Ultimo aggiornamento: 4 giugno 2018
[Nota di aggiornamento: a partire dall’8 maggio 2019 il Garante per la protezione dei dati personali è finalmente in grado di applicare i provvedimenti correttivi e le sanzioni previste dal medesimo regolamento. Abbiamo avuto ben undici mesi per assimilare il nuovo regolamento privacy e applicarlo ai sistemi e alle procedure aziendali. Ora si comincia a fare sul serio.]
Molte imprese si sentono ancora impreparate di fronte ai cambiamenti imposti dal Regolamento, mentre piccole aziende e liberi professionisti spesso credono che la cosa non li riguardi.
La protezione della privacy invece riguarda tutti coloro che raccolgono e usano liste di contatti ai fini professionali.
Questo articolo può interessare chi possiede un sito web che contiene:
- Moduli di registrazione utenti;
- Sezione Commenti;
- Moduli di contatto;
- Strumenti di Analisi del traffico;
- Strumenti pubblicitari (es. Google, Facebook Pixel)
- Strumenti di email marketing o di funnel marketing
- eCommerce
Il 25 maggio 2018 è entrato in esecuzione il Regolamento Generale sulla Protezione dei Dati, detto anche GDPR (General Data Protection Regulation), che interessa tutti coloro che raccolgono e utilizzano liste di contatti, in modo manuale o automatico, a scopo professionale.
Definizione di dati personali
A partire dal 25 maggio, pertanto, qualsiasi dato personale può essere utilizzato da te e dalla tua azienda soltanto se acquisito e gestito secondo i principi del GDPR.
Quali sono i dati personali? Sono tutte le informazioni che consentono di identificare una persona (nome, email, indirizzo IP, coordinate bancarie, carte di credito…) oltre alla combinazione dei dati che permette di identificare i singoli utenti durante la navigazione. Per questo motivo anche i cookie impiegati per trattare dati personali rientrano nel GDPR.
Quali sono i principi del Regolamento sulla Privacy?
Come specifica Fabiana Lo Sicco in questo articolo, all’interno del Regolamento è possibile rintracciare l’esistenza di 7 principi ispiratori.
- Principio di liceità e correttezza: è lecito trattare dati personali soltanto in alcuni casi ben specificati dal Regolamento. Tra questi, i due casi più ricorrenti sono l’adempimento contrattuale e il consenso informato.
- Principio di trasparenza: bisogna comunicare chiaramente e in modo comprensibile lo scopo e le modalità con cui i dati sono utilizzati. I dati devono anche essere facilmente accessibili dallo stesso interessato.
- Principio di limitazione delle finalità: bisogna raccogliere i dati soltanto per finalità determinate, esplicite e legittime, e il loro trattamento deve essere svolto in maniera compatibile con quelle finalità.
- Principio di minimizzazione: bisogna limitare i dati richiesti allo stretto necessario richiesto per lo scopo del loro trattamento.
- Principio di esattezza dei dati: i dati raccolti dovranno essere esatti e, se necessario, aggiornati.
- Principio di limitazione della conservazione: i dati potranno essere conservati solo per il tempo necessario a raggiungere lo scopo del loro trattamento.
- Principio di integrità e riservatezza: i dati dovranno essere sempre trattati in modo da garantire una sicurezza adeguata a proteggerli dall’utilizzo illecito o non autorizzato.
A questi 7 principi ne aggiungiamo un ottavo, molto importante perché sostiene tutta la normativa: il principio di responsabilizzazione. Se nella tua professione tratti dati personali, sei responsabile di dimostrare concretamente il rispetto di tutti i principi.
Come adeguare il tuo sito al Regolamento sulla Privacy
Per prima cosa è necessaria un’analisi dettagliata di come il tuo sito e le applicazioni collegate raccolgono e gestiscono i dati personali, sia mediante input diretto dell’utente, sia indirettamente tramite cookie.
Infatti, anche se il tuo sito contiene solo un form di contatto, bisogna considerare anche dove conservi quei dati e come li utilizzi.
L’analisi minima da cui puoi partire comprende questi aspetti:
- quali aree del tuo sito raccolgono i dati
- dove vengono memorizzati (nel tuo sito? In un sistema esterno? Quale? – e soprattutto: in quale Paese?)
- l’uso che ne fai (newsletter? Adempimenti contrattuali? Profilazione pubblicitaria?)
