Il 25 maggio 2018 è entrata in vigore il GDPR, il nuovo regolamento dell’Unione Europea per la raccolta e il trattamento dei dati degli utenti.

 

 

La normativa UE 2016 679  - GDPR non riguarda solo i colossi del web come Google e Facebook, ma ne sono soggetti tutti i siti internet che raccolgono dati personali dei visitatori. Detta regole ben precise sulle linee aziendali da prendere non solo sul web ma su tutti i processi adottati dalle aziende nella raccolta gestione e conservazione dei dati personali in proprio possesso.

La pena per i fuori regola è davvero molto severa... sono previste sanzioni fino a 20.000.000 (venti milioni) di euro o fino al 4% del fatturato annuo.

Chi è soggetto al GDPR?

Il GDPR è destinato a tutte quelle aziende che raccolgono e/o elaborano dati personali di cittadini europei, sia sul web che sul proprio server interno o in formato cartaceo, all’interno o anche fuori dall’Unione europea.

Quindi, se ad esempio possiedi un database con gli indirizzi email dei tuoi clienti che utilizzi per l’invio di una newsletter informativa, o gestisci una qualsiasi attività che prevede l’uso di dati personali, devi fare molta attenzione a rispettare le norme vigenti.

Con l’entrata in vigore del GDPR la definizione di dato personale e sensibile risulterà ampliata e includerà non più solo i classici dati sensibili come indirizzo o numero di telefono, ma anche gli identificativi online come cookie, indirizzi IP, geolocalizzazione ed email.

Cosa cambia e come adeguarsi al nuvo GDPR?

Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito. Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo. In qualità di “proprietario del sito web”, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento). Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!)

Quali sono gli obblighi per i Titolari di siti o e-Commerce?

Se il tuo sito contiene solo un modulo di contatto bisogna considerare anche dove conservi quei dati e come li utilizzi. L’analisi basilare da cui puoi partire comprende questi aspetti:

quali aree del tuo sito raccolgono i dati dove vengono memorizzati (nel tuo sito? In un sistema esterno? Quale?) l’uso che ne fai (newsletter? Adempimenti contrattuali? Profilazione pubblicitaria?) per quanto tempo li conservi quale consenso hai ottenuto sicurezza dei dati e rischi in caso di furto. Sul fronte tecnico, devi assicurarti che tutti i componenti del tuo sito siano a loro volta conformi al GDPR. Per un sito semplice o un blog, il problema più grande può essere quello dei plugin che installano cookie di profilazione. I cookie vanno bloccati fino a che l’utente non acconsente al loro utilizzo.

Ricorda anche che le aziende sono responsabili del proprio processo di adeguamento al GDPR e che le misure adottate devono garantire sicurezza dalla fase di raccolta sino a quella di elaborazione e conservazione dei dati, grazie a crittografia e accesso limitato e controllato. Solo in caso di esplicita autorizzazione, inoltre, la conservazione dei dati può avvenire in server fuori dall’UE.

Tra i principi alla base delle attività del trattamento dati, si ha prova di aderenza alla normativa: i siti web devono provare di possedere il fondamento giuridico per poter trattare i dati sensibili. Tutte le procedure vanno modificate al fine di proteggere i diritti dell’utente, a partire dalla richiesta cancellazione dei dati personali, da poter effettuare in qualsiasi momento.

Per facilitare la procedura di richiesta cancellazione dei dati personali, è necessario che venga creato un apposito database separato per il consenso degli utenti.

 

Altri diritti fondamentali dell’utente sono:

  • il diritto di accesso
  • il diritto di rettifica
  • il diritto all’oblio
  • il diritto di limitare l’elaborazione delle informazioni private
  • il diritto alla portabilità dei dati
  • il diritto di oggetto al trattamento dei dati personali
 

Per garantire la conformità GDPR gli amministratori possono prevedere dei meccanismi di configurazione che portino al riconoscimento di tali diritti attraverso azioni automaticamente programmate.

Da sottolineare anche che le nuove disposizioni non prevedono più la possibilità di ricevere il consenso di default e di abbonamento alle newsletter le cui sottoscrizioni dovranno essere esplicite e revocabili. Una volta fornito il consenso e l’accettazione dell’informativa sulla privacy e delle condizioni d’uso, l’utente deve avere la possibilità di gestirli e ritirarli in modo semplice ed immediato. Un approccio consigliato è quello di creare un pagina del profilo utente, dove ciascuno possa gestire autonomamente qualsiasi consenso sulla raccolta dati privati e qualsiasi invio di comunicazioni e newsletter.

Se desideri mettere in regola il tuo sito web con le nuove normative del GDPR in vigore dal 25 maggio 2018 contattaci per ricevere un preventivo.