Il GDPR, General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), è il regolamento europeo sulla protezione dei dati personali entrato in vigore in tutti gli Stati membri il 25 maggio 2018. In Italia integra la precedente normativa sulla privacy (il Dlgs 196/2003).
Alla luce del costante sviluppo tecnologico e dei nuovi modelli di crescita economica, il Regolamento nasce come risposta alla crescente esigenza di protezione dei dati personali da parte dei cittadini europei, così che gli utenti possano averne il pieno controllo.
Vediamo insieme di cosa si tratta e come adeguarsi alla normativa per non incorrere in spiacevoli sanzioni (possono arrivare fino a 20 milioni di euro!).
Cosa si intende per “dati personali”?
Partiamo dalle basi. Per dati personali si intendono quelle informazioni che, se messe tutte insieme, possono portare all’identificazione della persona. Rientrano, ad esempio, tra i dati personali nomi, dati genetici o riguardo il proprio stato di salute, opinioni politiche e orientamento sessuale, ma anche dati web come indirizzi IP ed email.
Tutte le aziende, dalle più piccole alle più grandi, che hanno a che fare con questa tipologia di dati sono quindi obbligate ad attuare il GDPR.
Cosa prevede il GDPR?
I punti essenziali del GDPR possono essere così riassunti:
- Chiarezza dell’informativa. Il linguaggio deve essere semplice e le informazioni su come verranno utilizzati i dati dell’utente devono essere complete. Niente più “tranelli” per cercare di strappare un consenso! Vietate le caselle pre-spuntate e i plugin per la gestione dei cookies che “non funzionano”.
- Responsabilizzazione. Chi tratta dati personali deve essere in grado di garantire la sicurezza degli stessi e poterlo dimostrare. Il pericolo da scongiurare è il Data Breach (la violazione dei dati personali) ma, se ciò dovesse accadere, l’azienda ha l’obbligo di comunicare entro 72 ore l’accaduto agli interessati e, in caso di situazioni particolarmente rischiose, alle autorità.
- Obbligo di indicare il periodo di utilizzo dei dati. La durata del trattamento dei dati da parte delle aziende deve essere esplicitamente specificata. Niente più consensi a tempo indeterminato.
- Accesso ai dati, modifica, revoca, eliminazione o portabilità. Ogni azienda che tratta dati personali è tenuta a garantire agli interessati l’accesso agli stessi, entro tempistiche specifiche e garantendo la possibilità di modifica, revoca ed eliminazione dai database (quello che è stato denominato diritto all’oblio). Inoltre l’utente ha il diritto di ottenere un elenco dei dati trattati in modo da poterli trasferire da un’azienda ad un’altra.
- Obbligo di risposta da parte dell’azienda entro 1 mese di tempo da quando l’interessato ha avanzato delle richieste sui propri dati.
- Introduzione di nuovi ruoli. Il Regolamento introduce nuove figure con obblighi e doveri distinti: il Titolare del trattamento, persona fisica o giuridica che determina le finalità e i mezzi di trattamento dei dati personali; l’Interessato, la persona fisica che può essere identificata attraverso i dati personali; il Responsabile del trattamento, persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento (un esempio è un fornitore cloud che offre servizi per lo storage di dati).
Come adeguarsi al GDPR?
Trattandosi di un Regolamento che riguarda il trattamento dei dati personali, coinvolge ovviamente la maggior parte dei siti presenti nella rete, da quelli più semplici ai siti di eCommerce più complessi. In effetti è sufficiente che questi abbiano un form di contatto o dei cookies. Ma come fare per capire se il proprio sito è in regola?
Una premessa è d’obbligo: ogni caso è da considerarsi a sé stante, non esiste una formula uguale per tutti, ogni situazione è diversa! Il trattamento dei dati personali in rete è un ambito complesso e in continua evoluzione, proprio perché il web cambia di giorno in giorno. Ogni sito internet deve redigere la Privacy Policy, sempre aggiornata, in base a come raccoglie i dati e all’uso che ne fa. I fac-simile standard copiati e incollati non valgono più!
Il primo consiglio in assoluto quindi è quello di prendere visione della normativa, disponibile sulla pagina ufficiale del Garante della Privacy, e considerare una consulenza personalizzata di un DPO (Data Protection Officer), la quale in alcuni casi può anche essere obbligatoria.
Preso atto di ciò, c’è comunque una buona notizia! Online sono disponibili degli strumenti che possono aiutarti a muovere i primi passi nel mondo del GDPR e farti capire quali sono i bisogni specifici per il tuo sito.
Se sei una realtà fisica con un sito a basso impatto sui dati personali, GDPR Giga attraverso un semplice questionario può indirizzarti sulle azioni da completare affinché tu possa essere a norma.
Prendendo ad esempio WordPress, il CMS più utilizzato, sono disponibili diversi plugin per la gestione dei cookies e per conformare i form alla normativa europea. La lista è lunga, ma ricorda, da soli non bastano per metterti a norma! Un servizio online aggiuntivo ai plugin è dato da Iubenda, una realtà professionale che ti permette di generare un documento di Privacy e Cookie Policy più conforme alle tue esigenze.
In tema di Privacy Policy, per i più esperti e solo per loro, Wonder.Legal è un’altra valida soluzione gratuita adatta per redigere un documento che rispecchi tutte le specifiche del tuo sito.
Conclusione
Concludendo, una formula magica per adeguare il tuo sito al GDPR non esiste, ma riuscire ad essere a norma non è una cosa impossibile! Affidarti ad un professionista o ad un servizio specializzato potrebbe essere la soluzione più consona per riuscire a districarti in questo mondo e dormire sonni più tranquilli.
