GDPR: Cos’è e cosa fare, tutto quello che devi sapere

GDPR: Cos'è e cosa fare, tutto quello che devi sapere

Privacy, un argomento comune che in Italia non viene ancora compreso a fondo, specialmente per quanto riguarda i siti web aziendali.

Il 25 Maggio 2018 entrerà in vigore la nuova normativa europea dedicata alla Privacy e alla protezione dei dati personali: il General Data Protection Regulation (GDPR)

👉 In questo articolo vogliamo spiegare cos’è il GDPR, cosa fare per essere in regola con l’avvento del regolamento generale sulla protezione dei dati personali.

Ti sarai sicuramente chiesto, in questi mesi, cosa comporta per le aziende questa nuova normativa sulla privacy o magari non ne eri nemmeno a conoscenza prima di leggere questo articolo.

Cos’è la Privacy?

Il termine privacy (della lingua inglese), reso in italiano anche con riservatezza o privatezza, indica – nel lessico giuridico-legale – il diritto alla riservatezza della vita privata di una persona.

Wikipedia inizia così a spiegare il significato di Privacy, oltre alla vita privata di una persona, anche i dati personali sono da tutelare in egual modo.

È violazione di privacy utilizzare una mail o un numero di telefono senza il consenso del legittimo proprietario, ecco perché anche il tuo sito web aziendale dovrà essere chiaro e conciso sull’utilizzo di questi dati una volta raccolti.

Cosa si intende per Dati Personali

Parliamo di Privacy, più precisamente di dati personali che, secondo il GDPR è da considerarsi una qualsiasi informazione relativa alla persona fisica (email, numero di telefono, nome e cognome, ecc) che può essere identificata.

I riferimenti ai dati personali dell’ art.4, par1 del GDPR si rivolgono in particolare ai dati del cittadino europeo:

  • Un identificativo (Nome, Cognome)
  • Un numero di identificazione (Carta d’Identità)
  • Indirizzo di ubicazione
  • Identificativo online
  • Elementi caratteristici della sua identità (fisica, fisiologica, psichica, culturale, genetica, economica o sociale)

👉 Leggi il PDF relativo al GDPR: Il Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali

Cos’è il GDPR

L’acronimo di General Data Protection Regulation, è un nuovo regolamento Europeo con entrata in vigore a Maggio e si applicherà a tutte le aziende, liberi professionisti, enti che trattano i dati personali degli utenti, nonché cittadini, Europei nel resto del mondo.

‼ Questo regolamento andrà a sostituire la legge 196/2003 e quindi comporterà delle modifiche aziendali interne, quindi se sei già in regola con questo sei a buon punto, se non lo sei è arrivato il tempo di rimboccarsi le maniche (per non cadere in pesanti sanzioni).

Il nuovo regolamento rafforzerà il diritto dei singoli individui di:

  • Avere accesso ai propri dati
  • Diritto di trasferire i dati personali tra due diversi fornitori
  • Diritto all’oblio: se la persona non sarà più interessata ai servizi, i suoi dati dovranno essere eliminati
  • Trattamento dei dati personali di un minore
  • Diritto di conoscere se i propri dati vengono violati

Mentre, per quanto riguarda la via commerciale europea, è un incoraggiamento all’innovazione e creerà nuove opportunità di business.

Ecco i nuovi principi commerciali del GDPR:

  • Un unico pacchetto di regole per rendere più semplice fare business in UE
  • A capo vi sarà un’unica autorità di vigilanza
  • Ne imprese fuori dall’Europa dovranno applicare la normativa se offrono servizi nell’UE

Quando si applica il GDPR

Il nuovo adeguamento europeo sulla privacy, si applica quando:

  • L’azienda, la sede operativa si trova in Unione Europea;
  • L’azienda, indipendentemente dallo Stato di provenienza, offre beni o servizi, sia a pagamento che gratuiti, ai cittadini europei (ad esempio: enti pubblici, persone fisiche, organizzazioni senza scopo di lucro, società pubbliche o private).

Praticamente ogni azienda dovrà applicare questo nuovo adeguamento dal 25 maggio 2018.

