3
Mag, 2018

GDPR, regolamento generale sulla protezione dei dati, tutto quello da sapere per metterti in regola

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale di un’azienda

A partire dal 25 maggio 2018 entrerà in vigore anche in Italia la nuova normativa in materia di protezione dei dati (GDPR – Regolamento UE n. 679/2016) per adeguare le norme sulla protezione dei dati personali al nuovo contesto economico e sociale.

Lo scopo è rinforzare le misure tecniche e organizzative per dare un’ adeguata sicurezza dei dati riducendo il rischio di dispersione o furti, evitando quindi di violare la privacy dei cittadini.

Cos’è il GDPR (General data Protection Regulation) e cosa cambia per le aziende.

Il Regolamento generale sulla protezione dei dati è stato adottato dal Parlamento Europeo nell’aprile 2016 “per rafforzare e rendere più omogenea la protezione dei dati personali”. Le disposizioni fortificano la protezione dei dati e devono essere rispettate sia dalle aziende con sede nell’Unione Europea, sia da quelle che hanno sede al di fuori di essa ma che trattano dati di cittadini di uno Stato membro.

Tutte le aziende che elaborano dati personali devono dotarsi necessariamente della figura del Data Protection Officer e di un registro delle operazioni di trattamento affinché possa essere supervisionato dal Garante. Il titolare del trattamento dei dati deve dotarsi anche di un Registro degli incidenti dove verranno annotati tutti i casi di violazione o danneggiamento dei dati con l’obiettivo di evitare incidenti futuri e migliorare le misure di sicurezza.

Il nuovo regolamento introduce un principio già riconosciuto dal Garante per la Privacy: il principio di accountability, che stabilisce che sarà compito delle aziende o degli enti pubblici che detengono i dati dei cittadini di tenere un atteggiamento che vada verso la loro salvaguardia.

Il GDPR si occupa anche di data breach: si tratta di perdita, modifica, violazione o accesso non autorizzato ai dati; in questo caso il titolare del trattamento è tenuto a informare della violazione l’autorità di controllo entro 72 ore dal momento in cui ne è venuto a conoscenza.

Se si verifica un forte rischio per i diritti e le libertà delle persone interessate, queste devono essere avvisate senza ritardi. Il GDPR, inoltre, introduce il diritto all’oblio: l’interessato può chiedere la cancellazione dei suoi dati personali e i titolari del trattamento, anche dopo averli resi pubblici, hanno l’obbligo di informare della richiesta di cancellazione anche altri titolari che hanno a disposizione li stessi dati oggetto di cancellazione.

Perchè è importante adeguare le proprie attività al GDPR?

Se il tuo sito serve persone fisiche dall’UE e tu, o i servizi integrati di terze parti, quali Google e Facebook, elaborano qualunque tipo di dato personale, è necessario seguire tutte le nuove le regole che hanno a che fare con il consenso dei visitatori (come ad esempio i form di richiesta dei dati e il tracciamento della visita con gli strumenti di web analytics), il banner della normativa che comprare sul sito e l’informativa della privacy. Se si riscontrano casi di attacchi informatici o furti, si deve verificare che l’azienda abbia messo in atto le tutele e le procedure del caso.

In caso di violazione del GDPR, le aziende rischiano sanzioni fino a 20 milioni di euro oppure il 4% dell’intero fatturato annuale. A questo si aggiunge il rischio del danno di immagine dell’azienda.

Per progettare e/o adeguare un sito web esistente al regolamento GDPR?

Indicazioni pratiche:

Siete spaventati dai rischi che l’entrata in vigore del GDPR potrebbe portarvi? Avete sentite ancge voi delle multi milionarie in arrivo per coloro che non si adeguano? Beh, se state leggendo queste righe per lo meno vi state interrogando su quali sono le pratiche da attuare per far si che non siate costretti a pagare multe milionarie e quindi a chiudere bottega.

Ma andiamo con ordine ed esaminiamo i due possibili casi: sviluppare un nuovo sito da zero; aggiornare e adeguare un sito web esistente.

Se siete in procinto di sviluppare un nuovo sito web sarà sufficiente seguire e rispettare fin da subito tutti i dettami previsti dal GDPR tenendo bene a mente i principi di “Privacy by design” e “Privacy by default. Questo è comunque il caso più semplice però e per non rischiare nulla sarà sufficiente rivolgersi ad uno specialista che saprà guidarvi passo dopo passo.

Casistica differente è invece quella che prevede l’adeguamento di un sito web già esistente. Se avete già un sito web che effettua trattamento di dati personali è infatti opportuno attivarsi il prima possibile e valutare gli interventi a carico delle seguenti voci:

Moduli di contatto.
Per rendere i Vs. moduli conformi al GDPR è importante, prima di tutto, aggiungere gli opportuni riferimenti – qualora non siano già presenti – alla Vostra informativa sulla privacy (che dovrà essere riscritta seguendo le direttive del GDPR). Con l’entrata in vigore del GDPR l’utente dovrà accettare esplicitamente il trattamento dei suoi dati personali, ad esempio, mettendo la spunta sull’apposito checkbox. Se la finalità del modulo è consentire il contatto, i dati potranno essere trattenuti e gestiti solo fino all’espletamento di tale finalità e non oltre. E’ altresì vietato chiedere il consenso obbligatorio per trattamento di dati non necessari alla finalità indicata.

