• GDPR sta per Regolamento Generale sulla Protezione dei Dati.
È una legge sulla privacy approvata il 14 aprile 2016 dalla Commissione europea per proteggere i diritti di tutti i cittadini dell’UE (28 Stati membri) ed i loro dati personali.
• Sostituisce la direttiva 95/46/CE sulla protezione dei dati del 24 ottobre 1995 ed è molto più ampia della legge sui cookie del 2011 (sostituita a breve dal nuovo regolamento UE e-privacy che va di pari passo con la GDPR).
•Il piano di lancio del regolamento è stato fissato per due anni, con efficacia dal 25 maggio 2018.
• La GDPR è il cambiamento più importante nella regolamentazione della privacy dei dati in 20 anni.
Cosa comporta la GDPR?
• Si applica a qualsiasi dato personale (qualsiasi dato correlato o utilizzabile per identificare qualcuno, collegato alla sua vita sia privata, sia professionale o pubblica. Può riguardare perciò: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer).
• Si applica anche a qualsiasi dato personale sensibile come razza, origine etnica, orientamento sessuale e stato di salute.
• Richiede che venga dato il consenso o che ci sia una buona ragione per elaborare o archiviare informazioni personali.
• Permette a una persona di richiedere che le sue informazioni personali in nostro possesso, siano completamente cancellate (a meno che non vi sia un motivo valido, come un prestito bancario). E’ conosciuto anche come diritto all’oblio.
• Dà a una persona il diritto di sapere quali informazioni vengono memorizzate su di se.
• Privacy per design e per default: garantisce che le informazioni personali siano protette in modo adeguato. I nuovi sistemi devono avere la protezione progettata in partenza e garantire che l’accesso ai dati sia strettamente controllato e fornito solo quando richiesto.
• Se i dati vengono persi, rubati o vi si accede senza autorizzazione, le autorità devono essere informate entro 72 ore insieme alle persone ai cui dati è stato effettuato l’accesso.
• I dati possono essere utilizzati solo per il motivo fornito al momento della raccolta e devono essere cancellati in modo sicuro dopo che non sono più necessari.
• Diritto di accesso e portabilità dei dati: qualsiasi persona può richiedere le proprie informazioni in un formato facilmente scaricabile in qualsiasi momento, nonché utilizzare o trasferire i dati su un altro servizio.
• Consente alle autorità nazionali di imporre ammende alle società che violano il regolamento.
• Sarà richiesto il consenso dei genitori per elaborare i dati personali dei minori di 16 anni: può variare in base allo stato membro, ma non sarà inferiore a 13 anni.
Su cosa ha impatto la GDPR?
• Nonostante la GDPR sia stata progettata per proteggere i diritti dei cittadini dell’UE, è innegabile che l’impatto sia sostanziale ovunque sul web, in maniera indipendente da dove è stabilita un’azienda o dove si svolgono le sue attività online.
• Se il tuo sito web sta elaborando o raccogliendo dati da cittadini dell’UE, devi rispettare la General Data Protect Regulation.
Ecco alcuni esempi:
• Un sito di community che raccoglie informazioni personali per ogni profilo utente.
• Un negozio tematico con i clienti che si iscrivono agli account per acquistare temi o plug-in (dati di vendita e fatturazione).
• Un blog con un widget di iscrizione alla newsletter o che consente ai visitatori di commentare.
• Un negozio di e-commerce che vende prodotti online.
• Un sito che utilizza software di analisi.
Perciò, se non blocchi tutto il traffico proveniente dalla UE, la GDPR avrà impatto sul tuo sito.
Conseguenze di non conformità con la GDPR:
Se la tua attività commerciale non è conforme con la GPDR, potresti incorrere in una sanzione fino al 4% del tuo fatturato annuo o una multa fino a 20 milioni di euro (la cifra più alta tra le due), per ogni violazione.
Questo significa che potresti essere multato per ogni violazione.
Perciò, una società può essere multata al 2% per non avere tenuto in ordine i propri record dei suoi clienti, per non aver avvisato l’autorità e/o l’interessato di una violazione, o non condurre o non aver condotto una valutazione di impatto della GDPR sulla sua organizzazione.
Cosa fare?
In caso di dubbi sulla conformità del tuo sito con la GDPR (la situazione più comune al momento) ti raccomandiamo di rivolgerti ad un avvocato o ad un’agenzia web che siano esperti in materia per farti consigliare al meglio.
Quest’area della legislazione è consigliabile venga trattata e gestita da chi ne è esperto, e non va assolutamente affrontata da solo. Se ti sbagli, potresti incorrere in multe salate.
Verifica il flusso di lavoro di raccolta e elaborazione dei dati.
Controlla tutto il tuo sito e determina dove raccogli, elabori e conservi i dati e per quanto tempo.
Concentrati su cose come:
• Raccolta di informazioni personali sul cart dell’e-commerce o una pagina di registrazione del Sito Internet.
• Indirizzi IP, cookie e posizioni GPS.
• Servizi come Google Analytics, Hotjar, ecc.
Dopo aver individuato tutti questi elementi, devi chiedere l’autorizzazione al visitatore alla raccolta e conservazione, oltre a spiegare come vengono utilizzati e conservati i dati raccolti.
Aggiorna tutti i documenti legali.
Con l’avvento della GDPR è arrivato il momento di aggiornare i termini e le condizioni delle pagine, le pagine sulla privacy, i termini di affiliazione e qualsiasi altro documento legale o accordo che potresti avere.
Non puoi più avere moduli senza caselle di controllo, deve esserci una modalità con la quale l’utente ti fornisce una autorizzazione specifica: niente più link a fondo pagina sperando che l’utente li leggerà.
Le condizioni per il consenso sono state rafforzate e le aziende non potranno più utilizzare termini e condizioni lunghe, illeggibili ed in jargon dal momento che la richiesta di consenso deve essere fornita in forma intelligibile, accessibile, con il chiaro scopo del trattamento dei dati annessi a quel consenso, chiaro e distinguibile da altre questioni.
Ritirare il consenso dovrà essere altrettanto semplice che darlo.
Offri la portabilità dei dati.
Secondo l’art. 20 della GDPR, qualsiasi azienda che raccoglie dati deve anche offrire la possibilità all’utente di scaricarli e trasferirli altrove.
L’interessato ha il diritto di ricevere i dati personali che lo riguardano, da lui forniti precedentemente, in un formato strutturato, comunemente usato e leggibile da una macchina ed ha il diritto di trasmettere tali dati a un terzo senza impedimento dal precedente detentore.
Assicurati perciò di avere in atto un sistema che ti permetta di fornire all’utente, se richiesto un file scaricabile dei suoi dati (.csv, .xml, ecc.).
Ricapitolando, le principali novità della GDPR:
Più diritti e opportunità per tutti
Il Regolamento porterà significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti.
Novità per le imprese e gli enti pubblici
Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni.
Normativa unica
Un unico insieme di norme per tutti gli Stati dell’UE.
Accountability
Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili.
Certificazione e codici deontologici
Semplificazioni per chi offre più garanzie e promuove sistemi di autoregolamentazione. Il regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell’Unione Europea.
Cittadini più garantiti
Il Regolamento introduce regole più chiare in materia di Informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (data breach).
Informativa
Informazioni più chiare e complete sul trattamento.
Consenso
Consenso, strumento di garanzia anche online.
Trattamenti automatizzati
Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati.
Nuovi diritti
Più tutele e libertà con il diritto all’oblio ed il diritto alla portabilità dei dati.
Trasferimento dati
Garanzie rigorose per il trasferimento dei dati al di fuori dell’UE.
Data breach
Obbligo di comunicare i casi di violazione dei dati personali.