DI COSA SI TRATTA SOSTANZIALMENTE?
È una legge atta a contrastare il passaggio di dati personali a terze parti e ha lo scopo di rafforzare e unificare la protezione dei dati per tutte le persone all’interno dell’Unione Europea. Il regolamento mira a ripristinare l’equilibrio tra gli interessi del soggetto ed il responsabile del trattamento dei dati. Questo enorme cambiamento nella protezione entrerà in vigore il 25 maggio 2018 e tutelerà i seguenti diritti:
- Diritto di essere informati
- Diritto di accesso
- Diritto di rettifica
- Diritto di cancellazione
- Diritto di limitare il trattamento
- Obbligo di notifica
- Diritto alla portabilità dei dati
- Diritto di opporsi
In pratica: se hai dei dati di una determinata persona, non puoi passarli a terze parti a meno che non abbia informato tale persona di ciò. Inoltre dovrai dichiarare come intendi conservare questi dati, chi è la persona responsabile (detto DPO ovvero Responsabile della protezione dei dati, figura indipendente – e non sempre obbligatoria in caso di piccole realtà – e soprattutto NON deve essere un “consulente certificato”) e adatta a conservare e verificare questi dati e chi ne può fruire sotto osservazione del responsabile. Inoltre dovrai dichiarare cosa farai in caso di perdita dei dati e o in caso di furto (data breach).
NB: queste regole si applicano a tutti, online e offline, quindi, se tratti una qualsiasi informazione che possa essere classificata come dato personale o che possa essere utilizzata per determinare l’identità di qualcuno, si applica il GDPR.
Gli unici soggetti che non sono destinatari del provvedimento sono le persone fisiche che trattano i dati per finalità esclusivamente personali e i Tribunali penali per finalità giudiziarie relative al perseguimento di reati.
Attenzione per dati personali si intende:
- nome o cognome
- foto
- indirizzo email
- post social
- informazioni mediche
- indirizzi ip
- dettagli di conti banchari
Quindi il regolamento specifica le entità e le figure che saranno influenzate dal GDPR. La formulazione include specificamente processori di dati e controllori di dati.
Che cosa vuol dire? Le informazioni archiviate in cloud o in una posizione fisica separata sono ancora soggette a sanzioni. Indipendentemente da chi ha determinato come verranno utilizzate le informazioni e chi le utilizza effettivamente, le multe possono ancora essere imposte per uso improprio se riguardano i dati dei cittadini dell’UE.
Lato front end:
Il consenso che deve essere dato dagli interessati in maniera esplicita (cioè senza caselle di controllo già selezionate). Il Consenso deve essere specifico e deve essere richiesto separatamente per ciascuna delle tue finalità. (Una casella per le newsletter commerciali, una per i termini e condizioni, una per la profilazione etc.)
- Non è ammessa la raccolta di un consenso unico ma deve essere specifico.
- L’interessato può in qualsiasi momento revocare il consenso.
- Il titolare ha l’onere di dimostrare di aver ottenuto il consenso.
Il Checkbox obbligatorio viene considerato uno strumento idoneo per raccogliere il consenso.
Piano di azione
il Piano di azione consiste nel crare un documento che andrà a corredo di eventuali privacy policy e cookie law.
- se necessario creare un organigramma in cui si designa il DPO e chi invece attinge ai dati raccolti (registri dei trattamenti) indicando anche per quanto tempo si intende conservare i dati e in che maniera.
- mappare (e intendo letteralmente scrivere un documento) dove sono contenuti fisicamente i dati (db, backup, pc fissi ecc) e se possibile centralizzarle in cloud in maniera che sia possibile automatizzare la gestione delle autorizzazioni e l’accesso ai dati e le possibili opt-out. Inoltre nella mappatura bisognerà indicare quali dati sono stati raccolti e in che maniera.
- bisognerà crittografare tutti i dati in maniera tale da non renderli fruibili da persone non autorizzate.
- bisognerà redarre un documento d’analisi dei rischi in cui valutare se l’utilizzo dei dati può in qualche modo ledere al diritto di privacy del trattato.
- definire la lista di criticità, ovvero descrivere qualsiasi futura implementazione che ancora non è stata attuata per essere a norma.
Dal punto di vista creativo:
Il GDPR mira a creare un’informativa breve e concisa, di facile lettura, che può essere strutturata e letta su più livelli, prevedendo link di approfondimento, animazioni o filmati. Le aziende possono sfruttare questo strumento in chiave di comunicazione di marketing: creare un’informativa chiara, in grado di specificare i vantaggi che la persona ottiene nel fornire i suoi dati per finalità di marketing, contribuisce a distinguersi dalla concorrenza.
In definitiva:
D’ora in poi, il titolare dei dati potrà esercitare il diritto all’accesso, alla rettifica e alla cancellazione dei dati che lo riguardano. I cittadini dovranno avere il controllo dei propri dati personali e potranno inoltre contestarne l’elaborazione.
Ma se io non raccolgo dati?
Se si dispone di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non sei soggetto al GDPR ma è importante sapere che normalmente e solitamnte attraverso i cookie è possibile identificare un individuo tramite il loro dispositivo, (ricordami, le mie preferenza, adwords ecc ecc) questi dati sono considerati dati personali. Quindi è necessario fare un adeguamento GDPR.
Inoltre sei responsabile (limitatamente in questo caso) anche dei servizi offerti da terza parte che rilasciano cookies (ad esempio ad words o google analytics) e quindi fornire chiare informazioni su come vengono utilizzati quei dati!
Per intenderci, se usi Google Analytics non anonimizzato (ovvero senza mascherare l’indirizzo IP) significa che tramite i cookie di Analytics presenti sul tuo sito web stai memorizzando l’IP dei tuoi visitatori.
In che modo influenzerà in futuro come salverò i dati nel clud?
Se si prevede di utilizzare una memoria cloud pubblica, privata o ibrida, esistono implicazioni di conformità GDPR. Queste implicazioni sono elencate di seguito:
In un archivio cloud ospitato privatamente, avrai il pieno controllo dei dati e DOVRAI adottare misure appropriate per proteggerli.
Se si utilizza un’archiviazione di dati cloud pubblica o ibrida, il provider del servizio di archiviazione cloud DEVE adottare misure di sicurezza adeguate in termini di politiche e procedure. Assicurati che tali misure di responsabilità imposte dai fornitori siano conformi alle politiche gdpr, per andare sul sicuro bisognerebbe optare per chi risiede nello stesso paese.
Può essere intimidatorio leggere la GDPR ufficiale sopratutto quando non si mastica il burocratese, ma questo articolo e altri documenti di supporto su Internet ti guideranno a modificare le tue politiche e le tue pratiche, per conformarti facilmente al GDPR. Di seguito un paio di link che potranno esserti utili:
https://www.silicon.it/sponsor/gdpr-il-decalogo-per-capire-cosa-bisogna-fare-e-mettersi-in-regola
https://www.digital4trade.it/generale/gdpr-otto-miti-da-sfatare-ecco-cosa-bisogna-fare/