Il Regolamento generale sulla protezione dei dati (GDPR) è stato approvato e adottato dal Parlamento europeo nell’aprile del 2016. Sostituisce la Direttiva 95/46/CE sulla protezione dei dati. L’obiettivo del GDPR è quello di raggiungere un livello elevato e uniforme di protezione dei dati nell’ambito dell’UE e di proteggere tutti i cittadini dell’UE dalle violazioni alla privacy e ai dati in un mondo sempre più basato sui dati, che è notevolmente cambiato rispetto al momento in cui la Direttiva è stata istituita.
Entrerà in vigore il 25 maggio 2018 e sarà direttamente applicabile a tutti gli Stati membri dell’UE; a partire da tale data le organizzazioni inadempienti saranno passibili di pesanti multe (incluso il Regno Unito che farà ancora parte dell’UE).

Tutte le aziende, piccole e grandi, liberi professionisti, ditte individuali, onlus, blogger, ecc. dovranno essere in regola con la nuova normativa europea, Regolamento UE 2016/679 applicato in tutti i Paesi dell’Unione Europea in sostituzione dell’attuale Codice della Privacy (Dlgs 196/2003) oggi vigente in Italia. Pubblicato in Gazzetta Ufficiale il 04 maggio 2016

Questo argomento ti riguarda in prima persona se il tuo sito web fa uso di:

  1. Pagina Contatti con Modulo/Form di richiesta informazioni;
  2. Pagina di login con registrazione utenti;
  3. Pagine dove è possibile commentare;
  4. Strumenti di Analisi del traffico;
  5. Strumenti pubblicitari (es. Google, Facebook Pixel)
  6. Strumenti di email marketing o di funnel marketing
  7. eCommerce

 

La nuova normativa avrà l’obiettivo di tutelare i dati personali di tutti i cittadini europei.

SONO UN PROFESSIONISTA E HO UN PICCOLO SITO DEVO ADEGUARMI ANCH’IO?

Se raccolgli e tratti dati personali per finalità connesse al servizio richiesto dal tuo sito web devi preoccuparti che il tuo trattamento risponda ai requisiti del GDPR. I dati raccolti naturlamente dovranno essere quelli strettamente necessari per le finalità percui li hai richiesti e, altro aspetto, dovrai tenere aggiornato le misure con le quali utilizzi i tuoi dati e importantissimo, dovrai assicurarti che i dati raccolti siano sempre protetti.
Banalmente, dovrai utilizzaredei sistemi di firewall o di antivirus e comunque in maniera tale i dati non ti vengano sottratti e soprattutto dovrai occuparti di effettuare un backup per evitare che i dati vengano persi.

SEI UN BLOGGER? HAI UN SITO? RACCOGLI MAIL PER INVIARE NEWSLETTER?

Se tramite il tuo sito raccogli dati da moduli email o iscrizioni a newsletter, anche in questo caso il Regolamento prevede che tu debba rispettare esattamente le stesse norme che rispettano le aziende, anche se probabilmente non avrai bisogno di eleggere un DPO (Data Protection Officer), che è facoltativo, nè di iscriverti al Registro del Trattamento in quanto, richiesto solo alle aziende con più di 250 dipendenti e agli enti pubblici.
Ma dovrai redigere l’informativa Privacy in conformità al Regolamento, dare la possibilità alle persone di accedere ai loro dati o cancellarsi e ottenere il loro consenso all’utilizzo dei dati.

Se il tuo sito web per esempio viene hackerato cioè subisce una violazione dei dati, entro 72 ore devi comunicarlo ai tuoi utenti. Tutto questo significa che devi monitorare costantemente e rendere sicuro il tuo sito web.

COSA PUOI FARE ADESSO

  1. AGGIORNARE L’INFORMATIVA SULLA PRIVACY
  2. VERIFICARE LE MODALITÀ DI ACQUISIZIONE DEL CONSENSO
  3. CONTROLLARE LE MODALITÀ DI ACQUISIZIONE DEI DATI GIÀ IN TUO POSSESSO
  4. QUALE TITOLARE DEL TRATTAMENTO, METTERE IN ATTO MISURE CHE PROVINO CHE IL TRATTAMENTO È EFFETTUATO CONFORMEMENTE AL REGOLAMENTO
  5. VERIFICARE DOVE SI TROVA IL SERVER IN CUI I DATI SONO CONSERVATI
  6. ADOTTARE MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI E DEL LORO RIPRISTINO IN CASO DI PERDITA

COSA SUCCEDE SE NON FACCIO NIENTE

Se hai un sito web avrai sicuramente una informativa Privacy che però non sarà più a norma e dovrà essere adeguata alla nuova normativa GDPR. Se sei stato bravo e l’hai fatto, avrai un consenso nella tua pagina contatti con un form o modulo di richiesta informazioni con il classico check box, la casellina di spunta da flaggare per acconsentire alla privacy Dlgs 196/2003, ebbene, questo sistema non sarà più valido.
Probabilmente non ti succederà nulla finchè non troverai qualcuno che voglia darti fastidio e che farà una segnalazione. A questo punto avrai un periodo di tempo per metterti in regola ma comunque lo dovrai fare in fretta. Tieni presente che non sarà più semplicemente la dimenticanza di “haa è vero non ho dato l’informativa sulla Privacy corretta…”, ma non avrai messo in piedi tutta una serie di adempimenti come il trattamento dei dati sul server che ospita il sito, e quindi…

  1. dove sono i dati che tratti?
  2. dove finiscono i dati che raccogli?
  3. Come dimostri al Garante sulla Privacy che li hai custoditi in maniera corretta?
  4. Come lo dimostri per esempio (dico un dato a caso) nel giro di una settimana che li hai raccolti in maniera conforme al nuovo Regolamento GDPR?
  5. Dovrai correre… e metterti in regola con il rischio di spendere il triplo dei soldi che avresti speso prima e prenderesti anche delle sanzioni abbastanza pesanti.