Quando i dati possono essere trattati

I dati possono essere trattati solo se vi è almeno una delle basi giuridiche.

Ad esempio:

  • L’utente ha prestato il proprio consenso;
  • È necessario per adempiere un obbligo di legge;
  • Per tutelare interessi vitali;
  • Per l’esecuzione di un contratto;
  • Per interesse del titolare del trattamento o di terzi;
  • Attività di interesse pubblico.

Nuovo adeguamento GDPR: Cosa Fare

Differentemente dalla legge sulla privacy in vigore, la nuova normativa ha ridefinito alcuni aspetti che andremo ad elencare.

Personale in azienda

  1. Il titolare dell’azienda dovrà confermare l’adozione delle politiche conformi al regolamento europeo
  2. Il Data Protection Impact Assessment (DPIA) ovvero il documento che attesti il flusso di dati all’interno dell’azienda. (Non obbligatorio per aziende al di sotto dei 250 dipendenti)
  3. Istituzione di una figura indipendente, Data Protection Officer (DPO), a capo della tutela dei dati personali e della privacy. Questo punto sarà obbligatorio per enti o aziende che procedono con il monitoraggio dei dati personali.
    In questo caso il responsabile della protezione dei dati, sarà l’incaricato di comunicare al vertice le violazioni, è indipendete e non riceve istruzioni per quanto riguarda l’esecuzione, gli verranno attribuite risorse finanziare e umane per procedere all’adeguamento.

Applicare il nuovo regolamento

Applicazione del nuovo regolamento sulla privacy

  1. Il regolamento verrà applicato anche al di fuori dell’UE che trattano con un’azienda Europea. Quindi se hai la sede aziendale in America e vendi servizi ai cittadini italiani o europei, devi procedere alla regolarizzazione
  2. Privacy by Design: ovvero, il processo di raccolta e utilizzo dei dati concessi dovrà essere ben chiaro, semplice e che accompagni dall’inizio alla fine la protezione dei dati del cittadino.
  3. Privacy by Default: ad esempio apertura parsimoniosa dei database aziendali a personale provvisorio e blocco dei firewall aziendali. Tutto questo per tutelare i clienti e le informazioni personali.

I Compiti aziendali

  1. Il “Data Breach“, ovvero l’obbligo di segnalazione delle violazioni, della compomissione e la fuga dei dati raccolti direttamente al garante della privacy.
  2. Documento in cui si riportano i rischi della cessione dei dati personali

👉 Leggi il PDF relativo al GDPR: Il Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali per avere maggiori informazioni in merito.

Il Consenso

Ogni sito web, ogni contratto che prevede la firma dell’utente alla consegna dei propri dati personali, dovrà dare la possibilità di compilare il consenso esplicito e l’accettazione della privacy e del loro utilizzo.

Questo dovrà essere inserito, ad esempio, all’interno di ogni form di contatto che prevede l’inserimento di dati personali come: indirizzo mail, numero di telefono, nome e cognome e tutto ciò di sensibile.

Perché l’utente dia il consenso esplicito alle condizioni del sito web o ad una clausola non sono ammessi, e sono vietati, i campi autocompilati. 

Il Consenso per i minori

Un altro capitolo importante è il consenso degli utenti minori e quindi non maggiorenni.

In questo caso l’azienda è tenuta a richiedere il consenso verificabile da parte di un genitore o tutore.

In questo caso si dovrà utilizzare ogni mezzo tecnologico disponibile che aiuti a verificare con certezza che l’autorizzazione è stata data da un tutore legale del minore.

Le prove del consenso

Le prove del consenso dovranno includere:

  • Quando è stato dato il consenso (Data e Ora)
  • Come è stato dato il consenso
  • Riferimento a cosa è stato specificato all’utente in fase di compilazione

L’archiviazione dei dati

I dati dovranno essere archiviati con tutti i punti citati in questo paragrafo saranno dunque definite Archiviazione conforme e non conforme con questi esempi:

Archiviazione NON conforme

È definito non conforme dal GDPR, la raccolta dati se comprende i seguenti metodi:

  • Avere solo un foglio di carta con i nomi degli utenti e un’indicazione in merito al consenso al trattamento;
  • Annotare semplicemente data e l’ora in cui è stato dato il consenso, Associare l’indirizzo IP dell’utente e inserire il link del modulo compilato e della privacy policy.

