Blog - Ultime notizie

Le novità introdotte dal nuovo Regolamento Privacy Europeo (GDPR)

Che cos’è

E’ il regolamento Europeo (atto legilativo vincolante che deve essere applicato così com’è in tutte le sue parti in tutti i Paesi membri) generale sulla protezione dei dati (2016/679) che rimpiazza la normativa nazionale attualmente in vigore, il D.Lgs. 196/2003 “Il codice Privacy”.
Il regolamento entrerà in vigore dal 25 maggio 2018 e il trattamento dei dati personali ed in generale della privacy, subirà delle modifiche che andrò a trattare in questo articolo.

Informativa

Va creata una informativa, un documento, una pagina web a seconda dei casi e del contesto in cui ci troviamo, in cui va espresso chiaramente ed in termini semplici come il dato verrà usato e a quali scopi. Per esempio, se un’azienda raccoglie il nome, il cognome e l’indirizzo email per un concorso a premi deve dichiarare se userà questi dati per spedire a quell’indirizzo una notifica di vincita, se la userà per scopi di marketing aziendale o di terze parti (cioè se trasferirà il dato a terze parti e a chi le trasmetterà) e soprattutto per quanto tempo tratterà all’interno del proprio data base questa informazione.

Consenso

Come già da prima, il consenso al trattamento dei dati va dato prima di fare qualsiasi altra azione. Senza di esso non si può procedere al trattamento dei dati nè si ha nessun diritto al trattenerli. Finora il consenso è stato preventivo ed inequivocabile. Secondo il GDPR, il consenso deve essere d’ora in poi:
Libero, specifico, informato, inequivocabile, sempre revocabile.
Il titolare ha l’onere di dimostrare di aver ottenuto il consenso dell’interessato secondo i requisiti di legge.
L’età minima per i minori per poter prestare il proprio consenso in internet e nei social media è di 16 anni. Se gli interessati sono più giovani, servirà l’accettazione da parte del genitore o di chi ne fa le veci.

La prova del Consenso

Il Titolare dovrà essere in grado di dimostrare che ha acquisito il valido consenso dell’utente.
In particolare, il Titolare dovrà essere in grado di dimostrare:
  • chi ha prestato il consenso (se online, è preferibile usare identifcativi univoci e non indirizzi IP, come è attualmente prassi);
  • il momento in cui il consenso è stato prestato (alcune Autorità indicano come best practice l’uso di timestamp o di una marca temporale);
  • le modalità con cui il consenso è stato richiesto;
  • a quali trattamenti l’interessato ha prestato il proprio consenso, unitamente ai documenti (privacy/cookie policy) che ha accettato.

La portabilità del dato

L’interessato ha diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile e riutilizzabile per poterli conservare e/o trasferire ad altro titolare.
Il trasferimento può essere anche gestito direttamente tra i titolari coinvolti, se tecnicamente fattibile. Il diritto alla portabilità riguarda esclusivamente i dati:
  • trattati con strumenti automatizzati;
  • il cui trattamento si basa sul consenso dell’interessato o su contratto;
  • trasmessi direttamente dall’interessato (non i dati derivati, o “metadata”).
In questo caso, per esempio, l’interessato può richiedere che i propri dati vengano trasferiti da un gestore di telefonia all’altro per passaggio di contratto.

Il Diritto all’oblio e conservazione limitata

L’utente ha diritto di richiedere al titolare la cancellazione dei dati che lo riguarda in qualsiasi momento, se i dati non sono più necessari per gli scopi per cui sono stati raccolti, se sono trattati illecitamente o, per esempio, se l’interessato si oppone lecitamente al loro trattamento.
Le richieste di cancellazione dell’interessato possono essere disattese quando potrebbero compromettere altri diritti o interessi. Per esempio:
  • quando entra in gioco il diritto della libertà di espressione ed informazione;
  • per adempiere ad un obbligo legale, per ragioni di pubblico interesse (anche nel settore della sanità pubblica) o nell’esercizio di pubblici poteri;
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Comunque il dato va trattenuto soltanto finchè serve allo scopo per cui è stato raccolto: dopo di che va cancellato.

