Il 25 maggio 2018 entrerà in vigore il GDPR (Regolamento generale sulla protezione dei dati) emanato dall’UE.

GDPR è l’acronimo di General Data Protection Regulation ed è la nuova legge sulla protezione dei dati personali nell’UE che sostituisce, per quanto riguarda l’Italia, il Decreto legislativo 30 giugno 2003, n. 196 , in vigore dal 1º gennaio 2004.. Lo scopo del GDPR è di dare ai cittadini dell’UE il controllo sui propri dati personali e cambiare l’approccio delle aziende verso il trattamento e l’archiviazione dei dati.

Ad esempio, gli utenti devono confermare che i loro dati possano essere raccolti e devono sapere le finalità del trattamento, ci deve essere una chiara politica sulla privacy che mostra quali dati saranno archiviati, come saranno utilizzati e fornire all’utente il diritto di revocare il consenso all’uso di dati personali (cancellando di conseguenza i dati) in qualsiasi momento, se necessario.

Il GDPR dovrebbe essere preso sul serio? I proprietari dei siti web hanno tempo fino al 25 Maggio 2018 per rispettare i regolamenti stabiliti dal GDPR. La sanzione per inadempienza può essere pari al 4% del fatturato globale annuo, fino a un massimo di 20 milioni di euro.

In casi irrisori e che non hanno rischi significativi per gli interessati,
potrà anche corrispondere una mera diffida amministrativa in alternativa
alla sanzione pecuniaria (reprimand nella versione inglese),
ma dall’altra parte, tenendo conto delle circostanze specifiche
una violazione dei dati anziché comportare la pena fino a 10 mln di euro,
sanzione relativa anche all’inosservanza della disciplina rivolta al
Data Protection Officer, potrebbe anche comportare una sanzione
pecuniaria superiore se dovessero ricorrere delle circostanze di
maggiore gravità ed inosservanza delle prescrizioni dell’Autorità
di controllo.

Fonte: https://www.agendadigitale.eu/sicurezza/gdpr-sanzioni-e-responsabilita-tutto-cio-che-ce-da-sapere/

Di conseguenza, è caldamente consigliato adeguarsi in tempo alla nuova normativa per evitare di incorrere in sanzioni e/o diffide amministrative, dove per mettersi “in regola” in un secondo momento le aziende potrebbero rischiare di investire molto più del dovuto.

Ovviamente il GDPR non è relativo solo ai dati raccolti da un sito web e conservati su di esso. Coinvolge infatti tutti i sistemi aziendali relativi a dati personali raccolti per qualsiasi finalità, anche quelli dei propri dipendenti, ad esempio. Merita quindi una lettura il testo della Legge (in italiano) REGOLAMENTO (UE) 2016/679 e merita approfondimento anche la consulenza di un legale esperto in privacy o di un consulente del lavoro per regolarizzare i processi aziendali.

 

Principali novità introdotte dal GDPR in ambito Web (siti web ed e-commerce):

  • Introduzione di uno Sportello Unico in modo da fare riferimento a una sola Autorità Sovrintendente, cioè il Garante della privacy;
  • Principio di “responsabilizzazione”: i titolari del trattamento dati hanno la responsabilità della gestione di tali dati. Per questo motivo dovranno rispondere di eventuali danni alla privacy dei propri clienti in caso di illeciti;
  • Data breach: il titolare del trattamento dati ha l’obbligo di comunicare al Garante per la privacy, entro 72 ore, eventuali violazioni dei dati personali;
  • DPO (Data Protection Officer), verrà introdotto soltanto nelle grandi aziende e enti pubblici che trattano dati personali su larga scala e sarà necessario nei seguenti casi:

a) Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) Le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

  • Portabilità dei dati, cioè il diritto di trasferimento dei propri dati personali da un titolare del trattamento a un altro;
  • Consenso tramite opt-in: il nuovo Regolamento prevede norme più chiare in merito al consenso al trattamento dei propri dati personali. Non sarà più accettato il consenso tacito oppure il consenso tramite scroll, ma l’accettazione dovrà essere evidente e andrà registrata;
  • Sicurezza dei dati: il titolare del trattamento e il responsabile della protezione dei dati dovranno garantire la sicurezza di questi ultimi, anche tramite l’adozione di tecnologie atte a proteggere l’integrità dei dati (vedi SSL, Antivirus/Firewall ecc);
  • Accesso ai dati: il titolare del trattamento dati dovrà tenere un registro delle attività di trattamento dove andrà a specificare le finalità della raccolta dati ed eventuali loro ret;
  • Diritto all’oblio, limitazione e rettifica: l’utente ha diritto di richiedere al titolare del trattamento la cancellazione dei propri dati o la limitazione del loro trattamento e/o la modifica.

In breve, quali sono gli obblighi di un proprietario di un sito web?

Un proprietario (o intestatario) di un sito web deve:

  • Essere pienamente a conoscenza di tutte le tecnologie di tracciamento (cookies) sul/sui sito/i web e il loro scopo ed informare i navigatori;
  • Ottenere il consenso dell’utente prima che avvenga qualsiasi elaborazione di dati;
  • Registrare la prova del consenso in modo da poter dimostrare l’accettazione;
  • Assicurare che il suo sito offra la possibilità di revocare il consenso;
  • Sapere quali dati il suo sito web condivide con terze parti e dove, a livello globale, i dati vengono inviati e informare l’utente.
  • Adeguare la Privacy Policy ed identificare (nel caso non sia stato ancora fatto) un responsabile del trattamento dati
  • Adeguare la Cookie Policy elencando in modo dettagliato i cookie presenti sul sito web e le loro finalità
  • Adeguare il banner dei Cookie per permettere la scelta di quali cookies accettare prima di navigare il sito stesso. Non sarà più tollerato il consenso tacito.
  • Predisporre un reset dei Cookie per permettere ai visitatori di modificare la loro preferenza in qualsiasi momento
  • Predisporre un sistema automatizzato di gestione dati da parte dell’utente (modifica, eliminazione e portabiltà) per garantire l’accesso ai dati in qualsiasi momento da parte dell’utente.
  • Conformarsi agli ultimi standard di sicurezza (Connessione sicura SSL e firewall/antivirus per proteggere i dati)
  • Notificare eventuali data breach (furti di dati sensibili) entro 72 ore ai propri utenti
  • Dotarsi di un sistema di backup 24/7

Adeguare i Siti Web ed E-Commerce sarà quindi una procedura abbastanza rapida ed indolore e soprattutto economica. Inoltre, grazie alla nuova normativa, sarà più rapida l’adozione dell’https:// (SSL) che da Luglio sarà comunque obbligatorio per tutti i siti web.

Il problema sorge in casi di grandi database di contatti, anche offline, magari raccolti durante decenni di fiere ed eventi. In questo caso, secondo la normativa, il titolare del trattamento dovrebbe sottoporre tutti i contatti a nuova accettazione oppure rimuoverli. Voi come agireste?

E per quanto riguarda i call center?

Alex Cardì, CEO @ DSGN Creative Studio

Sei in ritardo? Devi adeguare il tuo sito web o e-commerce al GDPR? Contattaci subito e scopri le nostre soluzioni: info@dsgncreativestudio.it