- per quanto tempo li conservi
- quale consenso hai ottenuto
- chi può accedere ai dati (ad esempio quali dipendenti o quali entità terze)
- sicurezza dei dati e rischi in caso di furto
Per le aziende oltre i 250 dipendenti oppure per le aziende che eseguono monitoraggio continuativo ed esteso dei dati (per esempio un’agenzia pubblicitaria o una web agency) questa analisi è obbligatoria e deve essere formalizzata nel Registro del Trattamento dei Dati, il cui formato ufficiale è stato recentemente messo a disposizione dal Garante della Privacy Italiano su modello di quello francese.
Se il tuo sito è semplice l’analisi sarà rapidissima; lo sarà un po’ meno per un sito più strutturato o per un ecommerce.
In base ai risultati ottenuti, dovrai passare all’azione per metterti in regola. Per esempio:
Rivedi e aggiorna le tue policy
Controlla e, se necessario, aggiorna la tua Privacy Policy e la Cookie Policy in modo che siano chiare e trasparenti circa lo scopo e il modo in cui usi i dati.
La sezione dei diritti dell’interessato dovrà includere alcune novità riguardanti per esempio il diritto all’oblio, alla limitazione, alla portabilità dei dati.
Per saperne di più vedi gli approfondimenti.
Se il sito è semplice e conosci bene tutte le parti che usano dati personali e installano cookie, puoi utilizzare servizi come Iubenda e generare la tua privacy e cookie policy con una spesa ridotta.
Controlla luoghi e metodi di archiviazione
Controlla e, se opportuno, cambia il metodo di archiviazione dei dati in modo da garantire che i dati siano facilmente rintracciabili ed esaminabili.
Valuta i rischi di furto
Assicurarti che i dati siano adeguatamente protetti dal rischio di furto.
Sappi che se in caso di furto di dati dei tuoi utenti, devi valutare se quel furto può ledere la libertà e i diritti degli interessati e in caso positivo devi comunicarlo al Garante entro 3 giorni dalla scoperta.
Il furto dei dati può avvenire sia mediante un’intrusione nei tuoi archivi che intercettando i dati durante la comunicazione tra il dispositivo dell’utente e il tuo sito; questo può succedere se il tuo sito è ancora in HTTP poiché il flusso dei dati non viene criptato.
Se ancora non l’hai fatto, considera di passare ad HTTPS per criptare il flusso dei dati proteggendoli dall’intercettazione (e per avere un piccolo vantaggio di posizionamento su Google).
Rivedi i moduli di contatto
Se necessario, modifica i moduli di contatto per introdurre caselle di consenso all’invio di offerte commerciali o newsletter.
Non sono consentite caselle di consenso pre-spuntate o il consenso cumulativo. Ciascun utilizzo dovrà essere oggetto di consenso specifico.
I provider di servizi di email marketing si stanno attrezzando per attivare, nei propri moduli di iscrizione alle newsletter, i consensi dettagliati. Ad esempio, Mailchimp e Sendinblue hanno aggiunto opzioni GDPR attivabili nei rispettivi pannelli di controllo.
Procurati la prova del consenso
Per i dati raccolti prima del 25 maggio, assicurati di avere la prova del consenso libero e specifico per ciascun utilizzo dei dati. Il Regolamento non specifica quali siano queste prove, quindi ci addentriamo nel mondo delle buone pratiche.
Ad esempio, nel caso di moduli di contatto con spunta di consenso per eventuali offerte commerciali, Iubenda consiglia di memorizzare il cosiddetto “time stamp” cioè la data e ora del prestato consenso, così come l’indirizzo IP del dispositivo. Inoltre, consiglia di conservare una copia del modulo in bianco a dimostrazione del consenso effettivamente prestato in modo esplicito e inequivocabile.
Se non puoi dimostrare di avere ottenuto i consensi necessari, chiedili nuovamente. Se non li ottieni, meglio rinunciare a qualche utente piuttosto che incorrere in multe salate.
Adeguamenti tecnici
Sul fronte tecnico, devi assicurarti che tutti i componenti del tuo sito siano a loro volta conformi al GDPR.
Per un sito semplice o un blog, il problema più grande può essere quello dei plugin che installano cookie di profilazione.
A questo proposito ricordiamo che il legislatore ha identificato 3 macro-categorie di cookie: i cookie tecnici, quelli di statistica e quelli di profilazione.
In generale, se il tuo sito installa solo cookie tecnici non devi chiedere il consenso preventivo.