Adempimenti off line: un nuovo approccio

In sostanza ci viene chiesto di cambiare il nostro approccio aziendale e di agire Privacy First. Non si deve più pensare al trattamento dei dati come ad una serie di adempimenti formali. Ma di un nuovo processo produttivo aziendale rivisto in base alla normativa sulla privacy. Il GDPR, infatti, attribuisce un ruolo centrale alla responsabilizzazione (accountability) del titolare e del responsabile del trattamento atto a minimizzare il ricorso al dato, utilizzando sempre l’approccio meno invasivo in termini di dati personali (privacy by default).
Inoltre si introduce un altro termine, Privacy by design, cioè l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.
E in generale va fatta:
  • una Valutazione basata sul rischio
  • e va tenuto un Registro dei trattamenti per aziende con più di 250 dipendenti
Privacy by design e privacy by default quindi, cioè l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.

DATA PROTECTION IMPACT ASSESSMENT (DPIA)

I soggetti coinvolti e i casi in cui è necessario
Il DPIA è il processo interno all’organizzazione che permette al titolare:
  • di valutare preventivamente i rischi inerenti ad una nuova attività di trattamento (procedure e misure di sicurezza da adottare, stima dei rischi dei diritti degli interessati durante il trattamento) se durante questo momento il titolare si accorge che trattando il dato c’è un elevato rischio di, per esempio, compromissione di altri diritti, deve avvisare il Garante della Privacy;
  • di rendere effettivi i principi di privacy by design e privacy by default.

REGISTRO DEL TRATTAMENTO

E’ un documento obbligatorio solo per organizzazioni con più di 250 dipendenti.
E deve riportare, riassumendo:
  • Quali dati vengono trattati
  • Le finalità del trattamento
  • Chi accede ai dati (all’interno e all’esterno)
  • Se c’è trasferimento all’estero
  • Termini di cancellazione dei dati (data retention)
  • Misure di sicurezza adottate

Data Protection Officer (DPO)

Il Regolamento prevede una nuova figura con una conoscenza approfondita della legislazione in materia di protezione dei dati: il Data Protection Officer (DPO), cioè del Responsabile della protezione dei dati personali, il cui ruolo comprende l’assistenza al titolare del trattamento o al responsabile del trattamento per il controllo della conformità interna al GDPR. Questo soggetto è obbligatorio quando chi tratta i dati sia un soggetto pubblico e, per i privati, quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.

Data Breach Notification

Il Data Breach Notification è obbligo di informare (entro 72 ore dall’accaduto) le autorità delle eventuali violazioni dei sistemi di sicurezza che possano determinare in maniera accidentale o illecita la distruzione e conseguente perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati.
La normativa è piuttosto complessa. Se hai dei dubbi per quanto riguarda se il tuo sito è adeguato al nuovo Regolamento non esitare a contattarmi.
0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Contattami se ti servono informazioni relative a Le novità introdotte dal nuovo Regolamento Privacy Europeo (GDPR)







Servizi correlati

Moduli e GDPR

Moduli e GDPR

GDPR, Privacy policy, cookie policy, moduli per la raccolta dei dati conformi allo standard della privacy policy, analisi e determinazione di quello che serve per essere in regola col regolamento GDPR.

Altri servizi

API

API

Uso e gestione delle varie librerie Api esistenti: Google Analytics, Google Maps, Fatture in cloud, Sendowl, Ebay, Amazon, ecc.. Lettura di dati tramite JSON, ecc…

Conoscenza di CMS

Conoscenza di CMS

I principali CMS che conosco sono: Wordpress, Drupal, Prestashop, Magento. In questa breve lista li ho messi in ordine di esperienza acquisita.

