Il GDPR (General Data Protection Regulation) e il regolamento europeo sulla protezione dei dati personali in vigore dal 2018. Per chi gestisce richiami clienti, la conformita GDPR non e facoltativa: e un obbligo di legge con sanzioni che possono arrivare fino al 4% del fatturato annuo. Questa checklist ti guida punto per punto nella verifica della conformita del tuo sistema di recall.
Base Giuridica del Trattamento
1. Hai identificato la base giuridica corretta
Per i recall, le basi giuridiche piu comuni sono:
- Consenso esplicito: il cliente ha firmato un modulo che autorizza specificamente i richiami (la base piu sicura)
- Legittimo interesse: il recall e nell'interesse sia del cliente (promemoria per la salute) sia dell'attivita (mantenimento del rapporto). Richiede un'analisi documentata (LIA - Legitimate Interest Assessment)
- Esecuzione di un contratto: se il recall e parte di un servizio contrattualizzato (es. piano di manutenzione programmata)
2. Il consenso e specifico e documentato
Se usi il consenso come base giuridica, verifica che:
- Il consenso sia stato dato per la specifica finalita di recall (non un consenso generico)
- Il consenso sia documentato (modulo firmato, registrazione digitale con timestamp)
- Il consenso sia separato da altri consensi (non incluso in una clausola generica)
- Il consenso sia revocabile facilmente (il cliente puo ritirarlo in qualsiasi momento)
3. I minori sono gestiti correttamente
Se tratti dati di minori (es. studi pediatrici), il consenso deve essere fornito dal genitore/tutore legale. Verifica che i moduli prevedano questa casistica.
Informativa e Trasparenza
4. L'informativa privacy menziona i recall
La tua informativa deve specificare chiaramente che i dati vengono utilizzati per richiami commerciali o di servizio. Deve indicare: finalita, base giuridica, periodo di conservazione, diritti dell'interessato.
5. L'informativa e facilmente accessibile
Il cliente deve poter accedere all'informativa in qualsiasi momento: link nel sito web, copia in studio, riferimento in ogni comunicazione.
6. Il trattamento e trasparente
Il cliente deve sapere quali dati vengono usati per i recall, chi li tratta e per quanto tempo. Niente clausole nascoste o linguaggio incomprensibile.
Diritti dell'Interessato
7. Il diritto di accesso e garantito
Se il cliente chiede di vedere i suoi dati, devi poterglieli fornire entro 30 giorni. Verifica che il tuo sistema permetta l'esportazione dei dati per singolo contatto.
8. Il diritto di rettifica e operativo
Se il cliente chiede di correggere un dato errato (nome sbagliato, numero cambiato), devi poterlo fare immediatamente. Il sistema RecallAI permette la modifica in tempo reale.
9. Il diritto di cancellazione funziona
Se il cliente chiede la cancellazione dei suoi dati ("diritto all'oblio"), devi poterla eseguire. Verifica che la cancellazione sia effettiva e non solo logica (il dato deve essere rimosso, non semplicemente nascosto).
10. Il diritto di opposizione e rispettato
Se il cliente si oppone ai recall, devi interrompere immediatamente i richiami. Verifica che il sistema abbia una funzione di blocco immediato per singolo contatto.
11. L'opt-out e presente in ogni comunicazione
Ogni messaggio di recall (SMS, email, WhatsApp) deve contenere un modo per il cliente di rinunciare ai richiami futuri. "Per non ricevere piu questi messaggi, rispondi STOP" o un link di disiscrizione.
Sicurezza dei Dati
12. I dati sono crittografati
I dati personali dei clienti devono essere crittografati sia in transito (comunicazione tra sistemi) sia a riposo (nel database). Verifica che il tuo sistema utilizzi protocolli di crittografia standard (TLS, AES-256).
13. L'accesso e controllato
Solo il personale autorizzato deve poter accedere ai dati dei clienti. Verifica che il sistema preveda ruoli e permessi differenziati (es. la segreteria vede i contatti ma non puo esportare tutto il database).
14. I backup sono sicuri
I backup dei dati devono essere crittografati e conservati in modo sicuro. Verifica la frequenza dei backup e la procedura di ripristino.
15. Il data breach e gestito
Hai una procedura per gestire eventuali violazioni dei dati? Il GDPR richiede la notifica al Garante entro 72 ore dalla scoperta della violazione. Verifica che esista un piano documentato.
Responsabili del Trattamento
16. I fornitori sono conformi
Se usi un sistema esterno per i recall (come RecallAI), verifica che il fornitore sia conforme al GDPR e che esista un contratto di trattamento dati (DPA - Data Processing Agreement) firmato.
17. I dati restano in UE
Verifica che i dati dei clienti siano conservati su server nell'Unione Europea. Il trasferimento extra-UE richiede garanzie aggiuntive (clausole contrattuali standard, decisione di adeguatezza).
Conservazione dei Dati
18. Il periodo di conservazione e definito
Per quanto tempo conservi i dati dei clienti ai fini del recall? Definisci un periodo ragionevole (es. 24 mesi dall'ultima interazione) e documentalo nell'informativa.
19. La cancellazione automatica e attiva
Al termine del periodo di conservazione, i dati devono essere cancellati automaticamente. Verifica che il sistema preveda questa funzionalita.
Conformita Continua
20. Rivedi periodicamente
Il GDPR non e un adempimento una tantum: richiede conformita continua. Rivedi questa checklist ogni 6 mesi e aggiorna procedure e documentazione quando necessario.
Il Motore AI Proprietario RecallAI e progettato per la conformita GDPR nativa. Consulta la pagina integrazioni e scopri i piani conformi alla normativa europea sulla protezione dei dati.