Il General Data Protection Regulation è il regolamento europeo sulla protezione dei dati e sulla gestione della privacy che entrerà in vigore a partire dal 25 maggio 2018: si tratta di un considerevole cambiamento nella cybersicurezza finalizzato a tutelare ulteriormente i dati personali dei cittadini europei.
Poiché si tratta di un regolamento europeo, verrà recepito dal nostro Paese in maniera obbligatoria e senza interventi di adeguamento da parte dei legislatori nostrani: ogni Stato europeo dovrà adattarsi a istituire una società preposta a verificare l’applicazione alla normativa e le misure correttive da fare osservare in caso di eventuali violazioni.
Con il GDPR si giunge a un nuovo tassello di legislazione europea sul trattamento dati.
Il regolamento – che diverrà esecutivo il 25 maggio di quest’anno senza possibilità di ritardi, essendo appunto un’attuazione senza necessità di adattamento – punta a offrire nuove modalità di tutela ai cittadini europei che cedono i propri dati personali a terzi, e renderà più uniformata l’attività di trattamento dati nei vari Stati membri.
Benché i principi di tutela privacy restano gli stessi degli anni precedenti, ora si nota una mano maggiormente calata sulle assicurazioni da offrire ai proprietari dei dati personali sulla correttezza di trattamento delle loro informazioni.
I proprietari e i gestori dei siti dovranno quindi rimboccarsi le maniche per adempiere alla nuova normativa sulla cybersicurezza, il che non è detto che sarà semplice per coloro che non sono ferrati in materia giuridica.
Quali sono gli obblighi del GDPR per i proprietari dei siti?
La Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali disponibile sul sito del Garante della Privacy fornisce una panoramica esaustiva sugli obblighi che attendono imprese e professionisti. Essa mette a punto un sistema articolato di gestione dei dati personali che vede il Titolare dei dati personali tenuto a dimostrare di rispettare l’applicazione al GDPR.
Ciò significa che imprese ed enti articolati dovranno individuare un Data Protection Officer, un responsabile del trattamento dati appositamente previsto nella gerarchia aziendale per rispondere alle numerose criticità informative, gestionali e di rendicontazione.
Il nuovo Regolamento europeo sulla privacy prevede sanzioni piuttosto pesanti: possono arrivare fino a 20 milioni di euro oppure al 4{d97bc50ceab22245aad044fae9685ca472fc4fc5b1e8f57e806f3a7a82673879} del fatturato globale, qualora i 20 milioni non dovessero essere efficaci come sanzione. Una bella batosta per un’impresa di piccole o medie dimensioni, non pensi?
Quali sono i dati da gestire che interessano i proprietari dei siti web?
La normativa fa riferimento ai dati personali, ovvero a tutte quelle informazioni legate alle persone (nome, indirizzo IP, coordinate bancarie…) e in particolare alla combinazione dei dati tali da portare all’identificazione dei singoli utenti; ciò comporta che anche i cookie impiegati per trattare dati personali rientrino nel GDPR.
I cookies infatti, a parte quelli tecnici, rientrano tra i servizi di terze parti che collezionano informazioni sugli utenti e il responsabile del trattamento dati è tenuto a offrire ai visitatori del proprio sito chiare indicazioni su come i dati vengono conservati e trattati.
Il GDPR richiede quindi che tutti i servizi che memorizzano dati di utenti europei vengano espressamente descritti nella policy, rendendo gli utenti edotti di ciò che forniscono ai servizi e come fare per modificarli o cancellarli.
Anche se non sembra, ci sono molti dati personali che vengono memorizzati nell’ambito della consultazione di un sito web (e a maggior ragione negli ecommerce) da cui derivano molteplici obblighi legati alla sicurezza.
Pensiamo per esempio alle password memorizzate dagli utenti nei forum e negli shop online, alla crittografia da implementare per tutelare la trasmissione dei dati relativi ai pagamenti, alle policy da redigere con competenza per assicurarsi che abbiano qualità di integrità, correttezza ed esaustività.
