Guida semplice al GDPR

Perchè ho deciso di pubblicare l’ennesimo post sul GDPR? Perchè ho dedicato ore a studiarlo, ho cercato di comprendere le diverse possibili interpretazioni e raccolto tutte le informazioni in un unico documento per spiegare in modo semplice il GDPR ai miei clienti. Con questo post condivido i miei appunti.

 

Cos’è il GDPR?

Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE). Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. – Fonte: Wikipedia

Quindi, in sintesi, il GDPR è un regolamento europeo che riguarda la protezione dei dati personali e che si rivolge tanto alla presenza online che a quella offline.
Attenzione quindi, non è sufficiente adeguare il tuo sito web al GDPR per essere in regola. Anche tutti gli aspetti offline del tuo business devono essere in regola con questa normativa.

Il regolamento coinvolge chiunque abbia a che fare con dati personali. Dove per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.

Il GDPR sarà efficace a partire dal 25 maggio 2018. A partire da questa data potrebbero essere applicate pesanti sanzioni a chi non è in regola.

 

Un po’ di informazioni, in parole semplici

Qui trovi elencate un po’ di informazioni utili per metterti in regola con il GDPR.
Questo documento non ha la pretesa di essere esaustivo né di coprire ogni possibile ambito del regolamento, soprattutto NON È UNA CONSULENZA LEGALE. Ho però studiato ed approfondito, quindi sintetizzato, numerose fonti, in particolare il GDRP stesso e la Guida all’applicazione del Regolamento Europeo messa a disposizione dal Garante del trattamento dei dati personali.
Ogni sito è una realtà unica quindi se non sei convinto di avere tutto chiaro chiedi una consulenza ad un legale esperto in diritto del web.

 

IN GENERALE:

SUL WEB:

 

IN GENERALE

Registro dei trattamenti

È un registro delle operazioni di trattamento dei dati personali che riguarda tanto la tua attività online che offline. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Lo dobbiamo avere tutti? Sì, siamo tutti invitati ad averlo sebbene l’obbligo sia specifico per aziende con più di 250 dipendenti.

Cosa deve contenere

  • Identità e dati di contatto del Titolare del trattamento (ed eventualmente del suo Rappresentante).
  • Dati di contatto del Responsabile protezione dati (dove previsto).
  • Finalità del trattamento.
  • Descrizione delle categorie di interessati.
  • Descrizione delle categorie di dati personali trattati.
  • Destinatari o categorie di destinatari dei dati.
  • Eventuale trasferimento dei dati all’estero (qui, per quanto riguarda il web, devi indicare per esempio Mailchimp, MailerLite, Google Analytics, Facebook, ecc…).
  • Periodo di conservazione dei dati.
  • Descrizione generale delle misure di sicurezza tecniche e organizzative adottate, che devono garantire un livello di sicurezza adeguato al rischio del trattamento.

 

Consenso

Con l’entrata in vigore del GDPR il consenso dovrà sempre essere esplicito (sia per dati sensibili che per la profilazione) e dimostrabile. Inoltre deve essere libero, specifico (non vale quindi chiedere un solo consenso per tutto, come abbiamo fatto fino ad oggi), informato e inquivocabile. Non è consentito il tacito o presunto consenso. Il consenso deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Inoltre il consenso al trattamento del dati non può essere fornito da un soggetto con meno di 16 anni di età.

Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutte le caratteristiche elencate qui sopra.

 

Diritti degli interessati

È necessario rispondere ad un interessato che esercita i suoi diritti entro il termine di 1 mese. La risposta deve essere scritta, comprensibile, concisa, trasparente e facilmente accessibile. Deve usare un linguaggio chiaro e semplice.

Diritto di accesso: il diritto di ricevere una copia dei dati personali oggetto del trattamento

Diritto all’oblio: il diritto alla cancellazione dei propri dati personali in forma rafforzata. Se sono stati pubblicati, tutti i titolari del trattamento dovranno eliminarli.

Diritto alla portabilità dei dati: il titolare del trattamento deve essere in grado di trasferire i dati portabili ad un altro titolare indicato dall’interessato. Questo diritto non si applica agli archivi cartacei.

 

Data protection by default and by design

È necessario prevedere, a monte, le garanzie indispensabili a soddisfare i requisiti richiesti dal GDPR e a tutelare i diritti degli interessati. Sono pertanto necessari un’analisi preventiva ed un impegno applicativo.

 

Notifica delle violazioni

Eventuali violazioni dei dati personali, se comportano rischi, devono essere notificate all’Autorità di controllo entro 72 ore. Se il rischio è ritenuto elevato, devono essere informati anche gli interessati. Ogni violazione, anche se non notificata, deve essere registrata e documentata.

 

Soggetti: Titolare del trattamento, responsabile e sub-responsabile

Titolare del trattamento: colui che decide il motivo e le modalità del trattamento dei dati e ne è giuridicamente responsabile.

Responsabile del trattamento: colui che elabora i dati personali per conto del Titolare. Viene nominato dal Titolare con un contratto giuridicamente valido. Ha conoscenza specifica della materia e può attuale le misure idonee per soddisfare il GDPR. L’hosting che ospita il tuo sito è Titolare dei tuoi dati e Responsabile dei dati che raccogli dai tuoi clienti tramite il sito ospitato sui suoi server.

Sub-responsabile del trattamento: può essere nominato dal Responsabile solo se questo è stato autorizzato a farlo, con contratto scritto, dal Titolare. Risponde direttamente al Responsabile.

