Cosa devi fare sul tuo sito per essere in regola col nuovo regolamento europeo.
Oggi, durante la pausa pranzo stavo guardando una puntata della Signora in giallo, in cui la Fletcher si trovava in una biblioteca e, conversando con la responsabile, il suo intento era di scoprire chi fosse in possesso di un determinato libro. La bibliotecaria, capendo le intenzioni, le disse, con fare amichevole e complice: “Non posso darle questa informazione… ma se lei si trovasse davanti allo schermo del computer in cui si trova questo dato, in mia assenza… beh sarebbe successo e basta!”.
Al che, ho pensato, ecco come far venire i capelli bianchi ad un Garante della Privacy. Ma passiamo ai fatti.
Che cos’è
Il GDPR (Regolamento Generale sulla Protezione dei Dati) è un regolamento (precisamente il Regolamento Ue 2016/679) con il quale la Commissione Europea tende a rendere più omogenea e a rafforzare la protezione dei dati personali dei cittadini Europei e che vi risiedono, sia dentro che fuori i confini UE. Questo regolamento entrerà in vigore il 25 maggio 2018. Per chi pensasse che tutto questo sia stato attuato per evitare in futuro quello che è successo a Facebook e la vendita di dati, sappia che è stato pubblicato sulla Gazzetta Ufficiale Europea ancora il 4 maggio 2016, quindi molto prima dei fatti successi qualche mese fa sulla vendita di dati personali da parte dell’azienda di Zuckerberg.
Quando si applica
Il GDPR si applica quando:
- la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
- l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
- l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.
Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi nell’Unione Europea o meno.
Il GDPR è pienamente applicabile a partire dal 25 maggio 2018.
Glossario
Ecco le definizioni che userò più avanti:
utente: la persona che concede e da il consenso al trattamento dei dati personali al titolare del trattamento o al responsabile del trattamento
titolare del trattamento: persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti
responsabile del trattamento: persona fisica o giuridica coinvolta nel trattamento dei dati per conto del titolare del trattamento
Faccio un esempio per essere più chiara: l’utente si registra e lascia il suo consenso al trattamento dei dati per richiedere un servizio dall’azienda. I dati sono salvati su un data base di terze parti. Il titolare del trattamento userà i dati dell’utente per erogare il servizio. Il responsabile del trattamento sarà l’azienda che gestisci il data base con i dati.
Cosa bisogna fare
Per chi ha un account registrato per usufruire dei servizi di Google deve accettare l’Emendamento sull’elaborazione dei dati e seguire le istruzioni che ho già scritto
qui.
Inoltre, Google ha affrontato la questione anche di detenzione dei dati statistici dei nostri siti in nostro possesso attraverso Analytics, e ne parlo più approfonditamente
qui.
Ho già parlato di
adempimenti per quanto riguarda un sito internet e la GDPR e di come adeguare la propria
azienda, ma adesso vorrei riassumere in qualche riga un po’ tutta la questione.
E per chi ha un sito internet cosa serve?
Sicuramente sono necessarie le cookie e le privacy policy, ma quelle generate finora non bastano più. Devono essere molto più dettagliate sull’uso dei cookie e sul trattamento dei dati.
I cookie devono essere bloccanti in maniera preventiva e quindi attendere un consenso prima di rilasciare statistiche o profilazione.
Solo i cookie tecnici, che servono al mero funzionamento delle procedure del sito, possono non essere mai bloccati, anche se è buona norma segnalarne l’uso.
Per quanto riguarda la privacy, ogni modulo di raccolta dati, dalla newsletter al modulo di richista informazioni deve contenere un check che raccolga il consenso e che spieghi come verranno usati i dati richiesti. In ogni caso, vanno richiesti solo i dati strettamente necessari all’erogazione del servizio.
Quando si creano delle newsletter, nella mail informativa che parte, va inserito un link per dare la possibilità alla disiscrizione, automatica e libera.
Per chi ha un ecommerce, marketplace o un sito che gestisce i membri (annunci, membership o qualsiasi altro sito web più complesso) va creata una pagina o documento web per descrivere approfonditamente i Termini e le condizioni, che non sono altro che regole, descrizione del flusso di dati, condizioni del servizio che stanno dietro al sito internet.
I dati vanno trattenuti solo fino a quando servono all’erogazione del servizio.
Non si può raccogliere un certo dato con una certa finalità e poi usare tale informazione per altri scopi non espressamente e preventivamente consentiti.
Sicuramente ci saranno dei benefici
Non tutto il male viene per nuocere. E anche in questo caso, secondo me, bisogna vedere il lato positivo delle cose. Se le aziende saranno chiare e trasparenti potranno beneficiare di una maggiore fiducia da parte dei clienti ed essere competitivi rispetto ai concorrenti che non sono ancora conformi.
Se anche tu, hai un sito internet, e vuoi metterti in pari con la normativa,
contattami.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!