Creazione di Landing Page

Creazione di Landing Page

La landing page è una pagina specifica che viene raggiunta da un visitatore dopo aver cliccato solitamente su un link o su un annuncio pubblicitario. E’ strutturata in modo da espandere l’argomento trattato nel link o annuncio e per convertire...

Gestire un sito web

Gestire un sito web

Hai commissionato un sito web, con gallerie fotografiche, slide show, animazioni JQuery e lo lasci invariato per anni? Pensi che il tuo biglietto da visita in internet debba rimanere statico come la brochure che hai fatto stampare e che viene...

Invio email, gestione, creazione, G Suite

Invio email, gestione, creazione, G Suite

Gli strumenti per l’invio dei messaggi elettronici sono molti e tutti diversi. Alcuni mettono a disposizione molti strumenti, altri meno. Alcuni sono flessibili, altri meno. E comunque può succedere che l’email non arrivi al destinatario per i molteplici motivi: DKIM,...

Moduli e GDPR

Moduli e GDPR

GDPR, Privacy policy, cookie policy, moduli per la raccolta dei dati conformi allo standard della privacy policy, analisi e determinazione di quello che serve per essere in regola col regolamento GDPR.

Search Engine Optimization

Search Engine Optimization

Uso tutte le tecnologie necessarie per ottimizzare il tuo sito internet nei motori di ricerca: Metatag, Simple XML Sitemap, Redirect, Real-time SEO, Google Analytics, RDF, Schema.org Metatag.

Servizi di Hosting

Servizi di Hosting

Ti trovi con un sito internet già portato a termine ma che sembra lento, poco navigabile (in termini di velocità) o a volte ti trovi schermate di errore (solitamente di memory limit) che non sai come interpretare, ma che spariscono...

Social Network, Google Merchant

Social Network, Google Merchant

Come usare i social network in modo da rendere in tuo sito internet interconnesso ad essi. Invio di articoli ai Social Network, invio prodotti attraverso i feed, Google Merchant.

Standard di sicurezza

Standard di sicurezza

Valutare se un sito è stato bucato o meno, quali standard di sicurezza usare per evitare che questo succeda di nuovo. Applicare il certificato HTTPS alla navigazione e fare in modo che tutte le url vengano redirette in navigazione sicura,...

Tutti i prodotti Google

Tutti i prodotti Google

Uso quotidianamente tutti i prodotti Google e ne sperimento le loro potenzialità. Tutti i giorni ho a che fare con Gmail, Gsuite, Google Analytics, Google Tag Manager, Google Search Console, Drive, Youtube, My Business, Maps, Documenti, Fogli (Google Sheet), Presentazioni,...

Hai un problema con il web?

Il tuo sito internet non vuole funzionare? Vuoi rinnovarlo o sistemarlo? Hai un’idea di integrazione ma non sai se è possibile realizzarla o meno?

Testimonianze

Ho avuto il piacere di collaborare con Sara in diversi miei progetti. Ho sempre apprezzato la cura e l’impegno con cui prende in carico i suoi compiti. Tra le sue doti migliori spiccano la puntualità e la disponibilità nel risolvere questioni non prettamente attinenti alla sua area…

Incredibile mente. Non conosce sosta finchè la problematica non viene risolta. Ha trasformato il mio sito vetrina costruito con un CMS desueto in un Ecommerce Drupal + Ubercart. I prodotti sono stati importati nel nuovo CMS attraverso un import e un crawler interamente scritto a mano.

Stavo avendo problemi con la Web Agency a cui mi ero affidato. Mi avevano promesso un sistema di booking online completamente personalizzato. Ma non riuscivano a portarlo a termine. Per fortuna, ad un certo punto del progetto, è intervenuta Sara, che lo ha portato a termine.

Skills in cui sono forte

PHP7
Html5
Sviluppo web
Google Analytics
API di qualsiasi tipo
Google Tag Manager
jQuery
Css3
Trasferimento e acquisto domini
Wordpress
Drupal

Lasciami una recensione