Moduli di registrazione / Aree private.
Se il Vs. sito web ospita moduli di registrazione, l’adeguamento al GDPR potrebbe essere tutt’altro che indolore. In questo caso è necessario verificare che il vs. sistema integri alcune funzionalità, e in particolare che sia sempre permesso all’utente:

accedere ai propri dati;

modificare i propri dati;

modificare il proprio consenso in relazione al/i trattamento/i effettuati dal sito;

cancellare la propria iscrizione (e tutti i propri dati).

E’ altresì necessario verificare che i dati trattati, a seguito di consensi ottenuti prima dell’entrata in vigore del GDPR, siano conformi a quanto prescritto dalla nuova normativa in relazione ai, più volte citati, principi di “Privacy by design” e “Privacy by default”, in caso contrario sarà necessario pianificare interventi strutturali volti ad adeguare la propria infrastruttura tecnologica.

E-commerce.
In questo caso sarà indispensabile informare gli utenti di tutti i soggetti a cui verranno comunicati i dati e verificare che l’applicativo non compia una qualche attività di profilazione dell’utenza.

Messa mano alla struttura del sito web le nostre azioni non sono in ogni caso concluse. Quasi tutti i siti web infatti integrano un sistema di misurazione degli accessi. Il più famoso (ed utilizzato) tra questi è certamente Google Analytics. In questo caso le regole del GDPR ci obbligano ad informare adeguatamente l’utente prima del tracciamento (in altre parole la registrazione dell’IP di accesso dovrà avvenire dopo che l’utente ha prestato consenso nei modi e nei termini già visti in precedenza). Se non vogliamo percorrere questa strada sarà comunque necessario anonimizzare gli IP, cosi da trasformare l’attività di Analytics assume valore statistico e non rientra più nella definizione di “dato personale”.

Banner pubblicitari.
Con l’entrata in vigore del GDPR, gli editori che utilizzano AdSense dovranno apportare delle modifiche ai propri siti web, al fine di ottenere un consenso preventivo da parte dell’utente circa eventuali strumenti di profilazione e personalizzazione dei messaggi pubblicitari.

Anche l’utilizzo di widget come, ad esempio, mappe, video o pulsanti sociali, avrà un certo impatto in ottica GDPR. In questo caso il gestore del sito web è tenuto ad ottenere il consenso dell’utente circa eventuali operazioni compiuti dai soggetti terzi.

Con il GDPR si chiude l’epoca dello spam indiscriminato, delle mail inviate a contatti pescati a caso. Se un utente accetta il trattamento dei propri dati per ricevere SOLO news, non sarà più possibile inviargli messaggi pubblicitari. Ogni finalità richiede un esplicito consenso (per il quale, nel caso dell’email marketing, il sistema del double opt-in continua ad essere la soluzione preferibile). Ma cosa fare con le “vecchie liste”, cioè con le liste di indirizzi email raccolti prima del GDPR? Sicuramente non vanno buttate ma, alla luce della riforma, appare opportuno inviare una mail informativa a tutti i contatti che rassicuri il destinatario in merito all’utilizzo dei suoi dati e alle finalità perseguite dal gestore della lista.

Gestione delle aree private: cosa cambia con il GDPR?

Nel caso di aree private sarà necessario stilare un diario che registri tutti gli eventi riguardanti i dati personali in modo da avere la prova di ogni attività svolta.

 
13
Mar, 2017

Strumenti di pagamento online per commercianti “Paypal, carta di credito, Postepay”

 

Paypal, carta di credito, Postepay: tutte le caratteristiche dei principali strumenti di pagamento online

Dopo un iniziale periodo di smarrimento, anche gli italiani sembra che stiano cominciando ad apprezzare la possibilità di effettuare acquisti online.

Secondo gli ultimi studi infatti si stima che in Italia siano almeno 14 milioni gli acquirenti on line, un settore che registra una crescita del 13,5% rispetto a pochi mesi fa per un controvalore di circa 11 miliardi di euro di fatturato.

Certo anche se in crescita, i pagamenti online, come il paypal, in Italia sono visti ancora con un occhio, forse, eccessivamente critico. Gli italiani infatti, a leggere le ultime ricerche effettuate, si fidano ancora poco delle carte di credito e degli strumenti online.

Quali sono i metodi di pagamento online più gettonati: breve guida tra Paypal, carta di credito, Mobile Payment ecc…

La carta di credito è oggi sicuramente il metodo di pagamento online tra i più utilizzati dagli italiani. Garantisce praticità e sicurezza. Da qualche tempo sono inoltre disponibili alcune particolari tipologie di carte di credito adatte agli acquisti online. In commercio si possono infatti trovare carte di credito ricaricabili dove il proprietario caricherà solo un certo quantitativo di denaro da poter utilizzare.

