GDPR, regolamento generale sulla protezione dei dati, tutto quello da sapere per metterti in regola

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale di un’azienda

A partire dal 25 maggio 2018 entrerà in vigore anche in Italia la nuova normativa in materia di protezione dei dati (GDPR – Regolamento UE n. 679/2016) per adeguare le norme sulla protezione dei dati personali al nuovo contesto economico e sociale.

Lo scopo è rinforzare le misure tecniche e organizzative per dare un’ adeguata sicurezza dei dati riducendo il rischio di dispersione o furti, evitando quindi di violare la privacy dei cittadini.

Cos’è il GDPR (General data Protection Regulation) e cosa cambia per le aziende.

Il Regolamento generale sulla protezione dei dati è stato adottato dal Parlamento Europeo nell’aprile 2016 “per rafforzare e rendere più omogenea la protezione dei dati personali”. Le disposizioni fortificano la protezione dei dati e devono essere rispettate sia dalle aziende con sede nell’Unione Europea, sia da quelle che hanno sede al di fuori di essa ma che trattano dati di cittadini di uno Stato membro.

Tutte le aziende che elaborano dati personali devono dotarsi necessariamente della figura del Data Protection Officer e di un registro delle operazioni di trattamento affinché possa essere supervisionato dal Garante. Il titolare del trattamento dei dati deve dotarsi anche di un Registro degli incidenti dove verranno annotati tutti i casi di violazione o danneggiamento dei dati con l’obiettivo di evitare incidenti futuri e migliorare le misure di sicurezza.

Il nuovo regolamento introduce un principio già riconosciuto dal Garante per la Privacy: il principio di accountability, che stabilisce che sarà compito delle aziende o degli enti pubblici che detengono i dati dei cittadini di tenere un atteggiamento che vada verso la loro salvaguardia.

Il GDPR si occupa anche di data breach: si tratta di perdita, modifica, violazione o accesso non autorizzato ai dati; in questo caso il titolare del trattamento è tenuto a informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

Se si verifica un forte rischio per i diritti e le libertà delle persone interessate, queste devono essere avvisate senza ritardi. Il GDPR, inoltre, introduce il diritto all’oblio: l’interessato può chiedere la cancellazione dei suoi dati personali e i titolari del trattamento, anche dopo averli resi pubblici, hanno l’obbligo di informare della richiesta di cancellazione anche altri titolari che hanno a disposizione li stessi dati oggetto di cancellazione.

Perchè è importante adeguare le proprie attività al GDPR?

Se il tuo sito serve persone fisiche dall’UE e tu, o i servizi integrati di terze parti, quali Google e Facebook, elaborano qualunque tipo di dato personale, è necessario seguire tutte le nuove le regole che hanno a che fare con il consenso dei visitatori (come ad esempio i form di richiesta dei dati e il tracciamento della visita con gli strumenti di web analytics), il banner della normativa che comprare sul sito e l’informativa della privacy. Se si riscontrano casi di attacchi informatici o furti, si deve verificare che l’azienda abbia messo in atto le tutele e le procedure del caso.

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale. A questo si aggiunge il rischio del danno di immagine dell’azienda.

Per progettare e/o adeguare un sito web esistente al regolamento GDPR?

Indicazioni pratiche:

Siete spaventati dai rischi che l’entrata in vigore del GDPR potrebbe portarvi? Avete sentite ancge voi delle multi milionarie in arrivo per coloro che non si adeguano? Beh, se state leggendo queste righe per lo meno vi state interrogando su quali sono le pratiche da attuare per far si che non siate costretti a pagare multe milionarie e quindi a chiudere bottega.

Ma andiamo con ordine ed esaminiamo i due possibili casi: sviluppare un nuovo sito da zero; aggiornare e adeguare un sito web esistente.

Se siete in procinto di sviluppare un nuovo sito web sarà sufficiente seguire e rispettare fin da subito tutti i dettami previsti dal GDPR tenendo bene a mente i principi di “Privacy by design” e “Privacy by default. Questo è comunque il caso più semplice però e per non rischiare nulla sarà sufficiente rivolgersi ad uno specialista che saprà guidarvi passo dopo passo.

Casistica differente è invece quella che prevede l’adeguamento di un sito web già esistente. Se avete già un sito web che effettua trattamento di dati personali è infatti opportuno attivarsi il prima possibile e valutare gli interventi a carico delle seguenti voci:

Moduli di contatto.
Per rendere i Vs. moduli conformi al GDPR è importante, prima di tutto, aggiungere gli opportuni riferimenti – qualora non siano già presenti – alla Vostra informativa sulla privacy (che dovrà essere riscritta seguendo le direttive del GDPR). Con l’entrata in vigore del GDPR l’utente dovrà accettare esplicitamente il trattamento dei suoi dati personali, ad esempio, mettendo la spunta sull’apposito checkbox. Se la finalità del modulo è consentire il contatto, i dati potranno essere trattenuti e gestiti solo fino all’espletamento di tale finalità e non oltre. E’ altresì vietato chiedere il consenso obbligatorio per trattamento di dati non necessari alla finalità indicata.

Moduli di registrazione / Aree private.
Se il Vs. sito web ospita moduli di registrazione, l’adeguamento al GDPR potrebbe essere tutt’altro che indolore. In questo caso è necessario verificare che il vs. sistema integri alcune funzionalità, e in particolare che sia sempre permesso all’utente:

accedere ai propri dati;

modificare i propri dati;

modificare il proprio consenso in relazione al/i trattamento/i effettuati dal sito;

cancellare la propria iscrizione (e tutti i propri dati).

E’ altresì necessario verificare che i dati trattati, a seguito di consensi ottenuti prima dell’entrata in vigore del GDPR, siano conformi a quanto prescritto dalla nuova normativa in relazione ai, più volte citati, principi di “Privacy by design” e “Privacy by default”, in caso contrario sarà necessario pianificare interventi strutturali volti ad adeguare la propria infrastruttura tecnologica.

E-commerce.
In questo caso sarà indispensabile informare gli utenti di tutti i soggetti a cui verranno comunicati i dati e verificare che l’applicativo non compia una qualche attività di profilazione dell’utenza.

Messa mano alla struttura del sito web le nostre azioni non sono in ogni caso concluse. Quasi tutti i siti web infatti integrano un sistema di misurazione degli accessi. Il più famoso (ed utilizzato) tra questi è certamente Google Analytics. In questo caso le regole del GDPR ci obbligano ad informare adeguatamente l’utente prima del tracciamento (in altre parole la registrazione dell’IP di accesso dovrà avvenire dopo che l’utente ha prestato consenso nei modi e nei termini già visti in precedenza). Se non vogliamo percorrere questa strada sarà comunque necessario anonimizzare gli IP, cosi da trasformare l’attività di Analytics assume valore statistico e non rientra più nella definizione di “dato personale”.

Banner pubblicitari.
Con l’entrata in vigore del GDPR, gli editori che utilizzano AdSense dovranno apportare delle modifiche ai propri siti web, al fine di ottenere un consenso preventivo da parte dell’utente circa eventuali strumenti di profilazione e personalizzazione dei messaggi pubblicitari.

Anche l’utilizzo di widget come, ad esempio, mappe, video o pulsanti sociali, avrà un certo impatto in ottica GDPR. In questo caso il gestore del sito web è tenuto ad ottenere il consenso dell’utente circa eventuali operazioni compiuti dai soggetti terzi.

Con il GDPR si chiude l’epoca dello spam indiscriminato, delle mail inviate a contatti pescati a caso. Se un utente accetta il trattamento dei propri dati per ricevere SOLO news, non sarà più possibile inviargli messaggi pubblicitari. Ogni finalità richiede un esplicito consenso (per il quale, nel caso dell’email marketing, il sistema del double opt-in continua ad essere la soluzione preferibile). Ma cosa fare con le “vecchie liste”, cioè con le liste di indirizzi email raccolti prima del GDPR? Sicuramente non vanno buttate ma, alla luce della riforma, appare opportuno inviare una mail informativa a tutti i contatti che rassicuri il destinatario in merito all’utilizzo dei suoi dati e alle finalità perseguite dal gestore della lista.

