Il nuovo regolamento GDPR europeo sta per entrare in vigore anche in Italia, e precisamente dopo il 25 maggio 2018.
Ma cos’è il regolamento GDPR e cosa comporta per i liberi professionisti e i piccoli imprenditori che hanno una presenza online?
Il GDPR è il nuovo General Data Privacy Regulation – Regolamento UE 2016/679 è datato 26 aprile 2016 ed è stato pubblicato sulla Gazzetta Ufficiale Europea a maggio dello stesso anno. E’ un regolamento che vuole armonizzare il trattamento dei dati nell’UE e proteggere maggiormente la privacy delle persone, offline e online.
Come si può constatare dal testo integrale, il regolamento GDPR nasce dall’esigenza di proteggere le persone e i dati che queste forniscono online da un utilizzo che potrebbe non garantirne né la sicurezza né i diritti personali:
(6) La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.
Il presente articolo non ha pretesa di esaustività legale ma è il risultato dei miei aggiornamenti costanti sull’argomento e delle informazioni reperite online.
Ma chi deve adeguarsi al regolamento GDPR?
- Chiunque raccolga e tratti dati personali e sensibili delle persone all’interno dell’UE a fini commerciali e professionali. Al di fuori dei confini europei, chiunque venga in qualche modo a trattare dati di cittadini europei. Ad esempio, un sito il cui titolare opera in Cina, ma offre servizi anche in Europa e quindi raccoglie dati di persone ubicate in Europa, dovrà provvedere ad adeguarsi al regolamento GDPR.
Che cosa si intende per “dati personali”?
- Sono considerati dati personali tutte quelle informazioni che permettono di identificare una persona fisica (e tuttora in vita). Quindi nome, email, residenza, indirizzo IP, stato di salute, nazionalità e via dicendo. Particolare categoria di dati sono quelli considerati sensibili, e quindi legati alla salute, gli interessi, l’orientamento religioso, l’appartenenza sindacale ecc… che meritano misure più stringenti e specifiche nel loro trattamento.
Al fine di ottemperare al regolamento GDPR, sarà necessario limitare quanto possibile la raccolta di questi dati. Se, ad esempio, sul tuo sito permetti l’iscrizione degli utenti ad una newsletter, dovrai cercare di limitare i dati richiesti dal tuo form per l’iscrizione: potrebbe bastare la mail ed eventualmente il nome mentre altre informazioni non dovrebbero essere necessarie.
Diritto alla portabilità dei dati
Altri due punti cardine del regolamento GDPR sono la portabilità dei dati e il diritto all’oblio.
L’interessato ha il diritto di richiedere e ricevere i dati precedentemente comunicati ad un titolare del trattamento in formato elettronico, di uso comune, leggibile e riutilizzabile per poterli conservare e/o trasferire ad altro titolare.
La portabilità dei dati probabilmente è stata introdotta per agevolare il libero mercato dei servizi informatici.
Diritto all’oblio
Non solo il diretto interessato ha diritto a revocare il consenso al trattamento dei suoi dati, ma può inoltre fare richiesta al titolare del trattamento di cancellazione dei suoi dati.
Il titolare dovrebbe dar seguito a tali richieste a meno che non sussistano diritti più forti come il diritto della libertà di espressione e di informazione, per ragioni pubblico interesse, per obblighi di carattere legale ecc…
Il consenso degli interessati
Al fine di trattare i dati degli utenti, dovrai richiedere un consenso specifico, come indica il regolamento stesso:
(32) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
Anche nel caso di un semplice form online in cui il tuo visitatore può far richiesta di informazioni relative alla tua attività dovrai predisporre una casella del consenso.
Se poi invii una newsletter ai tuoi iscritti dovrai avere un altro consenso apposito e separato dal primo. Se pensi di inviare email promozionali a chi si iscrive alla tua newsletter o a chi ti chiede informazioni e preventivi dovrai provvedere ad informare i tuoi utenti con una terza casella per i consenso e così via.
In tutti questi casi, dovrai essere chiaro circa le finalità per cui richiedi il consenso.
La Privacy Policy
Redigere una Privacy Policy ad hoc diventa una priorità.
Dovrà essere trasparente, dettagliata ed esplicita per quanto riguarda l’identità del titolare del trattamento, di quali dati vengono trattati e della durata del trattamento.
Copiare e incollare su una pagina del proprio sito web una Privacy Policy pescata da qualche parte online non è assolutamente una buona idea, come d’altronde non lo è mai stato.
Cookies e consenso ai cookies
Il discorso dei cookies è spesso confuso quando si cercano informazioni online.
L’utilizzo dei cookies e relativo consenso è disciplinato attualmente dalla Direttiva ePrivacy (ePR o Cookie Law) che presto verrà sostituita dal Regolamento ePrivacy che va ad affiancarsi e integrarsi al GDPR.
In breve, i cookies a cui bisogna prestare particolare attenzione sono ovviamente quelli di profilazione, cioè quei cookies che tracciano online i comportamenti degli utenti con finalità di marketing.
Il titolare del sito dovrà informare l’utente con un banner apposito circa l’utilizzo dei cookies sul proprio sito.
Cito direttamente da Iubenda:
È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?
No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità.
Inoltre, per quanto riguarda il consenso e la revoca del consenso, sembra sufficiente fare affidamento sulle impostazioni del browser e, sempre citando Iubenda:
(…) la Cookie Law non ti obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:
predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
fornire un metodo per la revoca del consenso;
garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.
Questo significa che il meccanismo di opt-out non deve essere ospitato direttamente dal tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.