Archiviazione Conforme

È conforme, invece, un’archiviazione svolta in questo modo:

  • Conservazione della copia del modulo compilato dall’utente in cui mostra l’azione per acconsentire al trattamento dei dati personali;
  • Conservare le informazioni complete che comprendano:

Data (certificata con marca temporale) in cui è stato compilato il modulo
Copia della versione del modulo compilato e dei documenti legali utilizzati dall’utente per dare il suo consenso

Come scrivere la privacy del sito

Con l’uscita della nuova normativa europea, il GDPR, tutte le aziende del mondo si stanno mobilitando per essere a norma con questa nuova legge.

Un punto fondamentale trattato è proprio quello riguardante il testo che dovrà seguire le seguenti linee guida:

  • Non deve essere complicato da comprendere: i linguaggi giuridici, tecnici e burocratici e termini incomprensibili sono vietati; il testo dovrà essere semplice da comprendere.
  • Trasparenza: le aziende devono essere trasparenti sull’utilizzo dei dati raccolti.

I Diritti degli utenti

Gli utenti, dopo l’adempimento del GDPR, avranno i seguenti diritti:

  • Il diritto ad essere informati: le aziende devono dare agli utenti tutte le informazioni sull’utilizzo dei dati personali, a cosa servono e se vengono dati a terzi.
  • Il diritto di accesso: ovvero gli utenti avranno il diritto di accedere ai propri dati personali qualora verranno chiesti. L’azienda è tenuta a dare gratuitamente una copia dei dati personali.
  • Il diritto di rettifica: gli utenti avranno il diritto di rettificare i propri dati se sono sbagliati o incompleti. In questo caso la rettifica dovrà essere comunicata, se possibile, a tutti i soggetti terzi coinvolti. Nel caso l’utente richieda l’identità dei soggetti terzi, l’azienda è tenuta a specificare.
  • Il diritto di opporsi: gli utenti hanno il diritto di opporsi a determinate attività di trattamento. L’utente dovrà motivare la sua opposizione fatta eccezione per il trattamento effettuato al solo scopo di marketing diretto.
  • Il diritto alla portabilità dei dati: L’utente ha il diritto di ottenere i propri dati personali senza difficoltà. Il titolare dei dati personali è tenuto a darli senza creare ostacoli.
  • Il diritto alla cancellazione: qualora i dati personali fossero trattati in modo illecito, l’utente ha il diritto di chiederne la cancellazione e la cessazione della loro diffusione. Il diritto potrà essere negato in caso:

– Quando i dati personali sono trattati per interesse pubblico (es. ricerca scientifica)
– Quando i dati personali sono necessari per un obbligo di legge o per una difesa in giudizio
– Quando sono necessari per esercitare il diritto alla libertà di espressione
– Quando sono trattati per scopi sanitari
– Quando vengono trattati per interesse pubblico

  • Il diritto di limitare il trattamento: Tale limitazione dovrà essere comunicata ai soggetti terzi qualora fosse possibile.

Cosa succede se non ci si adegua

La violazione dei Dati personali e la loro tutela è molto importante. Se la tua azienda non si adeguerà al nuovo regolamento europeo per la privacy, potresti incorrere in sanzione dai 3.000 ai 18.000 euro. In alcuni casi vi è un’aggravante e va dai 5.000 ai 30.000 euro.

Conclusione

La normativa regolamenta il metodo di raccolta e gestione dei dati, introducendo un nuovo concetto di gestione.

Scopri se il tuo sito è in regola con il GDPR

Compila il modulo ed ottieni le informazioni: https://www.visionereale.com/modulo-adeguamento-gdpr/

Per la stesura di questo articolo è stato anche utilizzato, a scopo informativo, Iubenda.

Ecco un video utile di Agenda Digitale

 


Siamo un Team di professionisti e di creativi da sempre appassionati del mondo digitale e del web, creiamo nuovi modi di vedere internet e diamo soluzioni reali. La nostra più grande passione? Il nostro lavoro!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *