GPDR cosa cambia e cosa fare per essere in regola con il tuo sito - Il giornalino di Logok - Logok | Design Web Agency | Pisa

Cambiamo Colore alla tua Azienda

Siti Web Professionali 3.0

arrow
Web Agency Pisa Logok
Macchia Nera
Logok da colore al tuo sito
Logok ® design web

Siti Web Professionali 3.0

Vai ai contenuti

GPDR cosa cambia e cosa fare per essere in regola con il tuo sito

Logok | Design Web Agency | Pisa
Pubblicato da in News ·
Tags: GDPRRegolamentoPrivacy
Si parla di privacy, si parla di GDPR: è un acronimo il cui significato è General Data Protection Regulation, cioè Regolamento generale di protezione dei dati. È una normativa europea, il Regolamento UE 2016/679, emanata il 27 aprile 2016 e che entra in azione dal 25 maggio 2018.

Riguarda me? Riguarda solo le grandi aziende, o anche le piccole imprese? Riguarda i freelance? Mi riguarda, anche se ho solo un blog?”: sicuramente te lo starai domandando.
Il GDPR riguarda chiunque tratti dati personali: quindi, se hai un e-commerce, o se hai un sito che raccoglie le email della newsletter, o anche se per ragioni di customer care ti capita di chiedere il numero di telefono al cliente da servire, questo regolamento riguarda anche te.

Con questo post imparerai a conoscerlo più da vicino, a sapere cosa fare e dove trovare le fonti ufficiali e utili.
Parleremo di:

  • La ratio legis del GDPR: capiamone il senso
  • In concreto: cosa va fatto
  • Sanzioni: cosa succede a chi non rispetta in GDPR
  • To Do List: il GDPR in 5 punti
  • Risorse utili

Buona lettura!
Prima di tutto, capiamo il senso del GDPR
Dietro ogni legge c’è una ragion d’essere: gli addetti ai lavori la chiamano “ratio legis”. Capire la ratio legis è utile per inquadrare nella giusta prospettiva tutti i cambiamenti e i miglioramenti che sarai chiamato a fare… e ti aiuterà ad avere meno “mal di pancia”.

Lo “statuto della data economy”.
La “ratio legis”, la ragion d’essere del GDPR, è in breve questa: i dati sono e saranno sempre di più la “materia prima” di una nuova economia basata sull’uso esteso dei dati e un elemento strategico per la produzione di prodotti e servizi innovativi. Il GDPR è lo statuto di questa nuova economia. Scopo del GDPR è abbattere le barriere giuridiche nazionali e creare un set condiviso di regole per il trattamento dei dati personali in territorio europeo, regole che si applicano a chiunque tratti i dati in Europa (anche “giganti americani” come Google e Facebook).

Da adempimento formale a processo aziendale.
Fino al GDPR la privacy è stata spesso considerata come un elemento accessorio e un adempimento puramente formale (“per evitare la multa del Garante”). Con il GDPR, invece, la privacy diventa a tutti gli effetti un processo aziendale, integrato nel business di tutte le aziende, dalle grandi alle medie, piccole e micro.

Principio di minimizzazione.
Meno dati possibili, solo i dati utili. Non si possono raccogliere dati eccedenti a quelli per cui si chiede il consenso esplicito: il “non si sa mai, può tornarmi utile un domani” non è più possibile. Pensaci quando decidi i campi dei form di contatto e qualsiasi altro punto in cui chi naviga sul tuo sito lascia i dati.

Privacy by design.
La tutela dei dati personali deve essere garantita fin dalla progettazione delle attività e per tutto il ciclo di vita della gestione dei dati.

Privacy by default.
La privacy diventa requisito non accessorio, ma appunto “di default” nel trattamento delle informazioni. Per questo bisognerà prevedere tutta una serie di misure tecniche di protezione dei dati, come la pseudonimizzazione, processo per cui si impedisce di ricondurre i dati trattati a una persona specifica.
In concreto, cosa va fatto per essere a norma con il GDPR?
Fatta la premessa concettuale, ecco in sintesi i principali cambiamenti che il GDPR porta rispetto al modo attuale con cui gestisci i dati personali di clienti e prospect.

