GDPR Regolamento Europeo Privacy

General Data Protection Regulation 2018

GDPR: Focus sul nuovo regolamento per la privacy e la protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio 2018. Si tratta dell’attivazione del “GDPR n. 679/2016”.

Qui la gazzetta ufficiale, un documento in pdf di 88 pagine: http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

Premesso che per adempiere adeguatamente a questa legge è fondamentale affidarsi ad un consulente legale esperto in materia di privacy e GDPR, qui di seguito comunque proveremo ad elencare i punti salienti e come “probabilmente” dovremmo adeguarci, focalizzando la nostra attenzione nell’ambito della gestione dei siti internet e del marketing online.

 

COS’È IL GDPR

Il GDPR è la nuova legge sulla protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio 2018, si tratta di un rafforzamento delle norme relative alla privacy, con l’obiettivo di consentire agli utenti di controllare costantemente i loro dati.

Questa legge in sintesi dice che il consenso fornito dagli utenti nel tuo sito web deve essere “informato ed esplicito”.

 

CARATTERISTICHE IN BREVE

In sintesi il consenso deve essere:

inequivocabile: può essere implicito ma non tacito, l’inerzia non può costituire manifestazione di consenso  (come per es. le caselle già pre-spuntate), e deve invece essere esplicito in caso di trattamento dati sensibili o e profilazione. ;

libero: l’interessato deve poter fare una scelta senza subire intimidazioni,  raggiri o conseguenze negative a seguito del mancato conferimento del consenso;

specifico: i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche occorre richiedere nuovi consensi ;

informato: l’utente deve conoscere quali dati sono trattati, modalità, finalità, i diritti di legge ed essere informato sulle conseguenze del suo consenso (ad es. indicare che in assenza di consenso non potrà accedere a determinate sezioni del sito web).;

verificabile: si deve poter dimostrare che l’utente ha conferito ad uno (o più) specifico trattamento. Un documento scritto e firmato nel caso di dati sensibili può essere preferibile perché consente più facilmente di provare il consenso;

revocabile: in qualsiasi momento l’utente deve poter revocare facilmente e senza obbligo di motivazione.

* Naturalmente fa eccezione quando un’azienda ha necessità di conservare alcuni dati per motivi fiscali (per es. il registro delle fatture).

Il GDPR quindi richiede la documentazione di ciascun consenso, specificando anche quali saranno i dati utente condivisi con i servizi di terze parti presenti nel  sito web, e in quale parte del mondo verranno inviati tali dati.

Il consenso deve essere preventivo, informato, documentato e con possibilità di recesso.

Questo significa che tutti i visitatori del nostro sito devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e tutti i siti web devono mostrare una Privacy Policy indicando quali dati saranno memorizzati, da chi e per quanto tempo.

Inoltre, molto importante è che si dovrà dare la possibilità all’utente di cancellare i propri dati in qualsiasi momento.

Tutti i cookie (propri o di terze parti) presenti sul nostro sito, compresi quelli di analisi non anonimizzati, di pubblicità, di sondaggi e chat, che elaborano dati personali e raccolgono informazioni sulla persona, sono soggetti al nuovo GDPR europeo.

Attenzione, ribadiamo il concetto che anche se non sono di tua proprietà ma di terze parti, se presenti sul tuo sito web, ai sensi del nuovo GDPR europeo sei responsabile:

  • della protezione dei dati che sono stati raccolti tramite questi cookie;
  • di fornire agli utenti una chiara informazione sulle modalità con cui verranno utilizzati i loro dati con relativa possibilità di cancellazione del consenso;
  • notificare eventuali violazioni dei dati entro 72 ore agli utenti.

 

DIRITTI DEGLI UTENTI

  • diritto alla protezione dei dati personali raccolti;
  • diritto di accesso, verifica, modifica e recesso dei propri dati senza motivazioni;
  • diritto all’oblio e di essere dimenticato;
  • diritto alla notifica di violazione entro 72 ore;
  • diritto alla portabilità dei propri dati presso altri servizi.

 

GDPR: ADEGUAMENTO E SANZIONI

Abbiamo tempo fino al  25 Maggio 2018 per adeguare i nostri siti web al nuovo regolamento europeo.

Il GDPR può imporre sanzioni dal 2% fino al 4% delle entrate annuali e può arrivare fino ad un massimo di 20 milioni di euro.
Qui i dettagli: http://www.eugdpr.org/eugdpr.org.html

Cosa analizzare nel sito web:

  • Moduli di registrazione utenti;
  • Moduli di contatto (checkbox privacy, raccolta dati DB online);
  • Sezione Commenti (nativi o di terze parti);
  • Analisi del traffico (es. Google Analytics);
  • Plugin di profilazione (banner pubblicitari etc.), contatti etc.;
  • Strumenti di email marketing.

Cosa riesaminare nel sito web:

  • la Privacy Policy per renderla conforme alla nuova legge europea GDPR.
  • la gestione dei dati sensibili e relativa memorizzazione (incluso hosting/server);
  • la gestione dei Cookie e relativo banner per il consenso (la casella di controllo già selezionata non è a norma di legge).

 

BANNER COOKIE

I banner che richiedono il consenso sui cookie, per essere conformi al GDPR europeo devono garantire che sia:

  • informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie, e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
  • esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva;
  • registrato: devi avere la prova del consenso;
  • reversibile: gli utenti in qualsiasi momento devono poter annullare il consenso, rifiutare i cookie e continuare normalmente la navigazione sul tuo sito web.

 

EMAIL MARKETING E GDPR

Chi svolge attività di email marketing per adeguarsi al GDPR deve consentire di cancellare e modificare il profilo utente in qualsiasi momento attraverso una chiara e facile interfaccia web.

La procedura di registrazione alla newsletter deve prevedere la doppia conferma (double optin).

Importante inoltre integrare checkbox specifiche per ogni attività, per es.:

  • checkbox per email di aggiornamenti sito/blog
  • checkbox per email commerciali, web marketing, etc.


Ed inoltre va ricordato che non è conforme la casella di controllo già selezionata per raccogliere il consenso degli utenti.

 

GDPR IN SINTESI

Per rendere il proprio sito internet conforme al GDPR Europeo è bene fare una valutazione dei seguenti fattori:

  • valutare se nel nostro caso vale la pena raccogliere i dati degli utenti;
  • valutare di “immagazzinare” solo quelli effettivamente necessari;
  • chiedere sempre il consenso per memorizzare i dati personali;
  • analizzare tutti i modi con cui questi vengono raccolti;
  • integrare strumenti per aggiornare o rimuovere i dati personali;
  • aggiornare l’attuale Privacy Policy secondo la GDPR-2018;
  • controllare le conformità di temi, plugin e tool utilizzati nel sito internet;
  • aumentare la sicurezza del sito web per la tutela dei dati personali;
  • installare un certificato di sicurezza SSL HTTPS;
  • installare protezione antivirus e firewall sul proprio hosting/server.

Come anticipato ad inizio articolo, affidarsi ad un consulente legale esperto in materia di privacy e GDPR è la migliore soluzione, soprattutto in questa fase di transizione dove si rischia di non adempiere in modo sicuro al GDPR, considerato anche le salatissime sanzioni previste per irregolarità.

* Questo articolo potrebbe subire delle variazioni qualora il garante effettui delle modifiche/rettifiche all’attuale regolamento.

Pin It on Pinterest