Strumenti utili per adeguarsi al regolamento GDPR
Un buon inizio, in caso di dubbi e perplessità, oltre eventualmente a rivolgersi a un legale, è consultare il testo stesso del regolamento GDPR:
La Privacy Policy, essendo un documento estremamente importante, andrebbe scritta con cura.
Esistono servizi online a pagamento che permettono di strutturare delle policy ad hoc e basate sul singolo sito web, uno di questi è Iubenda. Lo segnalo non perché io abbia qualche tipo di affiliazione con questo servizio, ma semplicemente perché lo utilizzo per questo sito e per alcuni dei siti dei miei clienti e quindi ne conosco le funzionalità.
Se il tuo sito web utilizza il CMS WordPress, è di pochissimi giorni fa un nuovo aggiornamento che ti permette, se installato, di redigere una pagina dedicata alla Privacy già integrata, quindi senza dover ricorrere a servizi esterni come Iubenda:
In entrambi i casi, scrivere una Privacy Policy non è un procedimento automatizzato. Andranno infatti inseriti manualmente i diversi servizi erogati attraverso il sito e le eventuali funzionalità presenti. Ad esempio: utilizzo del form per i contatti, inserimento dei commenti, newsletter, quale servizio esterno utilizzato per la newsletter, quali social e quali widget social e così via.
L’ultimo aggiornamento di WordPress offre la funzionalità di consenso anche per i commenti. Permette inoltre di esportare eventualmente i dati degli utenti registrati (secondo il diritto alla portabilità dei dati).
Per il consenso dei form e dei moduli di contatto, puoi installare questo plugin open source:
Altrimenti, se preferisci inserire un modulo di contatti che non registri i dati nel database, ma li salvi solo temporaneamente e te li invii tramite mail, puoi usufruire del plugin di SiteOrigin per WordPress, anche nella versione free. SiteOrigin è un Page Builder, cioè ti aiuta nella costruzione del tuo sito ma offre anche un widget apposito per la costruzione di form personalizzabili. Consulta la guida semplice e dettagliata proprio su questo argomento:
Per la newsletter, Mailchimp mette a disposizione una raccolta apposita del consenso:
Per gli altri servizi che ti aiutano nella gestione della newsletter, assicurati che siano conformi al GDPR.
La sicurezza dei dati
E’ inoltre di grande importanza garantire la sicurezza dei dati trattati. Dovresti effettuare dei backup frequenti, utilizzare eventuali plugin per la sicurezza e accertarti che i servizi di cui usufruisci, come anche l’hosting che ospita il tuo sito, sia conforme al regolamento GDPR. Dovrai inoltre avere un certificato di sicurezza SSL sul tuo sito (HTTPS e non HTTP) che, sembrerebbe, entro luglio 2018 sarà obbligatorio.
Se, malauguratamente, dovesse avvenire un data breach e una violazione dei dati personali, il titolare del trattamento dovrà darne tempestivo avviso alle autorità competenti e ai diretti interessati entro 72 ore dalla (macabra) scoperta della violazione, nel caso naturalmente che ci sia un serio rischio e un danno conseguente per le persone fisiche i cui dati sono stati violati.
Conclusione
Il regolamento GDPR è molto di più di quanto scritto fin qui. Se la tua azienda tratta regolarmente dati sensibili dei propri utenti e/o clienti e se ha 250 o più dipendenti, devi anche organizzare un registro del trattamento e incaricare un DPO (Responsabile della Protezione dei Dati).
Per tutti, inoltre, andrà redatta anche una Valutazione d’impatto sulla protezione dei dati e consultazione preventiva prima di procedere in qualsiasi nuova operazione tecnologica che implichi un trattamento dei dati.
In caso di non ottemperanza al GDPR, sono previste multe e sanzioni pesanti, come avrai sicuramente già letto altrove. Ascoltando avvocati e legali che ne parlavano durante diverse interviste online, sembrerebbe evidente che la multa comminata ad un colosso web o ad una multinazionale non sarà sicuramente la stessa inflitta ad una ditta con due o tre dipendenti e, seguendo il buon senso, sarà commisurata all’entità della violazione. Ciò non toglie che va fatto il possibile e va consultato anche un legale per essere in regola al 100%.
Siamo davvero pronti per il GDPR? Parlando con amici, clienti e conoscenti molti ancora ne ignorano l’esistenza. Io e molti dei miei colleghi invece siamo stati letteralmente bombardati da informazioni spesso confuse e fuorvianti e abbiamo dovuto documentarci in modo quanto più approfondito possibile.
Molti degli aggiornamenti dei servizi di terze parti o anche solo dei plugins sono stati resi disponibili nelle ultime ore o negli ultimi giorni…
Un articolo di Reuters mette in evidenza qualche problema tecnico di chi dovrebbe vigilare sugli adempimenti del GDPR.
Di certo possiamo dire che il futuro è questo e questa è la direzione in cui dobbiamo renderci attivi e responsabili per quanto riguarda il trattamento dei dati.
Hai bisogno di chiarire i tuoi dubbi relativi alla tua promozione online? Fissa un appuntamento per una consulenza e ti dedicherò il tempo di cui necessiti.
Vuoi realizzare il tuo sito web? Guarda i prezzi e i servizi a te dedicati.
Ciao! Sono Silvia Cossu e sono una libera professionista di Trieste, titolare di Grafica Cossu. Mi occupo di comunicazione online e digital marketing, grafica e realizzo siti web.
Lavoro e vivo a Trieste ma offro i miei servizi anche a distanza.
Amo scrivere sul mio Blog: penso gli articoli mentre passeggio, li scrivo di getto ma li rileggo mille volte, cerco immagini anche per ore e provo a migliorarli anche dopo la pubblicazione. Fatti un giro e lasciami un commento!