GDPR, regolamento generale sulla protezione dei dati, tutto quello da sapere per metterti in regola

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale di un’azienda

A partire dal 25 maggio 2018 entrerà in vigore anche in Italia la nuova normativa in materia di protezione dei dati (GDPR – Regolamento UE n. 679/2016) per adeguare le norme sulla protezione dei dati personali al nuovo contesto economico e sociale.

Lo scopo è rinforzare le misure tecniche e organizzative per dare un’ adeguata sicurezza dei dati riducendo il rischio di dispersione o furti, evitando quindi di violare la privacy dei cittadini.

Cos’è il GDPR (General data Protection Regulation) e cosa cambia per le aziende.

Il Regolamento generale sulla protezione dei dati è stato adottato dal Parlamento Europeo nell’aprile 2016 “per rafforzare e rendere più omogenea la protezione dei dati personali”. Le disposizioni fortificano la protezione dei dati e devono essere rispettate sia dalle aziende con sede nell’Unione Europea, sia da quelle che hanno sede al di fuori di essa ma che trattano dati di cittadini di uno Stato membro.

Tutte le aziende che elaborano dati personali devono dotarsi necessariamente della figura del Data Protection Officer e di un registro delle operazioni di trattamento affinché possa essere supervisionato dal Garante. Il titolare del trattamento dei dati deve dotarsi anche di un Registro degli incidenti dove verranno annotati tutti i casi di violazione o danneggiamento dei dati con l’obiettivo di evitare incidenti futuri e migliorare le misure di sicurezza.

Il nuovo regolamento introduce un principio già riconosciuto dal Garante per la Privacy: il principio di accountability, che stabilisce che sarà compito delle aziende o degli enti pubblici che detengono i dati dei cittadini di tenere un atteggiamento che vada verso la loro salvaguardia.

Il GDPR si occupa anche di data breach: si tratta di perdita, modifica, violazione o accesso non autorizzato ai dati; in questo caso il titolare del trattamento è tenuto a informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

Se si verifica un forte rischio per i diritti e le libertà delle persone interessate, queste devono essere avvisate senza ritardi. Il GDPR, inoltre, introduce il diritto all’oblio: l’interessato può chiedere la cancellazione dei suoi dati personali e i titolari del trattamento, anche dopo averli resi pubblici, hanno l’obbligo di informare della richiesta di cancellazione anche altri titolari che hanno a disposizione li stessi dati oggetto di cancellazione.

Perchè è importante adeguare le proprie attività al GDPR?

Se il tuo sito serve persone fisiche dall’UE e tu, o i servizi integrati di terze parti, quali Google e Facebook, elaborano qualunque tipo di dato personale, è necessario seguire tutte le nuove le regole che hanno a che fare con il consenso dei visitatori (come ad esempio i form di richiesta dei dati e il tracciamento della visita con gli strumenti di web analytics), il banner della normativa che comprare sul sito e l’informativa della privacy. Se si riscontrano casi di attacchi informatici o furti, si deve verificare che l’azienda abbia messo in atto le tutele e le procedure del caso.

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale. A questo si aggiunge il rischio del danno di immagine dell’azienda.

Per progettare e/o adeguare un sito web esistente al regolamento GDPR?

Indicazioni pratiche:

Siete spaventati dai rischi che l’entrata in vigore del GDPR potrebbe portarvi? Avete sentite ancge voi delle multi milionarie in arrivo per coloro che non si adeguano? Beh, se state leggendo queste righe per lo meno vi state interrogando su quali sono le pratiche da attuare per far si che non siate costretti a pagare multe milionarie e quindi a chiudere bottega.

Ma andiamo con ordine ed esaminiamo i due possibili casi: sviluppare un nuovo sito da zero; aggiornare e adeguare un sito web esistente.

Se siete in procinto di sviluppare un nuovo sito web sarà sufficiente seguire e rispettare fin da subito tutti i dettami previsti dal GDPR tenendo bene a mente i principi di “Privacy by design” e “Privacy by default. Questo è comunque il caso più semplice però e per non rischiare nulla sarà sufficiente rivolgersi ad uno specialista che saprà guidarvi passo dopo passo.