Informativa dei dati breve, chiara e comprensibile.
Anche l’informativa non è più un adempimento formale: il suo scopo è di rendere consapevole l’interessato su che dati vengono trattati, e in generale di cosa si tratta. Per questo l’informativa deve essere breve, trasparente, sempre accessibile e comprensibile da tutti, anche dai minori. Il linguaggio deve essere chiaro ed efficace, si può informare l’interessato anche a voce (ma solo se lo richiede esplicitamente e se la sua identità è verificata) e si possono fornire le informazioni in modo graduale, una alla volta (informativa a strati). Oltre al testo scritto, si possono usare delle icone standard per aumentare la comprensibilità.

Consenso: sì alla consapevolezza.
Il consenso deve essere positivo e inequivocabile: non può più esserci consenso tacito o passivo. Inoltre, il consenso deve essere specifico per ogni finalità del trattamento dei dati: se raccogli dei dati – ad esempio nome, cognome ed email – per fare un preventivo, questo è il primo livello di servizio per cui devi avere consenso. Se, cosa molto verosimile, quei dati andranno a comporre il database su cui intendi fare azioni commerciali – ad esempio informare le persone di una promozione natalizia – quello è già un secondo livello di trattamento dati, per cui devi avere uno specifico punto nell’informativa.

Un esempio di azione positiva e inequivocabile è quella per cui lo user prosegue la navigazione dopo aver visionato il banner informativo sull’utilizzo dei cookies.

Gestire i rischi privacy: nasce il DPIA.
Il GDPR introduce come obbligatoria la redazione del Data Protection Impact Assessment (DPIA), il documento di valutazione d’impatto della protezione dei dati. Con il DPIA la gestione della privacy entra nel pieno della gestione aziendale e si interseca con la gestione della sicurezza (regolamentata in Italia dal decreto legislativo 81/2008), di cui cardine portante sono il concetto di rischio e la gestione preventiva dei rischi.

Il processo di gestione rischi privacy di cui il DPIA è il documento di attuazione avviene in 3 fasi:
  • analisi dei rischi privacy
  • stesura della lista delle criticità della gestione attuale rispetto ai rischi (gap list)
  • definizione di un piano di intervento per ridurre al minimo i rischi (action plan)

Cosa fare quando “va male”: data breach notification.
Nel caso in cui si verifichi una violazione dei dati (data breach), cioè una falla, un gap nella sicurezza a causa del quale i dati vengono persi, distrutti, modificati, divulgati o resi accessibili a persone non autorizzate, è obbligatorio fare una notifica (data breach notification) al diretto interessato, subito, e al Garante della privacy, entro 72 ore dalla violazione. La notifica deve contenere alcune informazioni, quali:
  • Nome e dati di contatto del DPO o della persona a cui chiedere informazioni
  • Descrizione della violazione
  • Descrizione delle misure adottate o che si adotteranno per porre rimedio al data breach e alle sue eventuali conseguenze sull’interessato

Non c’è più la notifica al Garante per la privacy, ma c’è il registro del trattamento.
L’obbligo (valido per alcune aziende e alcuni tipi di dati) dell’informazione preventiva al Garante per la privacy è abolito e sostituito da un nuovo documento, il registro del trattamento. Se vogliamo, è la “fase 2” della gestione privacy, conseguente alla valutazione d’impatto e da usare come strumento di pianificazione interna. Non è obbligatorio per le aziende con meno di 250 dipendenti, a meno che “il trattamento che esse effettuano:
  • possa presentare un rischio per i diritti e le libertà dell’interessato,
  • il trattamento non sia occasionale
  • o includa il trattamento di categorie particolari di dati (i cosiddetti dati sensibili, ndR),
  • o i dati personali relativi a condanne penali e a reati (i cosiddetti dati giudiziari, ndR).”

Anche questo documento deve contenere tutta una serie di dati: in fondo al post ti suggeriamo un servizio per creare il registro dei trattamenti e gestire la tua informativa privacy.

Nasce il DPO (Data Privacy Officer).
Applicare il GDPR vuol dire non solo avere i documenti, ma anche i ruoli aziendali giusti. In questo il GDPR è molto chiaro: rimangono le figure che fino ad oggi conosciamo, cioè titolare, responsabile e incaricato, e ad esse si aggiunge il responsabile del trattamento dati personali, cioè il Data Privacy Officer o DPO, una figura di auditor interno indipentente, con competenze legali e informatiche, dotato di autonomia di spesa e poteri decisionali. Come nel caso del registro dei trattamenti, non tutti dovranno avere un DPO, ma solo chi tratta quantità notevoli di dati personali in maniera non occasionale, chi tratta dati sensibili o giudiziari, o se si tratta di enti pubblici.

