Come affrontare il nuovo GDPR, la Privacy e la gestione Cookies
Si è parlato tanto e si continua a parlare del nuovo GDPR (General Data Protection Regulation) entrato in vigore lo scorso 25 maggio 2018. Il GDPR è il nuovo regolamento europeo che disciplina il trattamento dei dati personali.
Ho seguito decine di seminari online e devo ammettere che la confusione nelle persone è tanta, così come sono tanti i cambiamenti che ha introdotto.
Cercherò di riepilogarli nel modo più breve possibile perchè, per chi vuole approfondire, online la documentazione sul GDPR è ricchissima e molto esaustiva.
Il GDPR si applica quando:
- la base operativa dell’organizzazione si trova nell’Unione Europea
- l’organizzazione, offre beni o servizi a cittadini europei.
- l’organizzazione monitora il comportamento, che avviene all’interno dell’Unione Europea, di persone che risiedono nella UE
Secondo il GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento. Per i punti dettagliati vi rimando al sito del Garante Privacy.
Il primo di questi punti riguarda il fatto che l’utente presti il proprio consenso e il consenso deve essere ottenuto in modo inequivocabile.
Quindi le privacy policy devono essere redatte in modo leggibile e comprensibile.
Il consenso deve essere anche
- esplicito e libero (niente più checkbox già flaggati)
- registrato in modo puntuale (la prova del consenso ricade sul titolare del trattamento). Su questo punto tornerò più avanti
Riguardo ai cookie è necessario il consenso informato degli utenti prima di installare i cookie sui loro dispositivi e di iniziare il tracciamento.
L’utente ha poi diritto a:
- essere informato sulle attività di trattamento dei dati che l’organizzazione svolge.
- accedere ai dati
- chiedere una rettifica dei dati
- opporsi a determinate attività del trattamento
- chiedere la cancellazione
- chiedere la limitazione del trattamento
Un capitolo a parte che non affronterò in questo post riguarda il discorso del trasferimento di dati all’estero, al di fuori dello Spazio Economico Europeo.
Inoltre, in caso di violazione dei dati (data breach), Il titolare del trattamento deve informare l’autorità di controllo entro 72 ore dal momento in cui viene a conoscenza
In alcuni casi è obbligatorio anche nominare un Responsabile per la Protezione dei Dati (RPD), che abbia una conoscenza approfondita della legislazione in materia di protezione dei dati.
Il GDPR propone anche di tenere e mantenere aggiornato un registro delle particolari attività di trattamento dati effettuate, in particolare questo si applica a organizzazioni con più di 250 dipendenti.
Le conseguenze del mancato adeguamento
Le conseguenze per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione
Questo era un brevissimo riepilogo, vi invito però ad approfondire, ad esempio scaricando qui il documento ufficiale del GDPR
GDRP COSA FARE?
CONCLUSIONI E LINEE GUIDA IMPORTANTI
Diciamo che per un sito web di piccole medie dimensioni due sono le cose fondamentali da sapere e sulle quali intervenire subito, a mio parere.
- Avere una Privacy Policy e una Cookie Policy sempre aggiornate
- Raccogliere, archiviare e gestire i dati degli utenti nel modo corretto
LA PRIVACY POLICY
Per il primo aspetto, la prassi da sempre, dobbiamo ammetterlo, è stata quella di scopiazzare qua e là le Policy degli altri. Personalmente invece consiglio sempre a tutti i miei clienti, che non vogliano affidarsi a un legale per la stesura della policy, di utilizzare il servizio di Iubenda, che garantisce un’ottima base di partenza.
Per quanto riguarda i cookie, Iubenda stessa propone la sua Cookie solution, ma esistono anche diversi servizi online che permettono di fare dei controlli sul proprio sito e di bloccare preventivamente i cookie.
Sarò lieta di darvi la mia consulenza a riguardo in base alle vostre esigenze.
LA RACCOLTA DEL CONSENSO
Il secondo aspetto è invece un po’ più complicato. Una cosa fondamentale infatti è che la raccolta del consenso degli utenti avvenga in modo inequivocabile e venga tracciata e registrata, preferibilmente con una marca temporale che riporti il momento esatto in cui il consenso viene dato.
L’utente deve poi avere la possibilità di accedere ai propri dati, di modificarli e di chiederne la cancellazione (diritto all’oblio).
Per chi utilizza piattaforme come WordPress, Joomla, Prestashop sono spuntati come funghi servizi e plugin per essere compliant con quanto richiesto dal GDPR.
Noi li abbiamo testati il più possibile e abbiamo scelto la soluzione che ci sembra più corretta e completa.
La situazione naturalmente è un po’ più complessa nel caso di grandi aziende e organizzazioni che trattano dati sensibili.