Gestione delle aree private: cosa cambia con il GDPR?

Nel caso di aree private sarà necessario stilare un diario che registri tutti gli eventi riguardanti i dati personali in modo da avere la prova di ogni attività svolta.


 

Facebook Jobs arriva in Italia: da oggi aziende e professionisti potranno incontrarsi su Facebook

Dopo un periodo di test negli Stati Uniti e in Canada, Facebook ha annunciato lo sbarco di Facebook Jobs anche sul territorio Europeo e a Milano spuntano le prime ricerche di lavoro

Dopo un preventivo periodo di test ristretto al Nord America, Facebook ha ufficializzato lo sbarco anche sul suolo Europeo, a Milano oggi venerdi 2 Marzo sono già sei le inserzioni di lavoro attive, di Facebook Jobs, un applicazione che ha come obiettivo principale quello di far incontrare domanda e offerta di lavoro.
Le funzionalità sono molto simili a quelle offerte agli utenti da Linkedin ma, nonostante ciò, è possibile trovare alcuni importanti differenze.

La prima, enorme, differenza è rappresentata dal bacino di utenza dei due social media. Linkedin sebbene sia uno dei principali social media esistenti al mondo attualmente non presenta un bacino di utenti paragonabile a Facebook, inoltre Facebook Job a differenza da quanto offerta da Linkedin potrà rappresentare un utilissimo strumento anche per quei professionisti che non possono vantare un curriculum vitae specializzato

(Linkedin predilige i profili professionali specializzati, risultando molto meno utile quindi in presenza di candidati con poche specializzazioni).

Come funziona Facebook Jobs?

Facebook Jobs è disponibile anche per l’Italia ma per il momento il portale non è ancora stato tradotto, quindi chi vorrà utilizzarlo dovrà per ora masticare un minimo di lingua inglese. Utilizzare Facebook Jobs sarà molto facile, nei prossimi giorni le pagine aziendali vedranno comparire una nuova voce, jobs, grazie alla quale le aziende potranno pubblicare nuove offerte di lavoro. Una volta pubblicata la posizione lavorativa ricercata, sarà pubblicata automaticamente e apparire direttamente sulla News Feed dei propri lettori.

Ma quindi potrà essere sfruttato solo dalle aziende?

No. Facebook Jobs porterà un beneficio anche a coloro che sono alla ricerca di un nuovo lavoro. Trovata l’offerta di lavoro giusta si potrà selezionare e compilare automaticamente la domanda per la propria candidatura tramite Facebook e comunicare direttamente con le risorse umane dell’azienda attraverso Messenger. Per meglio comprendere la portata di quella che si preannuncia come una vera e propria rivoluzione è sufficiente leggere i dati americani. Secondo gli analisti a stelle e strisce circa una persona su quattro negli Usa dichiara di aver cercato o trovato lavoro usando Facebook. La scommessa che Mark Elliot Zuckerberg vuole vincere è quella di guadagnare quote di mercato a scapito di piattaforme consolidate come LinkedIn.

Costi e modalità di utilizzo di Facebook Jobs!

In Nord America l’utilizzo di Facebook Jobs è gratuito per quanto riguarda la ricerca di lavoro mentre per le aziende Facebook jobs sarà uno strumento a pagamento (i costi variano a seconda del tipo di pubblicità che si decide di adottare. Infatti, l’azienda dovrà creare una vera e propria campagna pubblicitaria per rendere visibile il suo annuncio di lavoro) Una sfaccettatura perfettamente in linea con la linea che Facebook sta già tenendo da diversi mesi.

Differenze tra Facebook Jobs e Facebook Careers. Facebook Jobs è uno strumento interno alle pagine aziendali, Facebook Careers invece è una vera e propria bacheca lavorativa in cui è possibile far incontrare domanda e offerta di lavoro.