle newsletter;
  • Quanto avviene via mail, ad esempio sostituendo l’invio di un pdf di informativa;
  • Quanto può avvenire su un sito, quando un processo di raccolta dati è collegato ad un URL, tipicamente disponibile negli e-commerce;
  • Attraverso le API ciò che avviene in piattaforma può essere facilmente messo in relazione con gestionali e CRM.

YesNology offre al titolare una visione unica, secondo la logica di una dashboard, accogliendo in piattaforma tutte le informazioni e le attività necessarie all’adeguata gestione del trattamento dati. Tutte le informazioni raccolte sono disponibili, per i diversi ruoli deputati al trattamento, attraverso accessi specifici e controllati e sono aggiornate in tempo reale. Tra gli accessi previsti, c’è anche quello pensato per il DPO che dunque, se esterno, ha modo di monitorare le evoluzioni della compliance.

Il raccoglitore

Il cuore  delle funzionalità di YN è il raccoglitore: un contenitore all’interno del quale il titolare del trattamento inserisce il documento, tipicamente l’informativa, ma potrebbe essere anche un modello di nomina, individua quali dati devono essere raccolti e quali consensi. Nella costruzione della struttura e delle funzionalità del raccoglitore, in modo molto intuitivo, il titolare imposta quali dati sono obbligatori o meno, se l’accesso dell’interessato prevede una registrazione obbligatoria, come può avvenire l’accesso, se serve un controllo con OTP…

L’interessato

Lato interessato, questi avrà la possibilità di vedere il documento e compilare i dati richiesti e i consensi; se si registra, scelta sempre disponibile, in alcuni casi resa obbligatoria, con un solo account potrà rivedere nel tempo tutte le informative ricevute da diversi titolari che utilizzino YN, rivedere i dati forniti e modificare le proprie preferenze di consenso autonomamente.

L’intervento che seguirà sarà improntato a presentare come abbiamo gestito gli aspetti dedicati alla sicurezza, dato il ruolo che andiamo ad assumere verso gli utilizzatori della piattaforma: di Responsabili ex Art.28 GDPR.

Use Case

Tra gli use case di trattamenti supportati:

  • La raccolta del consenso per finalità di marketing. In questa fattispecie si è dimostrata particolarmente utile ad evitare la duplicazione di archivi quando le attività di comunicazione sono affidate ad un soggetto esterno all’organizzazione. Infatti possono essere consentiti accessi a specifici raccoglitori in sola visualizzazione. In più, l’autonoma revoca di un consenso, consente di operare su dati sempre validi. Vale la pena ricordare che molte sanzioni comminate dal nostro Garante hanno riguardato proprio il marketing effettuato senza adeguata verifica dei consensi raccolti e validi.
  • L’invio di newsletter normalmente avviene attraverso strumenti di mail massiva, quali mailchimp o mailup. Abitualmente si prevede in calce alla mail un pulsante di disiscrizione, ma si tratta di un’informazione che rimane solo nelle liste degli strumenti di mail massiva e quando si procede con aggiornamenti delle liste, la traccia della disiscrizione viene persa e l’interessato viene illecitamente ricontattato. Il collegamento attraverso le API consente di utilizzare liste presenti su YN, registrando in piattaforma le disiscrizioni, garantendo un processo controllato.
  • Tra gli interessati i cui dati sono gestiti in azienda, rilevano i dipendenti ai quali deve essere trasmessa informativa oltre a diverse altre comunicazioni. Pensiamo ad esempio a quello che è successo negli ultimi mesi con le regole GP, in continua evoluzione. Riguardo i dipendenti YN può certificare la trasmissione di comunicazioni e la raccolta di dati e consensi anche in ambiti che si spingono oltre le questioni GDPR, ad esempio per la prenotazione delle visite mediche, l’organizzazione dei corsi, l’adesione a strumenti di welfare, sempre con il vantaggio di poter condividere le informazioni necessarie con terzi, senza duplicare o spostare archivi.
  • In diverse situazioni, comprese le scuole, si prevedono consensi per la raccolta e l’utilizzo di immagini, anche di minori. Nel caso un consenso di questo tipo venga fornito e in seguito revocato, diventa fondamentale poter dimostrare che, eventuali processi avvenuti tra questi due intervalli, erano supportati da un consenso valido in quel momento.
  • Sempre riguardo minori, la raccolta di informazioni sanitarie, tra cui eventuali allergie alimentari, è stata effettuata con YN da parte di un centro estivo, con il vantaggio di poter fornire accesso a queste informazioni al personale incaricato di sorvegliare, assistere i piccoli ospiti e organizzare le attività.

 

In sintesi, la peculiarità di YesNology è la centralità dell’interessato, gestita in sicurezza, fornendo al titolare strumenti quanto più flessibili per lo sviluppo delle proprie attività.