Torniamo a parlare di privacy, ancora una volta sta per cambiare tutto e se non vuoi beccarti una “multa” dovrai adeguare il tuo sito o eCommerce alla normativa che andrà in vigore il 25 Maggio 2018. Ma scopriamo meglio di cosa si tratta e come metterti in regola.

Entra in vigore il GDPR, Il Regolamento Europeo sulla Privacy.  La maggior parte delle aziende italiane sono ancora impreparate di fronte ai cambiamenti imposti dal Regolamento o credono che la cosa non li riguardi.

IL GDPR interessa tutti coloro che raccolgono e utilizzano liste di contatti a scopo professionale e non solo. In sostanza qualsiasi dato personale potrà essere utilizzato dalla tua azienda soltanto se acquisito e gestito secondo i principi del nuovo regolamento europeo. Il GDPR è entrato in vigore il 25 maggio 2016 ma non sarà applicabile fino al 25 maggio 2018. Fino a tale data, in Italia, si applica ancora la normativa sulla protezione dei dati personali delineata dal D.lgs 196/2003.

Lo scopo di questa legge è duplice: da una parte, tutela i cittadini europei che prestano il loro consenso al trattamento dei dati personali e, dall’altra, regolamenta in maniera più uniforme l’aspetto della privacy nelle diverse città europee.

Chi possiede un sito o eCommerce dovrà quindi rimboccarsi le maniche per adempiere alla nuova normativa sulla sicurezza web. Ma entriamo nei dettagli del nuovo regolamento, vediamo quali sono gli obblighi e cosa fare. Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito.

Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.

In qualità di “proprietario del sito web”, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).

Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!)

Quali sono gli obblighi per i Titolari di siti o eCommerce?

Per prima cosa è necessaria un’analisi di come il tuo sito raccoglie e gestisce i dati personali. Se il tuo sito contiene solo un form di contatto, bisogna considerare anche dove conservi quei dati e come li utilizzi. Ciò significa che imprese ed enti articolati dovranno individuare un Data Protection Officer, un responsabile del trattamento dati appositamente previsto nella gerarchia aziendale per rispondere alle numerose criticità informative, gestionali e di rendicontazione.

L’analisi minima da cui puoi partire comprende questi aspetti:

  • quali aree del tuo sito raccolgono i dati
  • dove vengono memorizzati (nel tuo sito? In un sistema esterno? Quale?)
  • l’uso che ne fai (newsletter? Adempimenti contrattuali? Profilazione pubblicitaria?)
  • per quanto tempo li conservi
  • quale consenso hai ottenuto
  • sicurezza dei dati e rischi in caso di furto

Se il tuo sito è semplice l’analisi sarà rapidissima; lo sarà un po’ meno per un sito più strutturato o per un ecommerce.

Sul fronte tecnico, devi assicurarti che tutti i componenti del tuo sito siano a loro volta conformi al GDPR. Per un sito semplice o un blog, il problema più grande può essere quello dei plugin che installano cookie di profilazione. I cookie vanno bloccati fino a che l’utente non acconsente al loro utilizzo.

 Come adeguare il tuo sito o eCommerce?

Ecco una checklist delle cose da fare:

  • monitorare i servizi presenti sul sito che memorizzano i dati personali degli utenti
  • confrontare le informazioni memorizzate con quelle previste dal nuovo regolamento
  • Tracciare e conservare il consenso offerto dagli utenti che vistano il sito

Per mettersi in linea con la nuova normativa bisogna svolgere un’attenta analisi per capire quali ripercussioni si possono avere in termini di trattamento dati e capire l’infrastruttura e le funzionalità del sito.

Puoi provare giandosantamaria.it e vedere come deve essere un sito adeguato.

Le cose che, nel tuo sito web, devi assolutamente rivedere sono:

  • il modo con il quale gestisci e memorizzi i dati sensibili;
  • i Cookie e, nello specifico, il banner per il consenso sui cookie. Il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali;
  • Privacy Policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.

Per risolvere il problema della Privacy Policy ed essere in regola con il nuovo regolamento europeo, chiedere il supporto di un consulente è forse la migliore alternativa sopratutto se hai una specifica casistica da regolamentare.

Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.

Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea, cosa molto probabile se si usano servizi come social network o mailchimp.

 – GDPR e Sito Web: diritto alla cancellazione dei dati personali

Tra i principi alla base delle attività del trattamento dati, si ha prova di aderenza alla normativa: i siti web devono provare di possedere il fondamento giuridico per poter trattare i dati sensibili. Tutte le procedure vanno modificate al fine di proteggere i diritti dell’utente, a partire dalla richiesta cancellazione dei dati personali, da poter effettuare in qualsiasi momento.

Per facilitare la procedura di richiesta cancellazione dei dati personali, è necessario che venga creato un apposito database separato per il consenso degli utenti.

– GDPR e Sito Web: registrazione dei Log

La conformità GDPR per i nuovi siti richiede anche l’implementazione di un sistema di verifica dei dati dei visitatori, con possibilità di notifica immediata in caso di rischio di violazione dei dati personali.

Una piattaforma di data-logging (registratore di log) in grado di collezionare i dati, tracciare le attività dell’amministratore di sistema e del webmaster, associato a un software (o nel caso di CMS plugin/moduli) di controllo accessi e protezione dei dati, può essere la soluzione a questo requisito.