 

SUL WEB

Privacy Policy

È il primo compito e il più importante. Devi ricontrollare questa pagina, riscriverla e sistemarla in modo che sia più dettagliata possibile. Devi informare gli utenti su ogni cookie di profilazione o servizio terzo che utilizzi, devi informare su cosa fai con i dati degli utenti (newsletter, email marketing, Facebook Ads, Google Ads, ecc). Le persone devono sapere esattamente cosa fai coi loro dati e come possono richiedere la cancellazione.
Ti consiglio di scrivere questa pagina in modo molto chiaro, semplice e senza paroloni in legalese. La pagina Privacy Policy deve essere linkata in tutti i form presenti sul tuo sito (o landing page esterne) dove raccogli dati, anche solo l’indirizzo mail degli utenti.

Cosa non può mancare nella Privacy Policy

  • Identità e dati di contatto del Titolare del trattamento dei dati (ed eventualmente del suo Rappresentante). Inserisci sempre l’indirizzo fisico della sede legale della tua attività o la tua residenza. Sconsiglio di lasciare solo nome e mail.
  • Dati di contatto del Responsabile protezione dati (dove previsto).
  • Finalità del trattamento.
  • Destinatari o categorie di destinatari dei dati.
  • Eventuale trasferimento dei dati all’estero (qui devi indicare per esempio Mailchimp, MailerLite, Google Analytics, Facebook, ecc…).
  • Periodo di conservazione dei dati.
  • Esplicitare il diritto degli interessati a richiedere la cancellazione dei dati e a presentare un reclamo all’Autorità di controllo.
  • Indicare la presenza di eventuali attività di profilazione e i motivi del loro utilizzo (es. Facebook Pixel).

Come deve essere scritta la Privacy Policy?

Il Garante per la protezione dei dati personali ci informa che la Privacy Policy deve essere concisa, trasparente, intelligibile e facilmente accessibile. Inoltre deve essere scritta con un linguaggio chiaro e semplice, presentata in forma scritta, preferibilmente in formato elettronico e deve essere fornita prima di raccogliere i dati.

 

Newsletter e Email Marketing

Gran parte dell’ansia da GDPR ruota intorno alle newsletter ma se non hai mai acquistato o inserito manualmente indirizzi mail di persone che non hanno scelto non modo esplicito di essere iscritte, allora sei già quasi a posto.
Ti consiglio di fare una esportazione della tua lista di iscritti (qui MailChimp e MailerLite) e archiviarla insieme agli altri documenti relativi al GDPR. Si tratta di un file .csv che puoi aprire con Excel o Google Drive e in esso i campi più importanti sono quattro: orario e IP dell’opt-in e orario e IP della conferma di iscrizione (double opt-in).

Se invece utilizzi la lista di iscritti alla newsletter per fare pubblicità su FB, per esempio, questo deve essere dichiarato nella tua Privacy Policy e il consenso deve essere richiesto esplicitamente con l’invio di una nuova mail.

 

Form di contatto sul sito

In tutti i formm di contatto deve sempre essere presente una checkbox, non pre-spuntata, che chieda di leggere e accettare la Privacy Policy. Senza questo consenso il form non deve inviare il messaggio. Questo consenso deve restare tracciato e devi poterlo dimostrare.

Come tracciarlo? Il modo più semplice è conservare la mail che ricevi e in cui deve risultare scritto che l’utente ha accettato la Privacy Policy. Il modo più avanzato è la creazione, attraverso un automatismo, di un database di tutti i contatti con data, ora e IP dell’invio del messaggio tramite form e accettazione dell’informativa privacy.

 

Commenti al blog

Deve sempre essere presente la check-box per accettare la Privacy Policy. Senza questo consenso l’utente non deve poter commentare. Questo consenso deve restare tracciato e devi poterlo dimostrare.

 

Facebook Pixel

Se sul tuo sito hai installato il Pixel di Facebook devi fare in modo che questo non tracci gli utenti fino a che non avranno esplicitamente acconsentito al tracciamento. Anche in questo caso devi poter mantenere traccia dei consensi ricevuti.

 

Google Analytics

Per prima cosa devi accertarti di aver anonimizzato gli IP in Google Analytics in modo da impedire la memorizzazione degli IP degli utenti che navigano sul tuo sito.

Quindi tratta Google Analytics come il Facebook Pixel: fai in modo che il comportamento degli utenti non venga tracciato fino a che non avranno esplicitamente dato il consenso. Anche in questo caso tieni traccia dei consensi ricevuti.

 

Google Maps

Google Maps Traccia e localizza gli utenti sul tuo sito. Bisogna fare in modo che le persone possano rifiutare questo tracciamento.

 

YouTube

Se copi e incolli nel tuo sito link di video provenienti da YouTube questo installa cookie e traccia il comportamento dei tuoi utenti. Bisogna fare in modo che le persone possano rifiutare questo tracciamento.

 

E-commerce e vendita online

Se hai un e-commerce o effettui vendita online di servizi, nella Privacy Policy devi indicare che registri i dati del checkout per l’invio dei prodotti/servizi e per concludere la transazione.

La realtà della vendita online è complessa e articolata e ti consiglio di chiedere una consulenza su misura ad un legale.

Indicativamente, quali informazioni dei clienti condividi con il corriere che utilizzi per la spedizione? I dati della carta di credito vengono passati a Paypal? In che modo? Informi i tuoi clienti del fatto che i loro dati saranno condivisi anche con il tuo commercialista?

 

Vuoi imparare a creare e gestire in autonomia il tuo sito WordPress? Iscriviti al mio corso gratuito WordPress in Pillole.

Ljuba Daviè
Ljuba Daviè
Mi chiamo Ljuba e sono una freelance di Torino. Realizzo siti WordPress, offro consulenze, formazione e gestione professionale dei Social Network ai piccoli business.

WordPress in Pillole

Il corso gratuito per imparare a creare e gestire un sito WordPress.

Scopri di più...

Evviva! Corri a controllare la tua mail.