 

Per adeguarsi al GDPR (General Data Protection Regulation), occorre rispettare una serie di misure per ridurre il rischio di pesanti sanzioni economiche che possono arrivare fino a 20 milioni di euro o, se superiore, del 4% del fatturato globale annuo dell’organizzazione del soggetto che commette la violazione. Alcune novità sono la valutazione dell’impatto sulla privacy, le verifiche, la revisione dei criteri, la registrazioni delle attività e (potenzialmente) la nomina di un incaricato alla protezione dei dati (DPO).

Il Regolamento Europeo Generale sulla Protezione dei Dati UE/2016/679 (GDPR) garantisce nuovo diritti alle persone fisiche, estendendo la portata delle responsabilità del Titolare e del Responsabile del Trattamento dei dati

Un aspetto vantaggioso del nuovo regolamento è l’applicabilità nei confronti di tutti i soggetti che svolgono affari sul suolo europeo, anche di quelli che hanno ufficialmente sede fuori dall’Unione. Questo pone ufficialmente fine alla “discriminazione” fino ad ora sofferta dalle imprese basate nel territorio dell’UE, che non subiranno più lo svantaggio (dovuto proprio alla vecchia direttiva) di dover seguire regole relative alla protezione dei dati che invece non interessavano le concorrenti extra-europee.

Un’altra novità rilevante, è il fatto che il GDPR favorisce la creazione di un rapporto di fiducia tra realtà tecnologiche e imprenditoriali e consumatori. L’introduzione di regole nuove e decisamente più restrittive delle precedenti implica l’attribuzione di ruolo di “custode” a quelle realtà che si occupano di raccolta dei dati relativi agli utenti, arricchendo così un rapporto che prima veniva creato sulla base del mero interesse economico.

Adeguarsi alla nuova normativa sul Trattamento dei Dati Personali è OBBLIGATORIO.

GLI ADEMPIMENTI PREVISTI

  1. ANALISI DEI TRATTAMENTI (Privacy by Design & Privacy by Default)
  2. REDAZIONE Privacy & IT policy
  3. VERIFICA specifica della conformità al GDPR per ciò che concerne il rapporto di lavoro (controllo a distanza, posta elettronica, utilizzo di dispositivi aziendali, trattamento dei dati sensibili, gestione dei log, ecc.)
  4. PREDISPOSIZIONE DEL MODELLO ORGANIZZATIVO per la tutela dei dati
  5. VERIFICA COMPLIANCE dei siti web e dei trattamenti di dati realizzati mediante essi
  6. Preparazione del REGISTRO DEI TRATTAMENTI
  7. Implementazione dei nuovi diritti alla portabilità dei dati e il diritto all’oblio

GUIDA AL REGOLAMENTO UE 2016/679

Prendiamoci la responsabilità di andare a leggere tutta la normativa ufficiale sul sito dell’Autorità Garante della Privacy italiana:

  1. Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali
  2. quì si può scaricare il PDF del Regolamento UE 2016/679 SULLA PROTEZIONE DEI DATI

Sarà necessario definire una serie di figure chiave nella tua organizzazione, piccola o grande che sia.

Al considerando n. 7, proprio nella prima parte del testo del nuovo Regolamento, troviamo scritto:

è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”

In queste poche righe si evinge la grande rivoluzione del GDPR, che consiste in una forte responsabilizzazione del titolare del trattamento dei dati, che deve operare la raccolta in modo lecito, corretto e soprattutto trasparente.
Uno strumento utile ad incentivare il rispetto delle finalità e dei parametri del regolamento è sicuramente quello del registro delle attività di trattamento. Si tratta di un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti.
La tenuta del registro è un obbligo che non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che il trattamento non sia occasionale o ad alto rischio, o includa particolari categorie di dati (ad esempio i dati sensibili). Però può rappresentare anche per le piccole realtà una risorsa per consentire una gestione più efficace e ordinata della sicurezza dei dati e dell’organizzazione.

Nel nuovo Regolamento viene introdotto il “principio di accountability”, tradotto in italiano con il termine “responsabilizzazione”. I titolari del trattamento devono mettere in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l’utilizzo dei dati siano conformi alle nuove regole.

Quante volte ci siamo detti “dobbiamo stare attenti alla tutela dei dati” e che per anni abbiamo firmato informative sulla privacy di contratti senza nemmeno leggere cosa stessimo firmando! Bene ora non è più così. Adesso ci sono responsabilità ben precise da parte del “Titolare del Trattamento” che usa i dati anche se sono semplicemente di un potenziale cliente che ci richiede informazioni dalla pagina contatti del nostro sito web. E noi che usiamo i dati, anche se sono solo nome cognome e email, in realtà dovrò assicurarmi che questi dati siano tutelati secondo le nuove norme del GDPR Regolamento UE 2016/679.

Se non sai proprio da dove cominciare inizia a chiedere informazioni al tuo consulente commerciale.