Il GDPR (General Data Protection Regulation) è il nome del Regolamento Europeo 2016/679 che riguarda la protezione dei dati personali.
Ha sostituito, in Italia, il precedente Dlgs 196/2003, cioè il “Codice in materia di protezione dei dati personali”.
La principale differenza con la normativa precedente consiste nel fornire informazioni più precise su come i dati personali verranno trattati e sull’esplicito consenso al trattamento di tali dati.
Ma non è tutto: si regolamenta in modo più rigido il trasferimento dei dati al di fuori dell’Unione Europea, si obbliga il titolare a comunicare all’utente eventuali violazioni e si introduce il diritto all’oblio, cioè il diritto all’eliminazione di tutti i propri dati personali.
Ma perché SOS WP dovrebbe interessarsi di GDPR e di questioni legali?
Perché anche se hai un piccolo blog, devi adeguarti alla normativa, altrimenti rischi delle multe che possono essere molto salate. Il GDPR riguarda ormai praticamente tutti, perciò inizia a informarti sull’argomento guardando questa intervista con l’Avvocato Alberto Leoncini e leggendo questa guida.
Se vuoi una maggiore tranquillità e assicurarti che il tuo sito rispetti le regole, scopri il nostro servizio di adeguamento GDPR e messa a norma, molto apprezzato dai nostri clienti (vedi recensioni Trustpilot qui).
Prima di iniziare, chiariamo il significato di alcuni termini che dobbiamo conoscere per addentrarci nell’argomento.
I dati personali sono tutte le informazioni che permettono di risalire all’identità di una persona.
Si tratta quindi di nomi, indirizzi email, indirizzi IP ma anche dati biometrici, informazioni crittografate, pseudonimi…
Il titolare del trattamento è la persona che determina in che modo vengono utilizzati i dati raccolti e quali sono le finalità.
Il responsabile del trattamento è la persona che si occupa di trattare i dati per raggiungere le finalità espresse dal titolare.
Esempio:
Se usi un servizio di newsletter come Mailchimp, i dati personali che vengono raccolti sono il nome e l’indirizzo email degli utenti.
Tu sei il titolare del trattamento, e raccogli questi dati con lo scopo di inviare offerte promozionali agli utenti.
Il responsabile del trattamento è Mailchimp, che raccoglie fisicamente i dati nei propri server.
Il fatto che tu invii la newsletter per vendere prodotti o semplicemente per inviare gratuitamente gli aggiornamenti del tuo blog non fa differenza, in entrambi i casi sei tenuto a rispettare il GDPR.
Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito web rispetti il GDPR.
Se vuoi informarti personalmente sull’argomento, consulta solo le fonti ufficiali, come la pagina informativa del Garante della Privacy.
In questo articolo ti forniamo solo delle indicazioni per avere un’idea di come adeguare il tuo sito al GDPR, ma ti suggeriamo comunque di rivolgerti agli esperti per applicare correttamente tutte le norme.
Vediamo cosa bisogna fare per rispettare il GDPR.
Per adeguare al GDPR il tuo sito web, dovrai per prima cosa raccogliere il consenso esplicito dell’utente per le finalità da te dichiarate.
Questo significa che tu spieghi perché hai bisogno dei suoi dati, e l’utente accetta esplicitamente che tu li usi per questi scopi.
Non sono ammesse check box preselezionate! L’utente deve attivare lui stesso la casella per prestare il consenso.
Ecco un esempio di modulo di contatti non a norma. Anche se è presente la casella di accettazione, questa è attiva al momento in cui si apre la pagina, e quindi non rispetta il GDPR.
Dovrai anche informare l’utente su tutti i dettagli del modo in cui verranno trattati i suoi dati, e per questo bisogna scrivere un’informativa sulla privacy.
L’informativa deve essere molto chiara, perciò non utilizzare né termini ambigui, né un linguaggio troppo complicato.
Includi al suo interno:
Inoltre, la revoca del consenso deve essere semplice come la sua accettazione, per esempio attraverso il click su un semplice link come “Disiscriviti” o “Cancella tutti i miei dati”.
Una volta raccolti i consensi, dovrai archiviarli in un apposito registro dei dati personali, dove raccoglierai le informazioni su:
Il registro può essere in formato cartaceo oppure elettronico, ma la forma elettronica è sicuramente più comoda per poterlo aggiornare con facilità.
Il GDPR non riguarda solamente i dati che l’utente fornisce compilando un form o iscrivendosi alla newsletter.
Ci sono altre tecnologie in grado di raccogliere dati personali anche senza che l’utente ne sia pienamente consapevole, e stiamo parlando appunto dei cookie.
I cookie possono essere utilizzati, ad esempio, per rintracciare un utente che ha già visitato il tuo sito, e quindi mostrargli una pubblicità diversa da quella vista da un nuovo visitatore.
Possono anche rintracciare tale utente su Facebook, grazie all’uso del suo pixel, e mostrare annunci personalizzati.
Ma sono anche necessari per far funzionare semplicemente Google Analytics, che raccoglie dati come l’indirizzo IP.
Insomma, ormai praticamente tutti i siti web per funzionare correttamente hanno bisogno di cookie, e dunque il GDPR deve essere rispettato anche con questa tecnologia.
Ecco perché tutti i siti web europei sono obbligati a mostrare un banner con i pulsanti Accetta e Rifiuta, non appena si carica la pagina.
Questo che vedi qui sotto è un banner correttamente configurato secondo il GDPR:
Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione.
Inoltre, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e il proprietario del sito deve mantenere un registro che provi lo stato del consenso per ogni utente.
Leggi maggiori informazioni sulla normativa cookie in questa guida.
Il GDPR introduce un nuovo diritto che prima del 2016 non era ancora stato regolamentato. Con il diritto all’oblio si potrà ottenere la cancellazione dei propri dati personali anche online.
Se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando, anche se si tratta di terze parti.
Questo diritto può essere limitato solo in casi molto particolari, per esempio per garantire il diritto alla difesa nelle questioni giudiziarie.
Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore dal momento in cui ne viene a conoscenza.
Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti.
Se dovesse costituire un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati.
Maggiori informazioni consultando gli articoli 32-34 del RGDP.
A questo riguardo, è molto importante che l’hosting comunichi tempestivamente al cliente il verficarsi di una violazione.
Se si verifica una violazione nei suoi server, l’hosting è obbligato a comunicarlo ai clienti entro 72 ore.
Dal momento in cui viene inviata questa comunicazione, il responsabile di un sito avrà altre 72 ore di tempo per comunicarlo ai propri clienti e alle autorità.
Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale.
Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie”
Ecco, quindi, che è fondamentale avere la certezza che il proprio sito rispetti le norme.
Chiedi l’aiuto dei nostri esperti per mettere a norma il tuo sito ed evitare sanzioni!
Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti.
Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico.
Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.
Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi.
Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:
Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step.
Le linee guida europee sul GDPR potranno esserti molto utili.
Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.).
Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.
Se identifichi dati personali a cui non dovresti avere accesso, rimuovili.
Disabilita i plugin e i servizi che non rispettano il regolamento; cerca alternative se possibile.
Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.
Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.
Riassumendo, il regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:
Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica che spiega come applicare il GDPR, ti sarà di grande aiuto.
Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.
Conclusione
In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation).
Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.
L’intervista con l’avvocato Leoncini ci ha permesso di soffermarci sui punti più importanti e chiarire ulteriori dubbi.
Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili.
Basta ricercare questi argomenti su Google per farsi velocemente un’idea.
Tu cosa ne pensi, sei favorevole a questo regolamento?
Quali sono le tue più grandi preoccupazioni al riguardo?
Faccelo sapere nei commenti. Alla prossima guida!
L'Errore 400, conosciuto anche come "Bad Request", è un codice di stato HTTP che indica…
Nel mese di novembre che ormai si avvia a conclusione è stato rilasciato da parte…
La posta elettronica è uno strumento ormai imprescindibile in qualunque strategia di marketing ma configurare…
Su internet si trova di tutto e tu stai cercando idee per i tuoi contenuti.…
Qualunque sito viene pubblicato non vive nel vuoto pneumatico del suo server. La rete è…
I servizi per accorciare link sono molto diffusi. Tanti siti web fanno affidamento su plugin…