Se invece usi Google Analytics o altro software di analisi del traffico, puoi evitare di chiedere il consenso preventivo a patto che:
- rendi l’indirizzo IP anonimo
- disattivi le funzionalità di profilazione come fascia di età, interessi, ecc
- disattivi l’identificazione di user id
- disattivi la condivisione dei dati con altri prodotti Google.
Se vuoi utilizzare Google Analytics mantenendo attive le funzioni di profilazione e l’incrocio con gli altri prodotti, entri nella casistica dei cookie di profilazione e devi modificare il sito facendo in modo che questi cookie si installino solo dopo aver ottenuto il consenso.
Questa infografica di Iubenda aiuta a chiarire cosa bisogna fare nel proprio sito, per ciascuno dei 3 tipi di cookie.
Il discorso dei cookie non è un’innovazione direttamente portata dal GDPR, ma dal 25 maggio si modificano le regole per il consenso alla loro installazione: se finora in Italia si potevano considerare accettati i cookie di profilazione mediante lo scroll della pagina (previo avviso al Garante) dal 25 maggio non sarà più necessario l’avviso ma verrà richiesto il consenso esplicito e inequivocabile.
Grazie al GDPR è aumentata, nei proprietari dei siti web, la consapevolezza che i dati dei lettori vengono in realtà inviati alle varie potenze come Google e Facebook, i cui cookie sono diffusissimi in tutti i siti web.
A questo proposito Google stesso, infatti, ha stilato una lista di componenti che aiutano a ottenere il consenso all’uso dei cookie, realmente in linea con il nuovo Regolamento Europeo sulla Privacy. Ma la lista dei plugin disponibili è in continua espansione, quindi per ora stiamo a guardare e più avanti proveremo a consigliarne qualcuno dopo averlo testato.
Per un eCommerce invece, solitamente si installa un numero maggiore di plugin per ottenere funzionalità di vendita online più avanzate. In questo caso può essere utile consultare un servizio di controllo dei plugin come questo Plugin Check, che è in grado di controllare la conformità al GDPR di oltre 300 plugin usati su Woocommerce, Prestashop e Magento.
Cosa succede in un’azienda strutturata?
Se invece lavori in un’azienda strutturata, ove il trattamento dei dati viene effettuato da diversi dipendenti, l’adeguamento al GDPR comporta procedure e adempimenti più complessi, un coordinamento centralizzato di tutte le attività di trattamento dei dati e un’adeguata formazione al personale coinvolto al fine di evitare rischi.
Le aziende oltre i 250 dipendenti sono obbligate a tenere un registro dei trattamenti dei dati personali. Tuttavia è considerata una buona pratica tenere in tutti i casi un documento dei trattamenti, per uso interno oppure da utilizzare in caso di ispezioni.
Perché mettersi in regola con il Regolamento sulla Privacy
Ti sento, sai?
Ti sento già dire “ma che sbattimento questo GDPR!!”.
Eppure, se in passato l’utilizzo indiscriminato dei dati personali poteva coglierci impreparati o venire tollerato, oggi non è più così.
Il pubblico è consapevole del valore dei propri dati e più propenso a opporsi al loro uso illecito.
La dispersione dei dati personali in archivi sparsi in tutto il mondo, la diffusione di pratiche “disinvolte”, oltre ai furti di dati (vi ricorda qualcosa Yahoo?) hanno reso necessaria l’introduzione di questo nuovo Regolamento.
Si tratta di una legge con delle sanzioni, che prevede controlli della Guardia di Finanza e, in caso di violazione, genera un contenzioso giudiziale in ambito civile e penale.
Per questo motivo, l’unica figura che può assisterti come consulente per il GDPR è un avvocato.
Il GDPR è un obbligo e un’opportunità
Mettersi in regola significa potersi difendere da eventuali contestazioni sull’utilizzo illecito dei dati.
Ma soprattutto, la tua azienda può utilizzare il Regolamento sulla Privacy come occasione per ammodernare le procedure interne e fare della Privacy una questione di brand aziendale.
Approfondimenti
Commissione Europea: Infografica sulla protezione dei dati – italiano
Guida all’applicazione del Regolamento UE 2016/679 (PDF)
Testo ufficiale completo del regolamento in lingua italiana
White Paper: GDPR e dati personali (via MailUp)
Gazzetta ufficiale 106 dell’8 maggio 2019: Adozione del Regolamento 1 che conferisce poteri al Garante in relazione a provvedimenti correttivi e sanzioni.