GDPR regolamento europeo-trattamento dati personali

Il GDPR è il nuovo regolamento europeo in materia di protezione di dati personali che entrerà in vigore il 25 maggio 2018.

La sigla (in italiano RGPD) è l’acronimo di Regolamento Generale Protezione Dati, che fa capo al Regolamento UE 2016/679, una legge che riguarda tutti gli stati appartenenti all’unione e che integra le normative nazionali precedenti; nel nostro caso, la legge sulla privacy (Dlgs 196/2003).

In questo articolo cercheremo di fare un po di chiarezza sul nuovo regolamento, visto che riguarda il trattamento, interamente o parzialmente automatizzato, dei dati personali.

Di conseguenza, coinvolge tutti i siti realizzati in WordPress, dai semplici siti vetrina con un modulo di contatto, fino a siti più complessi con eCommerce, sistemi di newsletter, che registrano i dati con Google Analytics e così via.

Secondo la normativa è dovere di tutti:

  1.  Conoscere le regole fondamentali sul trattamento dei dati personali.
  2. Accertarsi che il proprio sito rispetti la nuova normativa.
  3. Assicurarsi che il trattamento sia lecito (ed essere in grado di provarlo).
  4. Assicurarsi che tutti gli interessati abbiano fornito (dove necessario) il proprio consenso al trattamento dei dati, in modo chiaro ed esplicito.
  5. Aggiornare la pagina di privacy in modo che sia semplice e comprensibile e in modo che fornisca tutte le informazioni sul trattamento dei dati degli utenti.
  6. Informare i tuoi utenti.

Prima di cominciare però, occorre una precisazione: la cosa migliore da fare per essere assolutamente certi di rispettare le regole, è prendere visione della normativa sulla pagina ufficiale del garante della privacy e chiedere una consulenza esterna personalizzata.

Questo perché ogni realtà è diversa, ogni sito è diverso e ogni caso andrebbe analizzato nel dettaglio.

In questa guida cercheremo di delineare gli aspetti peculiari del GDPR che possono interessare la maggior parte dei siti web ma, non essendo il nostro settore di competenza, possiamo solo offrire gli spunti necessari per verificare la tua posizione.

In più conosceremo uno strumento che consente, alle realtà con bassissimo impatto e ai siti “vetrina”, di mettersi in regola autonomamente.

Nuova Legge Privacy: conosciamo meglio il GDPR

L’obiettivo del GPDR è di regolamentare i principi fondamentali applicabili al trattamento dei dati personali.

Riassumiamone i punti essenziali:

1. Trattamento lecito e trasparente nei confronti dell’interessato

L’utente deve esprimere il proprio consenso esplicito al trattamento dei dati per specifiche finalità.

Sono quindi vietate le caselle pre-spuntate e i plugin per la gestione dei cookie che “non funzionano”.

Deve anche essere stato precedentemente informato di tali finalità e deve poter revocare il proprio consenso in ogni momento.

Il titolare dei dati deve anche poter dimostrare che l’interessato ha prestato il proprio consenso (come tramite il double-optin di Mailchimp).

NOTA: I consensi raccolti prima del 25 maggio rimangono validi se presentano tutte le caratteristiche indicate. Se così non fosse dovrai adoperarti per richiederlo nuovamente facendo in modo che sia conforme.

WordPress ha introdotto una nuova funzionalità che trovi sotto Strumenti > Esporta dati personali.

Da qui puoi salvare tutta la lista dei tuoi utenti e inviare una mail a quelli che devono essere verificati.

2. Adeguamento informativa Privacy

Nella tua pagina privacy dovrai indicare i dati di contatto del Responsabile della protezione dati (puoi essere anche tu) e di tutte le terze parti che sono eventualmente coinvolte.

Il responsabile dovrà avere una password dedicata (es privacy@webipedia.it) e accertarsi che il sito sia sempre sicuro:

  • Assicurarsi di avere sempre installato l’ultima versione di WordPress, temi e plugin.
  • Rimuovere temi e plugin non utilizzati.
  • Utilizzare solo servizi di hosting wordpress professionali, dotati di ogni sistema di sicurezza e strumenti di backup automatici.
  • Utilizzare password supersicure e, in caso di siti che trattano dati personali, valutare l’installazione di un firewall aggiuntivo come Sucuri.

Tutti questi argomenti sono trattati in un articolo dedicato alla sicurezza WordPress.

Inoltre dovrai indicare che tipo di dati raccogli, perché lo fai e con quali modalità.

I dati possono essere molti e possono essere raccolti volontariamente o automaticamente.

Nel primo caso rientrano i dati che immette l’utente come quando si registra su un sito, quando effettua un acquisto, quando si iscrive ad una newsletter, quando compila un modulo informazioni e così via.

Nel secondo caso rientrano tutti i dati raccolti dai cookie che, oltre a quelli indispensabili per la navigazione, possono variare moltissimo a seconda del tipo di sito che hai.

Quello che devi fare è un’attenta analisi della tua piattaforma analizzando diversi aspetti:

  • Hai qualche modulo di contatto sul sito?
  • Hai un ecommerce in cui registri dati di pagamento?
  •  Hai un sito WordPress in cui si registrano utenti?
  • Utilizzi un sistema di Newsletter?
  • Fai raccolta e analisi di dati con Google Analytics o simili?
  • Utilizzi altri sitemi di tracciamento come Mouseflow?
  • Hai installato qualche plugin che potrebbe raccogliere qualche dato sensibile?
  • Sei collegato ai social network?

