Il 25 Maggio sarà ufficialmente attivo il nuovo GDPR (General Data Protection Regulation), il Regolamento Europeo 2016/679 e sono moltissime le persone che si chiedono come adeguarsi, chi si deve adeguare, quali sono le soluzioni disponibili online. In quest’articolo cercherò di dare un pò di informazioni utili a chi vuole capire come mettersi in regola con il nuovo Regolamento Generale Europeo sulla Protezione dei Dati, buona lettura.
- Cosa è il GDPR?
- Cosa bisogna fare in pratica?
- Cosa fare se l’utente esercita i propri diritti?
- Cosa fare in caso di data breach?
- Dati Esenti dal Diritto di Cancellazione?
- Il Registro del Trattamento
- Informativa Privacy e Cookie?
- Iubenda e GDPR
- Plugin WordPress GDPR?
- Cosa succede in caso di mancato adeguamento?
Cosa è il GDPR?
Tutte le organizzazioni che raccolgono o processano dati personali di persone residenti in Unione Europea dovranno adeguarsi al nuovo regolamento sulla protezione dei dati, l’obiettivo del GDPR è quello di rafforzare il potere di controllo dei cittadini UE sui propri dati personali.
Per farlo, fra i principali diritti individuali a disposizione dei cittadini dell’UE ci sono:
- Il diritto di accedere ai dati ceduti
- Il diritto di richiedere la cancellazione dei dati personali
- Il diritto alla portabilità (ovvero alla conservazione ed al trasferimento dei dati ad altri fornitori “senza alcun impedimento”)
Il GDPR viene applicato se la base operativa dell’organizzazione si trova nell’Unione Europea o se l’organizzazione offre beni o servizi anche a titolo gratuito ai cittadini europei, di conseguenza anche se l’organizzazione non ha sede in UE, nel caso in cui monitorasse il comportamento delle persone che risiedono in UE dovrà comunque adeguarsi.
Cosa bisogna fare in pratica?
Bisogna valutare in maniera preventiva quelli che sono gli impatti di rischio e le relative misure tecniche di protezione, secondo quanto dichiarato dal Privacy Impact Assessment.
L’obiettivo è quello della Privacy by Design, vale a dire tutelare i dati personali sin dalla progettazione del proprio prodotto o servizio.
Bisogna inoltre predisporre un registro delle operazioni di raccolta dei dati all’interno del quale viene spiegato, in maniera semplice:
- Le finalità del trattamento dei dati
- I soggetti interessati
- Le categorie di dati personali trattati
- Gli eventuali trasferimenti di dati all’estero
- La durata della conservazione
- Il livello di rischio
Entra inoltre in vigore la figura del Data Protection Officer, una figura dedicata alla gestione del trattamento dei dati personali nel rispetto del Regolamento (figura obbligatoria per gli organi pubblici ed in caso di trattamenti su larga scala).
Non tutti sanno ad esempio che è necessario predisporre una documentazione interna, ovvero delle linee guida scritte da condividere con dipendenti, collaboratori e fornitori, all’interno delle quali dovranno essere scritte quali sono le misure di sicurezza da adottare, come e quali dati trattare, le indicazioni delle responsabilità e dei tempi di risposte in caso di richiesta (sia se il fornitore/responsabile del trattamento ha un data breach, e nel caso in cui l’utente chieda la rettifica o la cancellazione dei suoi dati).
Il tempo di risposta dovrebbe essere definito a livello contrattuale.
Cosa fare se l’utente esercita i propri diritti?
Anche in questo caso sarebbe bene creare un documento e delle procedure che possano essere seguite dai dipendenti dell’azienda.
È bene stabilire quindi quali informazioni vanno fornite e dove sono situate o quali fornitori vanno interrogati ed in che modo (pensiamo ad esempio ai fornitori di piattaforme di email marketing o di data storage).
Cosa fare in caso di data breach?
Nel caso in cui avviene un caso di data breach si hanno a disposizione 72 ore per fare le necessarie comunicazioni all’autorità competente, ecco perché è consigliabile avere un documento interno che indica quali sono le azioni da compiere.
Curiosità: anche nel caso in cui un dipendente perda un computer o subisca un furto di computer, o in caso di smarrimento di telefono/smartphone (dal quale si ha accesso alla mail aziendale) si può parlare di perdita di dati e di conseguenza è un rischio che va preso in considerazione.
Dati Esenti dal Diritto di Cancellazione?
Da quanto ho capito, inoltre, ci sono alcuni dati che sono esenti dal diritto di cancellazione: quando un utente richiede di cancellare i propri dati, questa richiesta non include i meta dati (attività che l’utente ha fatto sulla piattaforma o che derivano dall’utilizzo del servizio).
Se ci sono dati che vanno conservati per adempiere ad obblighi di legge, come i dati di fatturazione, questi sono esenti da questo diritto.
Il Registro del Trattamento
Si tratta di una sorta di informativa della privacy aziendale, dove viene descritto cosa utilizza il sito o l’azienda e quali sono i dati che vengono raccolti: questo registro va fatto per il sito, l’app, e tutte le parti dell’azienda in cui vengono trattati i dati.
Il registro deve contenere:
- Tipologie di dati trattati ed interessati coinvolti
- Finalità del trattamento
- Informazioni su dove vengono salvati questi dati
- La durata (per quanto tempo verranno salvati)
- Le misure di sicurezza adottate
- Chi ha accesso a questi dati
- La base giuridica per il trattamento (consenso, contratto, …)
- Informazioni su un eventuale trasferimento extra EU
- I diritti esercitabili
Nel caso in cui vengano trattati dati ad alto rischio o nel caso in cui si adotta una nuova tecnologia è necessario redigere un documento che si chiama valutazione di impatto sulla protezione dei dati DPIA, all’interno del quale bisogna inserire:
- Quali dati verranno trattati e perché
- Il trattamento è proporzionato alle finalità?
- Valutazione sui rischi (sicurezza e misure per mitigare i rischi)
Informativa Privacy e Cookie?
Continuano ad essere obbligatori ed devono contenere i dati del titolare, le finalità, i terzi coinvolti, i luoghi del trattamento, i diritti degli utenti e le basi giuridiche.
Ricorda inoltre che il titolare deve poter dimostrare il consenso ricevuto al trattamento dei dati: per i moduli offline basta conservare la copia firmata del documento compilato, mentre su web o mobile bisogna conservare l’identificatore unico del consenso, la copia del form e dei documenti legali sottoscritti dall’utente, la copia dei dati che l’utente ha fornito e la sua preferenza, il timestamp.
Iubenda e GDPR
Una delle soluzioni disponibili online per adeguarsi al nuovo GDPR è Iubenda, di cui ho già parlato su Generatore di Privacy: Iubenda Codice sconto 10%.
Iubenda permette infatti di:
- Generare Privacy e Cookie Policy
- Creare un sistema di gestione dei cookie
- Gestione della Privacy Interna tramite Software
- Gestione Registro Trattamento e Tracciamento dei Consensi
- Sistema di Valutazione di Impatto
Sul sito di Iubenda si può inoltre leggere che In Iubenda adottiamo un approccio onnicomprensivo in materia di adeguamento alla normativa sulla protezione dei dati. Sviluppiamo soluzioni tenendo conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo iubenda ti assiste nel rispetto degli obblighi di legge riducendo così il rischio di controversie, proteggendo i tuoi clienti ed aiutandoti a consolidare fiducia e credibilità.
Con una email, pochi giorni fa, inoltre, IUBENDA ha spiegato che ha generato un aggiornamento GDPR per i testi di tutte le privacy policy generate con questo servizio: tutte le nuove privacy e cookie policy saranno generate automaticamente con i nuovi testi GDPR, mentre le policy pre-esistenti dovranno essere aggiornate tramite la funzione Abilita i testi per il GDPR (Iubenda consiglia di esaminare il testo prima di attivarlo ed inviare un avviso agli utenti per avvisarli di questo aggiornamento).
Plugin WordPress GDPR?
Premessa: non ho ancora testato questi plugin quindi non so se sono conformi al regolamento, ma ad oggi le soluzioni di cui più si parla sono:
- Il Plugin Gratuito GDPR: ha due versioni, una base ed una a pagamento. Non è in grado di individuare in maniera autonoma quali cookie vengono impiegati, pertanto vanno inseriti “manualmente” ed inseriti nella privacy policy.
- WeePie Cookie Allow: (disponibile su Codecanyon) è stato da poco aggiornato e consente di accettare/rifiutare (declinare) l’installazione dei cookie, oltre che di creare un banner di notifica per gli utenti
- CookieBOT: Si parla molto di questa soluzione, gratuita per siti che hanno un massimo di 100 pagine (il costo varia in base al numero di pagine del sito). scansiona automaticamente i cookie utilizzati e li inserisce nella privacy policy.
Cosa succede in caso di mancato adeguamento?
Le conseguenze a livello legale, in caso di mancato adeguamento, possono essere riassunte in:
- Sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione
- Richiami ufficiali
- Verifiche periodiche sulla protezione dei dati
- Danni da responsabilità
- Diritto per gli utenti di presentare un reclamo presso un’autorità di controllo qualora si ritenga che il trattamento dei dati sia stato effettuato in violazione delle disposizioni del regolamento
- Risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione.
Le informazioni contenute in quest’articolo sono frutto di ricerche e letture legate al GDPR, si consiglia sempre di chiedere un parere anche ad un legale o ad un professionista.
Se hai trovato errori o vuoi aggiungere altre informazioni preziose lascia un commento qui di seguto.
Se quest’articolo ti è piaciuto o ti è stato utile metti mi piace e condividilo su Facebook.