Casistica differente è invece quella che prevede l’adeguamento di un sito web già esistente. Se avete già un sito web che effettua trattamento di dati personali è infatti opportuno attivarsi il prima possibile e valutare gli interventi a carico delle seguenti voci:

Moduli di contatto.
Per rendere i Vs. moduli conformi al GDPR è importante, prima di tutto, aggiungere gli opportuni riferimenti – qualora non siano già presenti – alla Vostra informativa sulla privacy (che dovrà essere riscritta seguendo le direttive del GDPR). Con l’entrata in vigore del GDPR l’utente dovrà accettare esplicitamente il trattamento dei suoi dati personali, ad esempio, mettendo la spunta sull’apposito checkbox. Se la finalità del modulo è consentire il contatto, i dati potranno essere trattenuti e gestiti solo fino all’espletamento di tale finalità e non oltre. E’ altresì vietato chiedere il consenso obbligatorio per trattamento di dati non necessari alla finalità indicata.

Moduli di registrazione / Aree private.
Se il Vs. sito web ospita moduli di registrazione, l’adeguamento al GDPR potrebbe essere tutt’altro che indolore. In questo caso è necessario verificare che il vs. sistema integri alcune funzionalità, e in particolare che sia sempre permesso all’utente:

accedere ai propri dati;

modificare i propri dati;

modificare il proprio consenso in relazione al/i trattamento/i effettuati dal sito;

cancellare la propria iscrizione (e tutti i propri dati).

E’ altresì necessario verificare che i dati trattati, a seguito di consensi ottenuti prima dell’entrata in vigore del GDPR, siano conformi a quanto prescritto dalla nuova normativa in relazione ai, più volte citati, principi di “Privacy by design” e “Privacy by default”, in caso contrario sarà necessario pianificare interventi strutturali volti ad adeguare la propria infrastruttura tecnologica.

E-commerce.
In questo caso sarà indispensabile informare gli utenti di tutti i soggetti a cui verranno comunicati i dati e verificare che l’applicativo non compia una qualche attività di profilazione dell’utenza.

Messa mano alla struttura del sito web le nostre azioni non sono in ogni caso concluse. Quasi tutti i siti web infatti integrano un sistema di misurazione degli accessi. Il più famoso (ed utilizzato) tra questi è certamente Google Analytics. In questo caso le regole del GDPR ci obbligano ad informare adeguatamente l’utente prima del tracciamento (in altre parole la registrazione dell’IP di accesso dovrà avvenire dopo che l’utente ha prestato consenso nei modi e nei termini già visti in precedenza). Se non vogliamo percorrere questa strada sarà comunque necessario anonimizzare gli IP, cosi da trasformare l’attività di Analytics assume valore statistico e non rientra più nella definizione di “dato personale”.

Banner pubblicitari.
Con l’entrata in vigore del GDPR, gli editori che utilizzano AdSense dovranno apportare delle modifiche ai propri siti web, al fine di ottenere un consenso preventivo da parte dell’utente circa eventuali strumenti di profilazione e personalizzazione dei messaggi pubblicitari.

Anche l’utilizzo di widget come, ad esempio, mappe, video o pulsanti sociali, avrà un certo impatto in ottica GDPR. In questo caso il gestore del sito web è tenuto ad ottenere il consenso dell’utente circa eventuali operazioni compiuti dai soggetti terzi.

Con il GDPR si chiude l’epoca dello spam indiscriminato, delle mail inviate a contatti pescati a caso. Se un utente accetta il trattamento dei propri dati per ricevere SOLO news, non sarà più possibile inviargli messaggi pubblicitari. Ogni finalità richiede un esplicito consenso (per il quale, nel caso dell’email marketing, il sistema del double opt-in continua ad essere la soluzione preferibile). Ma cosa fare con le “vecchie liste”, cioè con le liste di indirizzi email raccolti prima del GDPR? Sicuramente non vanno buttate ma, alla luce della riforma, appare opportuno inviare una mail informativa a tutti i contatti che rassicuri il destinatario in merito all’utilizzo dei suoi dati e alle finalità perseguite dal gestore della lista.

Gestione delle aree private: cosa cambia con il GDPR?

Nel caso di aree private sarà necessario stilare un diario che registri tutti gli eventi riguardanti i dati personali in modo da avere la prova di ogni attività svolta.