Il GDPR comporta un orientamento al trattamento dei dati più rigoroso e trasparente, in particolare:
- tentare di memorizzare la minore quantità possibile di dati personali
- rendere le finalità per le quali i dati sono memorizzati più palesi e meglio riscontrabili
- elaborare i dati accumulati solamente previa specifica autorizzazione, rendendo perfettamente comprensibile gli scopi dell’elaborazione ai fruitori
I proprietari dei siti web situati nell’Unione Europea devono rendere evidente la propria privacy policy indicando:
- quale genere di dati viene raccolto
- chi sta monitorando gli utenti
- chi si occupa della conservazione delle informazioni
- dove e per quanto tempo i dati vengono memorizzati
I titolari del trattamento dati devono permettere inoltre ai visitatori di modificare le preferenze sul sui dati personali in ogni momento, compresa la richiesta di cancellazione dei dati se necessario.
Tra i principali dati impiegati nei siti web e negli ecommerce che rientrano nella normativa possiamo avere:
- i dati sensibili legate agli utenti
- quanto inserito nei forum dei commenti e i moduli di contatto
- le credenziali di accesso
- gli strumenti di Analytics e di tracciamento per finalità di web marketing
- i plugin che tracciano i dati degli utilizzatori
Tutti questi dati personali devono essere quindi chiaramente espressi nella privacy policy del sito, in modo che gli utenti possano offrire un consenso esplicito e informato. Tale consenso deve essere registrato per averne prova, e deve potere essere revocabile in ogni momento da parte dei proprietari dei dati.
Come mettere insieme una serie di regole precise, esaustive e corrette, che mettano al sicuro dalle pesanti sanzioni e dai danni che potrebbero subire i proprietari dei dati?
Contattaci subito per una consulenza gratuita del tuo sito web!
Come adeguare il proprio sito al GDPR?
Il GDPR costituisce a conti fatti un’evoluzione della normativa sul trattamento dati personali che sposta l’asticella ancora più in alto per quanto riguarda i doveri a carico di blogger, webmaster e proprietari di ecommerce.
Tra i vari impegni a cui fare fronte rientra:
- monitorare i servizi attivati sul proprio sito ed ecommerce che memorizzano i dati personali
- confrontare le informazioni memorizzate dal portale con quelle previste dal GDPR
- tenere traccia del consenso offerto dagli utenti
Per rendersi in linea con la nuova normativa sul trattamento dati occorre svolgere un’attività di analisi per comprendere quali ripercussioni in termini di trattamento dati comportano l’infrastruttura e le funzionalità del nostro portale.
Attraverso la valutazione iniziale si appura se l’azienda è in possesso di dati inerenti i cittadini europei, e di conseguenza di quali informazioni occorre trattare nella policy, oltre naturalmente a stimare l’impatto sul personale aziendale che la tutela dei dati possa avere.
I dati dovranno essere memorizzati in appositi archivi facilmente rintracciabili ed esaminabili all’occorrenza. Il consenso da richiedere ai proprietari dei dati deve essere ovviamente riferito a ciascun servizio, non si può chiedere una sola approvazione cumulata.
Una volta individuate le criticità da risolvere, bisognerà mettere mano a un piano di regolamento consistente nelle misure da adottare in termini di rendicontazione sul trattamento dei dati personali.
Il responsabile del trattamento dati – la cui nomina è obbligatoria per le aziende – deve mettersi in condizione di poter assicurare la sicurezza dei dati in proprio possesso, la tempestività e la correttezza delle comunicazioni agli interessati.
Essere in regola con il GDPR significa anche avere il diritto di difendersi a fronte di eventuali contestazioni su possibili illeciti avvenuti.
Ovviamente, il titolare dei dati dovrà provvedere a una continua azione di monitoraggio per appurare la rispondenza delle proprie dichiarazioni alla mutata situazione del portale.
Attraverso una valutazione dei cambiamenti nel tempo dei dati memorizzati, si può prendere consapevolezza della gravità delle violazioni subite per stimare i danni e le misure da adottare.
Tieni presente inoltre che le falle della sicurezza e le violazioni avvenute ai danni dei proprietari dei dati devono essere segnalate entro 72 ore dalla scoperta.
Hai bisogno di una mano per mettere in regola il tuo sito con gli obblighi del GDPR?
Contattaci subito per una consulenza gratuita del tuo sito web!
IS Soluzioni Online