Cosa succede a chi non rispetta il GDPR?
Le violazioni sono piuttosto consistenti: si può arrivare a fino al 4% del fatturato con un tetto massimo di 20 milioni di euro.

Cosa fare? Una GDPR to do list in 5 punti
Primo: prendi l’informativa del tuo sito web e verificala.
Controlla se contiene tutti gli elementi necessari (sotto, uno strumento che può aiutarti a gestirla). Poi leggila o falla leggere a qualcuno e chiedi: si capisce? Cosa non è chiaro?

Secondo: fai una mappatura di tutti i punti in cui raccogli i dati degli utenti.
Form di contatto, form per la newsletter, pagina di registrazione, ecc. verifica che siano conformi a tutte le cose che hai appena letto.

Terzo: descrivi il modo in cui effettivamente tratti i dati.
Parti dal momento della raccolta e arriva fino alle modalità di conservazione. Per farlo, ecco una serie di domande guida.
  • Che strumento o servizio usi per raccogliere le email? Che tipo di trattamento dati hanno? Dove finiscono i dati, una volta che li hai raccolti?
  • Una volta che hai raccolto i dati, dove sono conservati tutti i dati che tratti? Su che tipo di database? Su che server poggia il database? Il fornitore del servizio è GDPR compliant? E così via.
  • Chi si occupa di analizzare dati (ad esempio, o per estrapolare le email su cui fare promozione commerciale)?

Quarto: con tutte queste informazioni, redigi la DPIA, l’analisi di impatto dei rischi.
Sul sito del Garante della privacy trovi un software che ti aiuta nella redazione. Se sei in dubbio, consulta un esperto.

Quinto: rivedi, cambia, implementa.
Sempre con l’aiuto dell’esperto, rivedi il testo dell’informativa privacy e tutte le parti del tuo sito dove raccogli i dati. Rivedi il processo di trattamento dati e i fornitori dei servizi che usi. Valuta con l’esperto se è il caso di cambiarli. Valuta con l’esperto se rientri nella casistica elencata dal GDPR per cui devi avere un DPO e il registro del trattamento. E dopo, passa all’implementazione.

Un consiglio in più
Cerchi degli strumenti semplici che ti permettano di documentare le attività di trattamento dei dati, gestire la privacy interna e conservare la prova del consenso?
Prova le 2 nuove soluzioni Internal Privacy Management e Consent Solution proposte da iubenda.

Risorse utili

La tua prima fonte deve essere il sito del Garante Italiano della privacy, che ha messo a disposizione di aziende, freelance e piccole imprese una pagina dedicata con tutta una serie di strumenti e informazioni.

Qui trovi il testo del GDPR > Testo Regolamento privacy - GDPR

Qui invece trovi una guida all’applicazione pratica del GDPR > Guida Garante Privacy

Qui trovi una raccolta dei regolamenti dei diversi Pesi Europei > The General Data Protection Regulation (GDPR)

Qui trovi il software guida per la redazione del DPIA proposto dal Governo Francese ma dispopnibile in diverse lingue > Software per la redazione del DPIA

Infine, il sito del garante inglese ICO – Information Commissioner’s Office – ha una serie di checklist che ti aiutano a capire a che punto sei e cosa devi fare > Data protection self assessment

MailUp ha messo a punto un’utile guida, dove trovi anche una checklist > GDPR & dati personali

Per capire se rientri o meno nella casistica prevista dal GDPR, ma in generale per capire come essere compliant, è naturalmente consigliabile e diremmo necessario rivolgerti a un esperto in tema privacy. Questo post serve come sintesi per essere informato e consapevole, così da porre domande mirate e chiare all’esperto che contatterai





LOGOK DESIGN WEB AGENCY
Via Scornigiana 42 Ospedaletto (PI)
SERVIZI PER AZIENDE
Soluzioni Web a 360° per Aziende
Siti Web Professionali 3.0
Logok by AUTO ELLE Slrs formitore e responsabile del trattamento dei dati personali
Sede Legale: Via G.B. Queirolo, 15 - 56100 Pisa P.iva 02315420469

Cambia il tuo modo di stare in rete

PER INFORMAZIONI
Telefono: 050-7916461
EMAIL: info@logok.it
® Logok - Privacy
Torna ai contenuti