Un strumento sicuro anche in caso di frode perché il malintenzionato potrà rubare solo l’eventuale credito residuo. Le banche ultimamente forniscono anche delle speciali carte di credito dedicate allo shopping online che permettono di creare delle carte di credito virtuali funzionanti per una sola transazione e con somme di denaro limitate da usare per gli acquisti sicuri.

Paypal e strumenti di pagamento online
PayPal è un sicurissimo sistema di pagamento online sempre più utilizzato e apprezzato dagli internauti. Il funzionamento di PayPal è molto simile a quello di un normale conto corrente. Aperto un account sarà infatti possibile inviare e ricevere denaro, effettuare bonifici e acquistare online. Il punto di forza delle transazioni con Paypal è sicuramente un altissimo coefficiente di sicurezza online.

Nel caso infatti non dovesse arrivare la merce acquistata o per altri e diversi motivi si dovesse ricevere un prodotto differente da quello acquistato, PayPal rimborserà totalmente il prezzo pagato. Per ricevere il rimborso sarà sufficiente seguire poche e semplice regole aprendo una contestazione entro 45 giorni dalla data d’acquisto. Il futuro di PayPal sarà caratterizzato da nuovi servizi sempre più user oriented, tra cui la recente possibilità di richiedere una carta di credito, con bassissimi costi di gestione, ricaricabile da utilizzare per lo shopping. Curiosamente, PayPal, essendo di proprietà di eBay, per una questione di concorrenza, non viene accettata ovunque. Per esempio, proprio per questioni di concorrenza, questa forma di pagamento non viene accettata su Amazon.

Mobile Payment.
La nuova frontiera dello shopping online è rappresentato dal Mobile Payment, uno strumento con cui è possibile effettuare degli acquisti pagando direttamente dal proprio smartphone. Gli acquisti possono venire effettuati online attraverso applicazioni dedicate come quelle di eBay o di Amazon oppure nei negozi fisici utilizzando il telefono come carta di credito. In questo secondo caso per effettuare il pagamento, il proprio smartphone dovrà essere dotato di tecnologia NFC (Near Field Communication) che dialogando con speciali POS in possesso agli esercenti concluderà la transazione.

6
Mar, 2017

Certificati SSL e “penalizzazioni” sui motori di ricerca: ma il tuo sito è sicuro?

Dal primo gennaio 2017 Google “penalizza” tutti quei siti che risultano sprovvisti di Certificati SSL, segnalandoli come non sicuri e variando la loro posizione nei risultati di ricerca

Google dichiara guerra ai “siti non sicuri”, e lo fa penalizzando tutti quei siti, sprovvisti di Certificati SSL, dove è possibile registrarsi con dati sensibili come password, o dove è possibile pagare con carte di credito, senza alcuna garanzia che nell’ambiente in cui si sta navigando.

“Gran parte del nostro lavoro è assicurarsi che i siti web siano sicuri. Per questi motivi stiamo iniziando ad utilizzare HTTPS come un segnale di ranking, perchè vorremmo incoraggiare tutti i proprietari di siti a passare da HTTP a HTTPS, per fare in modo che tutti sul web siano sicuri” Google

Certo, non si può parlare di “fulmine a ciel sereno” ovvio, la notizia era nell’aria già da alcuni mesi, e tutti gli addetti al settore, diciamo, che si aspettavamo una mossa di questo tipo da parte di Google. In particolare Google Chrome, leader fra i browser mondiali, quando si imbatterà in un sito ritenuto pericoloso, avviserà l’utente che il sito in cui sta navigando non è sicuro e che quindi è sconsigliato proseguire con la registrazione o col pagamento. Una segnalazione che potrebbe portare ad un crollo delle visite verso il vostro sito. Con conseguente crollo di conversioni.

Certificati SSL

E se questo non vi sembra abbastanza, sappiate che la penalizzazione imposta da Google andrà a toccare anche aspetti più squisitamente tecnic. Come la posizione del vostro sito web sui motori di ricerca. Google andrà infatti a penalizzare la posizione di tutti quei siti ancora HTTP e andrà invece a “premiare” i siti che risultino già passati ad un tipo di protocollo di sicurezza HTTPS.

Oltre a danneggiare il posizionamento dei siti sui motori di ricerca, l’avere o meno un Certificati SSL costituirà nei prossimi mesi e anni, un sicuro distinguo dal punto di vista della percezione e della fiducia degli utenti.

Comprereste mai su di un sito considerato da Google come non sicuro?

I siti sicuri e dotati di Certificati SSL infatti, saranno anche graficamente differenti e distinguibili da quelli non sicuri. Visionando una serp di ricerca infatti i siti web con protocollo HTTPS vedranno il loro status di sicuri certificato con un lucchetto verde, mentre i siti considerati pericolosi saranno accompagnati da una scritta rossa “NOT SECURE”.

Se hai un sito online sprovvisto di certificato SSL e non vuoi rischiare di perdere visite e possibili clienti, puoi contattarci alla mail.netme@gmail.com. In poche ore il tuo sito e il tuo business saranno più sicuri.