Cerca quindi di informarti sui i servizi e plugin che utilizzi e cerca di capire come si sono comportarti per essere in regola con il GDPR.

Tutti i servizi migliori dedicati a WordPress dovrebbero aver già informato tutti via newsletter, specificando anche i casi in cui sono necessarie azioni da parte tua.

Quando hai chiara la situazione, devi riportare tutto nella tua pagina privacy, in modo da essere completamente trasparente con i tuoi utenti.

Un’altra informazione da integrare riguarda il periodo di conservazione dei dati che non devono essere trattati oltre lo stretto necessario.

La pagina privacy deve essere scritta in modo conciso, trasparente, comprensibile a tutti e facilmente accessibile da ogni pagina del sito.

Dalla versione 4.9.6 WordPress ha introdotto una nuova tab Impostazioni > Privacy.

È qui che dovrai selezionare quella dedicata.

Una volta che l’hai impostata, wordpress ti darà dei suggerimenti per compilare correttamente la tua pagina privacy con una piccola guida da cui puoi estrapolare parti di testo.

3. Diritti degli interessati

Il titolare del trattamento dei dati deve adottare tutti gli accorgimenti necessari per informare i propri utenti, in maniera semplice e chiara.

I dati dovranno essere sempre accessibili e, se un utente lo richiede, dovrai essere in grado di fornire una copia di quelli che sono trattati.

Inoltre si devono poter modificare in ogni momento e deve esserne garantita la sicurezza da utilizzi non autorizzati o illeciti, dalla perdita o dal danno accidentale, anche nel caso di servizi di terze parti.

Gli stessi utenti potranno esercitare il diritto all’oblio, ossia la cancellazione dei propri dati online.

Trovi una tab per cancellare i dati personali nella nuova sezione Strumenti > cancella dati personali.

I dati degli utenti non possono essere trasferiti, se non con il consenso dell’interessato.

4. Titolare del trattamento dei dati

Il regolamento non si applica a tutti allo stesso modo.

Gli obblighi da rispettare sono commisurati al tipo di impatto e di rischio che la tua attività comporta.

Sarà compito tuo dimostrare che hai rispettato tutti i criteri e le misure di sicurezza che la legge prevede.

Il primo fra questi criteri è riassunto nell’espressione inglese “data protection by default and by design”.

Secondo questo concetto sei tenuto a prevedere fin dall’inizio tutte le garanzie indispensabili per soddisfare il regolamento.

C’è da dire che, se ci si affida a servizi qualificati a livello mondiale, il livello di controllo e di sicurezza sarà maggiore, ma invito chi fa uso di hosting, plugin o servizi di email marketing gratuiti o poco conosciuti, a verificare bene il livello di professionalità e, nel caso, di valutare eventuali alternative, perché le sanzioni sono parecchio salate.

Violazione dati

Nel caso di violazione dei dati (data breach) che può provocare un rischio per la sicurezza, dovrai notificare entro 72 ore l’accaduto sia all’autorità di controllo tramite PEC, sia agli interessati.

Ogni violazione dovrà essere documentata, anche se non è stata inviata alle autorità perché ritenuta non rischiosa e dovrà essere resa disponibile al Garante in caso di richiesta.

Impara a fare da solo

Come capire se sei in regola con il GDPR?

Siamo arrivati alla fine di questo articolo ed è molto probabile che avrai le idee ancora un pò confuse.

Come ti ho anticipato, tematiche come queste non sono di nostra competenza e il modo migliore per conoscere a fondo l’argomento è leggere la documentazione ufficiale:

L’assoluta certezza di essere in regola, te la può dare solo un consulente specializzato.

La rete però si è già mossa per offrire le prime risposte e si trovano già dei plugin dedicati al GPDR che risolvono aspetti come accettazione cookie, permesso agli utenti di eliminare i propri dati etc.

Ecco i più popolari:

Online si trovano anche servizi come GDPR Giga che consentono, alle realtà fisiche con basso rischio e ai siti “vetrina” con bassissimo impatto sui dati personali, di adeguarsi autonomamente e di adempiere agli obblighi di legge.

Il servizio GDPR Giga

  • Fornisce un corso con i principi fondamentali e regole del GDPR e un tutorial alla compilazione (1 ora di video).
  • Aiuta a verificare la tua situazione con un’analisi preliminare e un questionario. In caso risultassi conforme (attività con basso impatto sui dati personali), ti suggerisce cosa implementare.
  • Documenta il fatto che hai adempiuto ai primi due punti e consente di dimostrarlo nel caso fosse richiesto dalla pubblica autorità.
  • Fornisce i modelli di base precompilati per la documentazione necessaria.
  • Genera una privacy policy adatta ai siti vetrina.

Questo tipo di servizio però NON è adatto a tutti, ma solo alle realtà che rispecchiano determinate caratteristiche:

  • Un numero minimo di dipendenti e collaboratori.
  • Un impatto minimo sulla protezione dei dati stessi e sulla libertà delle persone interessate.
  • Dati personali trattati con strumenti informatici sicuri e a norma.
  • I dati non devono essere trasferiti al di fuori dell’Unione Europea.

Per verificare che la tua attività rispecchi tutti i requisiti fai il test gratuito che trovi su  GDPR Giga e in base al risultato, puoi iscriverti al servizio.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *