Il Garante per la Protezione dei Dati Personali periodicamente pubblica una guida per consentire a chi deve trattare i dati personali degli utenti dei siti web di applicare il regolamento europeo in modo da evitare la sanzione.
Per avere un sito WordPress che sia quindi anche a prova di sanzioni da parte del GDPR è necessario ottemperare a una serie di obblighi. Basandoci sui documenti ufficiali, disponibili sul sito del Garante, cerchiamo di capire cosa devi fare e cosa non devi fare.
Come funziona il trattamento dei dati personali, le regole GDPR
Tra i fondamenti del trattamento dei dati personali deve esserci l’aderenza a una serie di norme. Per esempio occorre che il consenso sia “libero, specifico, informato e inequivocabile”. E in più “deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile“.
C’è poi la distinzione tra il consenso che possono dare i minori, che è valido solo a partire dai 14 anni. Vale anche la pena sottolineare che l’eventuale raccolta e gestione dei dati personali degli utenti deve essere comunque giustificata da un “legittimo interesse”.
Tutto questo va inserito all’interno di una informativa che deve essere compilata in modo tale che l’utente abbia effettivamente modo di sapere quali sono i dati che vengono richiesti e il motivo per cui vengono richiesti ma non solo.
Le informative devono anche contenere dati relativi al periodo di tempo in cui le informazioni personali vengono conservate, la possibilità e le modalità con cui si può chiederne la cancellazione e i tempi in cui questa può avvenire.
È un aspetto che è diventato da accessorio a fondamentale nella gestione di qualunque sito web.
E, dato che si applica in moltissimi Paesi e che quindi ci sono diverse entità nazionali che controllano che i diritti degli utenti vengano rispettati anche in questo, i rischi di una multa sono concreti.
Secondo alcuni dati raccolti per esempio da iubenda, le autorità francesi del CNIL, l’equivalente del nostro Garante, hanno portato a 42 sanzioni con multe pari a circa 90 milioni di euro. Anche gli spagnoli hanno comunicato un aumento significativo nel numero delle segnalazioni dei problemi relativi proprio alla gestione dei dati personali.
Il DPC irlandese ha emesso più di un miliardo e mezzo di euro di multa, la maggior parte di questa multa è quella comminata a Meta Ireland. Nel nostro Paese il Garante per la Protezione dei Dati ha emesso un totale di 146 sanzioni, che hanno riguardato violazioni dei diritti e telemarketing non regolamentare.
Quali sono i diritti degli utenti?
Per comprendere meglio gli obblighi che hai come proprietario di un sito web possiamo guardare da vicino quelli che sono i diritti degli utenti che si interfacciano con il tuo sito. Innanzitutto, l’articolo 15 del Regolamento Europeo parla di diritto di accesso. Questo significa che un utente ha il diritto di chiedere e di ricevere una copia di tutti i dati personali che hai richiesto e che gestisci.
Oltre a quali dati, l’utente ha anche diritto a sapere qual è il periodo di conservazione di questi dati e, nel caso in cui avvenga una forma di trasferimento dei dati a terze parti, come viene garantito un trattamento corretto.
Molto interessante è anche il cosiddetto diritto all’oblio: un utente ha quindi il diritto di veder cancellare tutti i dati personali che sono stati raccolti. Questo diritto non viene meno neanche in caso di revoca al consenso al trattamento.
C’è poi la possibilità di chiedere la limitazione del trattamento e la rettifica dei dati. Un nuovo diritto è il diritto alla portabilità, che si applica a tutti quei dati che sono stati forniti al titolare del trattamento dall’utente stesso, per esempio sulla base di un contratto.
Di cosa sei responsabile in base alle regole GDPR
Chiariti quali sono i principali diritti sui propri dati personali da parte degli utenti, occorre anche vedere quali sono gli obblighi e le responsabilità che chi si occupa di trattare questi dati ha nei confronti degli utenti e delle autorità.
La stella polare è “l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. Ai titolari del trattamento dei dati personali spetta il compito di stabilire le modalità specifiche del trattamento, il periodo necessario per la conservazione e i limiti, fermo restando che va tutto calcolato in base proprio al Regolamento stesso.
Molto importante è a tal proposito la riduzione dei rischi potenziali che vengono proprio dal dover gestire i dati personali di altri. Facendo un esempio pratico, nel caso in cui un database dei tuoi clienti dovesse essere violato (e ne raccontiamo spesso di situazioni di questo tipo) e quindi i dati personali di questi clienti dovessero finire in mano a terzi malevoli potresti vederti comminare una sanzione e dovrai essere in grado di dimostrare di avere invece cercato di fare tutto il possibile per evitare la violazione dei diritti degli utenti che a te si sono affidati.
Nel caso di violazione c’è comunque l’obbligo di informare il Garante di ciò che è successo entro un tempo che è stabilito in 72 ore dal momento in cui ti rendi conto che è avvenuta la violazione. L’obbligo si innesca però solo se la violazione rischia di portare danno agli utenti. Di nuovo, se viene violato un database e in questo database ci sono dati personali che potrebbero risultare pericolosi per gli utenti è chiaro che va fatta la segnalazione.
All’interno della tua società va poi individuato un responsabile per la protezione dei dati personali che ha, tra gli altri, anche il compito di assicurarsi che tutti gli altri membri del team che lavorano con te siano a conoscenza di quelli che sono i rischi e le buone pratiche da mettere in campo.
Per avere un sito che sia il più possibile aderente alle normative GDPR e quindi evitare di trovarti a dover pagare una sanzione il fai da te è altamente sconsigliato. Quello che puoi fare è richiedere, per esempio, una valutazione dai nostri esperti per avere tutti i consigli necessari affinché il tuo sito non sia solo bello e performante ma anche perfettamente rispondente alle necessità legislative attuali.
