Nuova legge privacy: GDPR

Nuova legge privacy: GDPR

Il 25 maggio 2018 entrerà in vigore la nuova legge sulla privacy a livello europeo, il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Si tratta di un regolamento direttamente applicabile in tutti i Paesi membri dell’Unione Europea e che, per quanto riguarda l’Italia, sostituirà il Codice della Privacy (Dlgs 196/2003). Questo nuovo regolamento è il frutto di un percorso iniziato anni fa e con la presentazione, nel gennaio del 2012, da parte della Commissione europea del “pacchetto protezione dati”.

Il Regolamento generale sulla protezione dei dati introduce regole più precise per quanto riguarda l’informazione dovuta agli utenti e la richiesta di consenso prima di procedere al trattamento dei dati personali. Con questa normativa si stabiliscono limiti al trattamento automatizzato dei dati personali, si delineano nuovi diritti e vengono stabiliti criteri molto rigorosi per il trasferimento dei dati al di fuori dell’UE. Con il RGDP si stabilisce anche l’obbligo di comunicazione per i casi di violazione dei dati personali (data breach) e si introduce il “diritto all’oblio”. Imprese ed enti saranno esposti a maggiori responsabilità e in caso d’inosservanza delle regole sono previste sanzioni molto salate.

Se ti stai chiedendo se questa normativa riguarda anche i siti WordPress e blogger, la risposa è sì. Questo regolamento introduce cambi al trattamento dei dati su internet probabilmente epocali e devi chiederti, se non l’hai già fatto, se il tuo sito rispetta questa nuova normativa.

In questa guida parleremo dei cambiamenti introdotti dal Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” e ti daremo un punto di partenza per verificare se il tuo sito rispetta la nuova normativa europea.

Nuova legge privacy: i cambiamenti introdotti dal Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”

legge-privacy-GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito rispetti il nuovo regolamento UE 2016/679. Sul sito del Garante della Privacy puoi trovare una pagina informativa molto chiara e dettagliata e anche un calendario di incontri volti alla formazione degli addetti ai lavori.

Uno dei cambiamenti più evidenti e che probabilmente sarà maggiormente notato, è che tutti i visitatori del tuo sito ora dovranno confermare il consenso al trattamento dei dati personali. L’informativa sulla privacy deve essere chiara e indicare che tipo di dati sono raccolti, archiviati, chi sono gli attori di questi processi e per quanto tempo i dati sono immagazzinati.

Questo nuovo approccio al trattamento dei dati personali si estende a tutti i siti che operano sul territorio dell’Unione Europea o che interagiscono con i cittadini dell’Unione Europea.

Cambiamenti nell’approccio ai cookies

Con il nuovo regolamento cambia anche l’approccio ai cookies, gli avvisi per l’utilizzo dei cookies vanno mostrati come si carica il sito, quindi preventivi, e l’utente deve essere messo nella condizione di poter scegliere se accettare i cookies o meno. Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e devi mantenere un registro che provi lo stato del consenso per ogni utente.

Un aspetto importante è che con il regolamento RGDP (o GDPR in inglese), si vanno a regolamentare anche quei dati che non sono direttamente personali ma che possono comunque identificare o aiutare a identificare un individuo. Ovviamente questo approccio fa subito pensare a strumenti molto usati come Google Analytics che utilizzano dati come l’indirizzo IP.

In sostanza il titolare del sito web sarà tenuto a proteggere i dati raccolti da terze parti e a fornire chiare informazioni ai visitatori del sito.

La nuova legge sulla privacy focalizza molto l’attenzione sul tipo di dati e contenuto memorizzato dai siti e su come questi elementi sono trattati, da chi, a che scopo, dove sono immagazzinati e per quanto tempo.

Il diritto all’oblio

Con il nuovo regolamento UE, gli utenti del web avranno il “diritto all’oblio”. Con questo diritto si potrà ottenere la cancellazione dei propri dati personali anche online. I responsabili dei dati saranno anche tenuti a comunicare richiesta di cancellazione a chiunque li stia trattando (terze parti). Questo diritto può essere limitato solo in casi ben specifici, per esempio il diritto alla difesa in sede giudiziaria etc.

Violazione dei dati personali (data breach)

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore. Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti e quando costituisce un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati. Maggiori informazioni consultando gli articoli 32-34 del RGDP.

Non ti sei adeguato alla GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a venti milioni di euro o a 4% del fatturato globale annuale. Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

Cosa controllare per capire se il tuo sito rispetta il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”?

Checklist cose da controllare per il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti. Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico. Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi. Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  1. Backup:
    Dove e come sono salvati i backup del tuo sito?
  1. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati. I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  1. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il nuovo regolamento.
  1. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  1. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  1. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step. Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.). Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili. Disabilita i plugin e i servizi che non rispettano il nuovo regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

La sicurezza dei dati degli utenti è sempre più importante. Impara come rimuovere i malware dai siti WordPress.

Conclusione

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

Molti webmaster storceranno il naso e saranno probabilmente infastiditi dai cambiamenti introdotti dal GDPR, allo stesso tempo dobbiamo considerare la mole incessante di dati che vengono raccolti e trasmessi sul web.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili. Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini? Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo? Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi? Sei a favore di questo regolamento? Non sai cosa fare? Parliamone nei commenti.

Altre guide della stessa
categoria

2 COMMENTI
Commenta
    • Team

      Ciao Ioana, per questo ti consigliamo di contattare direttamente Iubenda.it, per avere tutte le delucidazioni al riguardo. Un saluto!

      Rispondi

Lascia qui il tuo commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *