In vigore dal 25 maggio 2018, il regolamento si focalizza sulla conoscenza degli utenti delle policy di trattamento dei dati personali
Hai già adeguato il tuo sito web, eCommerce, App, Blog? Ti sei informato su come gestire gli adempimenti sul web? Vediamo, nel dettaglio, gli adempimenti che riguardano l’adeguamento di siti e blog.
GDPR, di cosa si tratta?
Il GDPR è l’acronimo di General Data Protection Regulation, il regolamento generale (adottato il 27 aprile 2016) sulla protezione dei dati. Tutto questo viene introdotto dalla Commissione europea per migliorare e uniformare la tutela dei dati personali dei residenti e dei cittadini dell’Unione europea.
Le sanzioni legate al GDPR? Come suggerisce l’art. 83, paragrafo 4, si arriva fino a 10 milioni di euro, o al 2% del volume d’affari globale registrato nell’anno precedente. In alternativa, riportano i paragrafi 5 e 6, la somma arriva fino a 20 milioni di euro o fino al 4% del volume d’affari. GDPR in sintesi: cosa devi fare? Bisogna conoscere in maniera adeguata i principi, si deve tenere a mente lo scopo finale cui tende il GDPR (tutela dati personali), si deve considerare l’importanza dei dati personali. Che, dall’articolo 1 del Regolamento, sono innalzati a diritto fondamentale dell’uomo.
Dal 25 maggio 2018 anche il dentista, il commercialista e qualunque altro professionista che ha a che fare con i vostri dati dovrà ricevere il vostro consenso esplicito. Inevitabilmente, però, il GDPR avrà un maggior impatto sui siti, portali e servizi web che, in una maniera o nell’altra, tengono traccia dei dati dei loro visitatori o utenti iscritti e li utilizzano per gli scopi più vari (come il tracciamento a fini pubblicitari o di direct marketing, ad esempio).
GDPR: significato e principi fondamentali
Molti chiedono cosa fare per mettersi in regola. Il GDPR impone un cambio radicale di approccio rispetto alla normativa precedente. Non si prevedono norme generali e astratte che possano essere applicate al caso concreto. Non ci sono norme che indichino quali misure adottare in concreto per risultare compliance alla normativa.
Il Regolamento europeo, infatti, prevede diversi elementi generali senza tuttavia indicare come si possano in concreto applicare gli stessi. C’è il principio, spetta al singolo individuare le modalità operative per applicare quel passaggio.
Il motivo di questa impostazione risiede nel fatto che solo chi vive in prima persona la realtà che deve adeguarsi al GDPR può capire come sia possibile farlo in concreto.
l GDPR, in particolare, focalizza la propria attenzione sul fatto che gli utenti conoscano, comprendano e accettino le policy di trattamento dei dati che permettono alle aziende – nello specifico, chi gestisce il sito web – di raccogliere informazioni sul loro conto. Le aziende, prevede il regolamento, dovranno fornire informazioni dettagliate e, al tempo stesso facilmente comprensibili su quale tipologia di dati vengono raccolti, come verranno archiviati e, soprattutto, come e per quali scopi saranno utilizzati. Le policy di trattamento dei dati, particolarmente complesse e lunghe da leggere, dovranno quindi essere riscritte in favore della chiarezza e leggibilità da parte degli utenti.
Le aziende saranno anche chiamate a proteggere in maniera più stringente i dati che raccolgono. In caso di data breach (il furto di dati da parte di un hacker o organizzazine cybercriminale), infatti, saranno chiamate a risponderne penalmente ed economicamente, con multe che possono arrivare al 4% del loro bilancio annuale (per Facebook e Google, tanto per fare due esempi, si tratterebbe di multe da svariati miliardi di euro).
Gli effetti del GDPR
Anche se attivo a partire dal 25 maggio 2018 (e, magari, ve ne sarete accorti dalla quantità di email ricevute dai vari servizi cui siete iscritti sul web), il GDPR ha iniziato a produrre i suoi effetti già da alcuni mesi prima. Già da giugno 2017 Google ha smesso di tracciare il contenuto dei vostri messaggi di posta elettronica (sì, lo faceva) per offrirvi inserzioni pubblicitarie più affini alle vostre abitudini e gusti, mentre a settembre ha rinnovato la piattaforma per il controllo dei dati personali. Facebook, invece, è intervenuta prima a gennaio 2018 e poi ad aprile (in questo caso, l’affaire Cambridge Analytica ha giocato un ruolo determinante) nel rivedere gli strumenti a disposizione degli iscritti per il controllo dei loro dati.
