Come adeguare il tuo sito web al nuovo Regolamento sulla Privacy "GDPR" che diventerà pienamente operativo da fine Maggio 2018.
Il 25 Maggio 2018 il nuovo Regolamento sulla Privacy, chiamato GDPR (General Data Protection Regulation), diventerà pienamente operativo in tutti gli stati membri dell'Unione Europea, con l'obiettivo di armonizzare le direttive presenti a livello europeo. Entro quella data il tuo sito, e-commerce o meno, dovrà adeguarsi ai nuovi dettami.
In questo articolo faremo un pò di luce sulla nuova regolamentazione.
Cos'è il GDPR
Il GDPR nasce da una precisa esigenza di rafforzare e semplificare la protezione dei dati personali dei cittadini, e dei residenti, dell'Unione Europea (UE), e mette al centro persone, riconoscendono il diritto all'oblio cioè il diritto di ottenere la cancellazione di tutti i suoi dati personali.
Con il termine "dati personali" si intendono tutte le informazioni il cui utilizzo permetta di risalire, direttamente o indirettamente, all'identificazione di una persona. Ad esempio un nome, un indirizzo mail, una foto, un indirizzo IP, un post su un social network, una documento medico,... qualunque informazione.
Il testo del nuovo regolamento sulla privacy contiene dei riferimenti espliciti al concetto di accountability, cioè di responsabilizzazione dei soggetti che trattano i dati personali: questi dovranno mettere in atto tutte le misure, tecniche ed organizzative, necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l'utilizzo dei dati siano conformi alle nuove regole.
Vediamo assieme alcuni degli aspetti essenziali di questa nuova regolamentazione e le accortezze da mettere in atto sul tuo sito web.
Puoi raccogliere esclusivamente i dati strettamente necessari
Secondo il GDPR, vanno raccolti esclusivamente i dati di cui hai bisogno. Per esempio, se per ina offerta speciale da assegnare agli utenti serve solo conoscerne l'età, devi chiedere solo la loro data di nascita, non il luogo di residenza o altre informazioni non necessarie.
Il dato ottenuto potrà essere conservato solo per il tempo necessario al suo utilizzo.
In merito ad un sito e-commerce, il Garante per la Protezione dei Dati Personali prevede che, nel momento in cui un utente acquista online, le coordinate della sua carta di credito possono essere conservate esclusivamente per il tempo necessario alla conclusione dell'operazione di pagamento.
Il Garante indica inoltre che i dati di un "prospect", cioè di un utente effettivamente interessato ad acquistare un prodotto o un servizio, devono essere cancellati se non risponde ad alcuna sollecitazione per 3 anni.
Infine, il Garante indica anche che al di fuori dei casi nei quali esiste un obbligo di archiviazione, i dati che non presentano più alcun interesse devono essere cancellati.
Devi chiedere il consenso all'utente nel modulo di raccolta dei dati personali
Nel classico form (modulo) in cui raccogli i dati dell'utenti deve essere SEMPRE PRESENTE la checkbox che l'utente dovrà spuntare per autorizzare al trattamento dei dati personali.
Senza spunta, quindi senza il consenso dell'utente, non potrai raccogliere i dati. Pre-spuntare la checkbox sarà vietato.
Inoltre devi specificare la finalità dell'utilizzo dei dati che stai raccogliendo. Se, ad esempio, proponi l'iscrizione ad una newsletter, devi precisare che la sua email sarà utilizzata esclusivamente per inviargli e-mail informative.
Per gli utenti del sito deve essere semplice anche ritirare il consenso dato. Nell'esempio della iscrizione alla newsletter, occorre quindi sempre evidenziare come potersi disiscriversi. Questo vincolo è già in vigore attualmente, ma dal maggio 2018 le sanzioni, in caso di mancato rispetto, saranno più severe.
In caso di richiesta, devi fornire all'utente i suoi dati personali in tuo possesso.
Se un utente richiede di consultare i suoi dati personali in tuo possesso, sei obbligato a:
- Fornirglieli in un formato leggibile e comprensibile
- Indicargli il modo in cui questi dati sono utilizzati
Il diritto alla portabilità dei dati
Collegato al punto precedente è il diritto dell'utente di ricevere i dati forniti ad un titolare per conservarli in vista di un utilizzo ulteriore, o anche di ottenere la trasmissione degli stessi da un titolare ad un altro.
Se ad esempio hai postato news o articoli in un blog o su Facebook, hai il diritto di ottenere la lista ed il contenuto di tutti gli articoli pubblicati.
Diritto alla cancellazione dei dati ("diritto all'oblio")
In determinate situazioni un utente può chiederti ed ottenere, senza indebito ritardo, la cancellazione dei suoi dati personali in tuo possesso. Questo diritto è chiamato "diritto all'oblio".
Ad esempio nel caso in cui la persona ritiri il suo consenso al trattamento dei suoi dati personali, o se i dati sono stati oggetto di un trattamento illecito, o qualora i dati personali debbano essere cancellati per rispettare un vincolo legale che è previsto dal diritto dell'UE o dal diritto dello Stato membro al quale è sottoposta la responsabilità del trattamento.
Per conoscere tutte le modalità del diritto alla cancellazione dei dati, consulta l'articolo 17 del regolamento dell'UE
Documentare le procedure di trattamento dei dati
Devi essere in grado di dimostrare, in caso di controlli, che il trattamento dei dati personali dei tuoi utenti venga effettuato seguendo i dettami.
Per questo, è necessario che tu tenga un registro delle attività di trattamento effettuate sotto la tua responsabilità. Questo registro deve contenere:
- Il nome e le coordinate del responsabile del trattamento
- Le finalità del trattamento dati
- Una descrizione delle categorie di persone coinvolte e delle categorie dei dati personali
- Le categorie dei destinatari ai quali i dati personali sono stati o saranno trasmessi, compresi i destinatari in altri paesi o delle organizzazioni internazionali
- In tal caso, indicare i trasferimenti di dati personali verso paesi esteri o organizzazioni internazionali
- Nel limite del possibile, i termini stabiliti per la cancellazione delle diverse categorie di dati
- Nel limite del possibile, una descrizione generale delle misure di sicurezza tecniche e operative
La figura del DPO: Data Protection Officer
Il nuovo regolamento prevede la creazione di una nuova figura, il Data Protection Officer, adibito alla gestione di tutti gli aspetti legati al trattamento dei dati personali all'interno delle aziende, allo scopo di far rispettare le normative europee in materia di privacy e di fungere da contatto tra l'azienda e l'autorità di controllo, cooperando con essa. Tale figura può essere coperta da una figura interna o esterna, dipendente o libero professionista.
Il Regolamento non specifica quali debbano essere le qualità professionali necessarie per coprire questa figura professionali, tuttavia le indicazioni sono di competenze in ambito informatico, giuridico, di valutazione del rischio e di analisi dei processi.
Sicurezza dei dati raccolti
Devi garantire la sicurezza dei dati raccolti da qualsiasi rischio di furto, perdita accidentale o divulgazione.
Il regolamento suggerisce un numero di misure di sicurezza che possono essere usate per raggiungere la protezione dei dati, incluso: l'uso di pseudonimi e la crittografia dei dati personali; la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione; la capacità di ripristinare la disponibilità e l'accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici; un processo di controllo periodico e la valutazione dell'efficienza dei mezzi tecnici per verificare la sicurezza dell'elaborazione.
Il regolamento suggerisce alcune misure di sicurezza che possono essere usate per la protezione dei dati. Tra queste:
- l'utilizzo di pseudonimi e nomi cifrati ("crittografia") per i dati personali
- l'utilizzo di sistemi che permettano di garantire la riservatezza, l'integrità, la disponibilità e l'annullamento dei sistemi e dei servizi di trattamento
- la definizione di metodi che permettano di ripristinare, in maniera tempestiva, la disponibilità dei dati personali e l'accesso ad essi, in caso di incidenti fisici o tecnici
- l'istituzione di una procedura di controllo periodico e la valutazione dell'efficacia delle misure tecniche e operative per verificare la sicurezza dell'elaborazione.
Per l'elenco completo di questi requisiti si rimanda al testo completo del regolamento, al paragrafo 4.
Violazione dei dati dell'utente ("data breach")
Se alcuni dei dati personali venissero rubati o persi, sarà necessario avvertire le autorità competenti oltre che i diretti interessati entro 72 ore.
Possibili sanzioni nel caso di non applicazione del regolamento
L'ammontare della sanzione sarà determinata dalla gravità dell'infrazione commessa.
Il caso più grave si ha quando vengono catturati i dati dell'utente senza avere ottenuto il suo consenso. In questo caso la multa può arrivare fino al 4% del tuo fatturato o a 20 milioni di euro (l'importo più elevato tra i due).
Abbiamo completato la disamina del nuovo regolamento sulla privacy, ma per al sua concreta e completa applicazione devi rivolgerti al tuo consulente di fiducia (commercialista o avvocato).