– GDPR e Sito Web: diritto di essere informato

Il GDPR richiede inoltre il rispetto di diversi tipi di diritti dell’utente, primo fra tutti il diritto di essere informato. I proprietari di siti web devono informare i visitatori e clienti che sono in procinto di ottenere informazioni su dati sensibili. Gli avvisi al riguardo devono essere visualizzati in modo palese e facilmente comprensibile, anche per bambini o minorenni. Gli amministratori dei siti devono inoltre effettuare una divisione tra due categorie, per distinguere dati ottenuti direttamente dagli utenti e dati secondari raccolti in base ad informazioni.

– GDPR e Sito Web: i diritti dell’interessato

Altri diritti fondamentali dell’utente sono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di oggetto al trattamento dei dati personali. Per garantire la conformità GDPR gli amministratori possono prevedere dei meccanismi di configurazione che portino al riconoscimento di tali diritti attraverso azioni automaticamente programmate.

– GDPR e Sito Web: la newsletter

Anche le opzioni di abbonamento alla newsletter e le preferenze di contatto vanno riorganizzate, al fine di allinearsi con le nuove disposizioni, che non prevedono più la possibilità di ricevere il consenso di default. I moduli dovranno essere riadattati, con un passaggio dei messaggi sponsorizzati e delle newsletter da opt-out (come era spesso in precedenza) ad opt-in opzionale. Lo stesso vale per “Termini di servizio – condizioni” ed anche per la Privacy Policy.

– GDPR e Sito Web: la gestione dei dati personali

Una volta fornito il consenso e l’accettazione dell’informativa sulla privacy e delle condizioni d’uso, l’utente deve avere la possibilità di gestirli e ritirarli in modo semplice ed immediato. Un approccio consigliato è quello di creare un pagina del profilo utente, dove ciascuno possa gestire autonomamente qualsiasi consenso sulla raccolta dati privati e qualsiasi invio di comunicazioni e newsletter.

In forma sintetica, è possibile elencare gli step principali per assicurarsi un sito web a norma GDPR, con le azioni specifiche che gli amministratori dovrebbero seguire:

GDPR e Sito Web: checklist

  • Realizzare una verifica di tutti i dati personali collezionati
  • Aggiornare l’informativa sulla privacy
  • Rendere affermativi gli avvisi dei cookie
  • Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
  • Rivedere la funzionalità di acquisizione dati
  • Aggiornare le Privacy Policy per le email
  • Rendere immediata la possibilità di gestione/cancellazione dati
  • Applicare un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
  • Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni
  • Abilitare una procedura per agevolare l’eliminazione dei dati di un particolare utente
  • Abilitare una procedura che garantisca la portabilità dei dati
  • Registrare e monitorare i log di sistema degli amministratori e dei webmaster

Perché mettersi in regola?

Si tratta di una legge che quindi prevede delle sanzioni. Il nuovo regolamento prevede controlli della Guardia di Finanza e, in caso di violazione, potrebbe costarti caro (sicuramente più di quanto costa metterti in regola).

La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore. Ovviamente ci sono casi e casi, ecco le due sanzioni possibili:

Nessuno ti dice e scrive che le sanzioni sono di due tipi:

  1. Sanzioni Correttive
  2. Sanzioni Amministrative

Le sanzioni Correttive sono di fatto avvertimenti, ammonimenti che non prevedono esborsi economici. Mentre quelle Amministrative sono quelle riportate sopra (20 milioni di euro o il 4% di fatturato).

La decisione sull’applicazione delle sazioni spetta all’autorità di controllo (in Italia è l’Autorità Garante per la Protezione dei Dati Personali), che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia:

  • – Della natura, gravità e durata della violazione
  • – Del carattere doloso o colposo della violazione
  • – Delle misure adottate per attenuare il danno subito dagli interessati
  • – Delle eventuali precedenti violazioni commesse dal titolare del trattamento
  • – Del grado di cooperazione con l’autorità di controllo
  • – Degli eventuali altri fattori

Entro la data del 25 Maggio 2018 Il testo del GDPR in PDF (scarica qui la versione in Italiano), ogni Stato membro, inoltre, dovrà istituire una particolare società che avrà il compito di verificare tutti i siti web e la loro conformità alla nuova legge. In caso di violazioni, questa società indicherà le misure correttive a cui gli interessati dovranno adeguarsi.

Secondo le indicazioni del Garante non si deve nominare un Dpo nei casi d:

trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.

Come risolvere il problema!

Di chi hai bisogno? Ha bisogno di 2 figure precise, l’avvocato per la parte legislativa e l’agenzia web per la parte tecnica. Non attendere ancora molto, Maggio è vicino e le sanzioni sono dietro l’angolo.

[Hai un sito e vuoi metterti in regola? Richiedi subito una mia consulenza…]

Buon Business…

Condividi il post sui Social...

0 0 voti
Dai un voto al post!
Ricevi Notifiche
Notificami
guest

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

0 Commenti
Inline Feedbacks
View all comments
Ogni settimana nuovi contenuti gratuiti per aiutarti a sviluppare il tuo business online e ottenere nuovi clienti.

Cliccando accetti le Privacy Policy del sito. Potrai cancellarti in qualsiasi momento

Hanno parlato di noi su…