Tornare in possesso dei dati
Anche se valido solo per i cittadini residenti nell’Unione Europea, il GDPR ha un effetto globale: stando al regolamento approvato dal Parlamento Europeo, infatti, tutte le aziende che operano all’interno dei 28 Stati Membri dovranno adattarsi alla normativa, indipendentemente dal Paese in cui abbiano sede. Per questo motivo anche i giganti della Silicon Valley sono stati costretti a correre ai ripari, con conseguenze non sempre preventivabili (come, ad esempio, il divieto per gli under 16 di utilizzare social network e app di messaggistica istantanea come WhatsApp, Instagram e Facebook, tanto per dirne alcuni).
Insomma, un po’ tutti dovranno preoccuparsi di come adattare le policy per il trattamento dei dati personali, tanto i big del settore quanto i gestori di piccoli portali e blog personali. Comunque sia, per gli esperti di privacy e protezione delle informazioni personali, il GDPR è una vittoria e potrebbe avere un impatto epocale. Certo, tutto dipenderà da come gli utenti reagiranno ai nuovi “poteri” in loro possesso, ma diversi sondaggi pre-GDPR mostrano come la percezione degli internauti stia cambiando. Sempre più attenti e sempre più “spaventati” dai continui attacchi degli hacker, gli utenti dedicano sempre maggior cura al trattamento dei loro dati personali: con il GDPR potrebbero ricevere “l’arma finale” che consentirà loro di tornare in possesso delle informazioni raccolte e catalogate dai vari siti.
Tra le varie norme del regolamento europeo, infatti, c’è anche quella che consente di modificare “in corsa” il consenso già dato: gli utenti potranno revocare, parzialmente o totalmente, il trattamento dei dati già accettato e “chiedere indietro” i dati che il gestore di servizi web ha raccolto sino a quel momento. Un internauta, ad esempio, potrebbe chiedere a un social network di cancellare una foto caricata quando era minorenne, costringendolo a intervenire non solo sui suoi database, ma anche a comunicare ai vari motori di ricerca di de-indicizzare quella informazione. Insomma, una vera e propria rivoluzione nell’ambito della privacy, che potrebbe cambiare il mondo della pubblicità online e, con essa, tutto il web.
Quindi, ecco la domanda che si fa largo: come adeguare i siti web al GDPR? Il punto dolente è la gestione della newsletter. I principi da tenere presenti sono 3:
Minimizzazione dei dati
Deve essere raccolta la minor quantità di dati possibile per raggiungere quella specifica finalità per la quale i campi vengono compilati. Questo significa che per l’invio della newsletter è sufficiente richiedere solo l’indirizzo mail.
Informativa
Le persone devono avere notizie chiare e senza ombre. Quindi devono essere informate delle finalità per le quali vengono raccolti i dati e dei diritti che spettano.
Consenso
L’utente deve rilasciare il consenso al trattamento dei propri dati per le finalità indicate. Cosa comporta? La gestione della newsletter dovrà avvenire in conformità a questi principi. Di conseguenza? Cosa significa questo? Ecco 3 punti:
- L’iscrizione alla newsletter dovrebbe richiedere unicamente la mail (o al massimo il nome dell’utente se si vogliono personalizzare i messaggi).
- Qualora vengano richiesti altri dati andranno specificate le finalità per le quali vengono domandati (finalità che non potranno essere quelle dell’invio della newsletter).
- Prima del tasto iscrizione devi mettere un sistema (basta una casella di accettazione non flaggata) per il rilascio del consenso e l’accettazione della privacy policy.
Attenzione ai dati degli utenti già iscritti. Andrà predisposta un’integrazione di informativa che renda l’acquisizione di quei dati in linea con le nuove disposizioni.
Devi occuparti della gestione dei dati
Questo è di sicuro il punto più delicato da affrontare: cosa fare per mettersi in regola? Ci sono 2 diversi aspetti di carattere tecnico da considerare. Il primo riguarda la raccolta dei dati, il secondo si riferisce alla gestione degli stessi.
Per quanto riguarda la raccolta bisogna tenere a mente che la persona deve rilasciare il proprio consenso al trattamento dei propri dati, sia quelli che lascia volontariamente (come nel caso della newsletter), sia quelli che vengono forniti in maniera indiretta, per esempio attraverso la profilazione. Nell’informativa è necessario specificare quali dati di navigazione vengono raccolti? Ovviamente sì.
L’utente li può accettare in blocco?
No, bisognerebbe fornire la possibilità di scegliere per quali dati rilasciare il consenso e per quali negarlo. Non tutti i dati vengono raccolti per le stesse finalità, per cui non è possibile consentire un’accettazione in blocco.
Come funziona la cancellazione dei dati?
Per quanto riguarda la gestione dei dati, invece, si deve ricordare che l’individuo ha il diritto di chiedere la cancellazione dei propri dati. Ci si deve quindi chiedere come si possa materialmente realizzare questa cancellazione.
- Dove sono conservati quei dati?
- Adempiremo correttamente agli obblighi imposti dalla normativa europea?
- Materialmente come si può procedere alla eliminazione?
Bisogna valutare anche questi aspetti che, spesso, vengono sottovalutati. Perché ci si concentra maggiormente sulla raccolta dei dati e sui profili giuridici della stessa.
Il GDPR non riguarda solamente la raccolta dei dati, ma anche la gestione degli stessi. Se si comprendono questi meccanismi adeguare il proprio sito al GDPR sarà sicuramente più facile e agevole di quanto immaginato.
I minori
L’art. 8 del regolamento prevede che per offrire servizi ai minori di 16 anni sia necessaria un’autorizzazione da parte dei genitori o di un tutore. Anche sotto questo profilo si sono visti molti (e spesso inutili) movimenti da parte delle piattaforme digitali. I Paesi potranno con dispositivi specifici modulare questa soglia senza poterla comunque portare al di sotto dei 13 anni.
Il diritto all’oblio
Molto diverso da ciò di cui si è parlato negli anni scorsi rispetto a Google e ai motori di ricerca, il diritto all’oblio previsto dall’art. 17 del regolamento consiste in una sorta di cancellazione rafforzata dei propri dati in determinate situazioni. Per esempio quando non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, quando si revoca o ci si oppone al consenso e se non sussiste altro fondamento giuridico per il trattamento. Oppure quando i dati sono stati raccolti in modo illecito o questo venga imposto dal diritto dell’Unione o di uno Stato membro o, infine, se siano stati raccolti quando l’utente era minore. La novità è che la richiesta inoltrata al primo che ha trattato i dati comporta l’obbligo per quest’ultimo titolare di trasmetterla a tutti coloro che li utilizzano o li hanno utilizzati in seguito. Il diritto all’oblio non si applica tuttavia se il trattamento è necessario “per l’esercizio del diritto alla libertà di espressione e di informazione”, “per motivi di interesse pubblico nel settore della sanità pubblica”, “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” o se occorre in sede giudiziaria.
Le sanzioni
Le autorità di controllo possono condurre indagini, ottenere l’accesso alle informazioni e imporre limitazioni al trattamento, così come vietarlo o imporre alcune azioni, tipo la cancellazione. Si inaspriscono le sanzioni amministrative pecuniarie: le multe possono arrivare fino a 10 milioni di euro o 2% del volume d’affari globale in casi – sono solo due esempi – come la violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione o alla mancata o errata notificazione e/o comunicazione di un data breach all’autorità nazionale competente. Oppure fino a 20 e 4% del fatturato in altre situazioni, come l’inosservanza di un ordine imposto da un’autorità o il trasferimento illecito di dati personali ad un destinatario in un Paese terzo. Rimangono dei margini interpretativi a disposizione delle singole autorità nazionali per stabilire l’entità e la gravità delle violazioni.
© 2016 Impresattiva A.P.S. - CF: 93134740757 - Powered by 