GDPR: la normativa entrerà in vigore il 25 maggio 2018.
Chi ha studiato e creato il GDPR ha scelto di fare un regolamento vago in modo che sia duraturo e si adatti ai tempi che si evolvono velocemente.
Ma niente panico! Con tranquillità e con i giusti consigli potrete adeguare il vostro sito web e dormire sonni tranquilli.
- DATO PERSONALE: dati direttamente o indirettamente collegabili ad una persona fisica (Anche IP e numero di matricola possono essere considerati tali).
- TRATTAMENTO: uso, raccolta, conservazione, consultazione di un dato. Ci sono altre 14 esemplificazioni, ma il termine “uso” può comprendere qualsiasi significato.
- INTERESSATO: colui che ha fornito il dato.
- TITOLARE del trattamento del dato: è colui che è in possesso dei dati personali degli utenti.
- RESPONSABILE DEL TRATTAMENTO. Il responsabile può operare per conto del titolare e, in caso faccia errori di trattamento, avrà una corresponsabilità con il titolare. Un’agenzia web può essere spesso responsabile del trattamento dei dati secondo il GDPR.
- NOMINA DEL RESPONSABILE: il titolare del trattamento è tenuto a inviare un documento con le regole e l’autorizzazione al trattamento da parte del responsabile. Secondo il GDPR il mancato invio di tali documenti comporta una responsabilità da parte del titolare del trattamento.
Continuiamo con le penali previste dal GDPR
A livello europeo non ci sono conseguenze penali, ma in Italia è reato il trattamento illecito dei dati (è un reato perseguibile d’ufficio, quindi molto grave).
L’omissione di misure di sicurezza è un altro reato in cui si rischia di incorrere. Sono previste pene fino a 20 milioni di euro o fino al 4% del fatturato.
Ma ancora una volta niente panico: perchè si incorra in sanzioni del genere bisogna accertare un danno significativo per l’utente. Le semplici lamentele da parte di quest’ultimo possono comportare al massimo una segnalazione al garante della privacy.
Attenzione però a non prendere sottogamba questo tipo di segnalazioni: se si incorre in 5-6 segnalazioni sono guai!
Come correre ai ripari?
Come sempre è il buonsenso che aiuta a risolvere tutto: per cominciare bisogna avere misure di sicurezza adeguate per la protezione del dato.
Con i DATI SENSIBILI servono chiaramente misure di sicurezza maggiori. Possono essere sensibili i dati sanitari, l’appartenenza religiosa, politica o sindacale.
I dati finanziari sono di maggior rilevanza rispetto ai dati base, ma comunque di minore importanza rispetto ai dati sensibili.
Viene seguito il principio di accountability: il responsabile deve dimostrare di essere cosciente dei rischi e che si comporta adeguatamente ad essi.
Il gdpr ha anche basi di ragionevolezza, piccole quantità di dati necessitano di minori misure di sicurezza: è tutto proporzionato alla quantità di materiale gestito. Sicuramente una catena di supermercati dovrà fare molta più attenzione rispetto ad una web agency.
Bisogna seguire i principi di liceità, correttezza e trasparenza del trattamento: per trattare liberamente il dato è necessario che si verifichi almeno una di queste condizioni:
– Consenso informato del soggetto.
– Contratto con l’interessato, che prevede per forza la fornitura di dati.
– Adempimento degli obblighi di legge: il trattamento dei dati sanitari di un dipendente è libero se gli deve essere garantito un periodo di malattia pagato.
– Legittimo interesse: es. valutazione del personale, passaggio dei dati ai fornitori.
IMPORTANTE: i dati aziendali si possono utilizzare liberamente, purchè siano pubblici e non relativi ad una persona specifica. Per esempio le mail info@ o commerciale@ possono essere usate come destinatario di e-mail marketing.
Diritti dell’interessato
L’interessato ha una lista di diritti sui propri dati di cui deve essere cosciente:
– Diritto alla portabilità: può fare il trasferimento dei dati da una parte all’altra, i dati hanno un valore economico che molti consumatori non conoscono. In caso di richiesta da parte dell’utente, è obbligatorio fornire i dati in modo strutturato, ma è altrettanto importante sapere che la clusterizzazione e l’interpretazione di tali dati non è portabile perché è frutto del lavoro del responsabile, quindi di sua proprietà.
– Diritto alla cancellazione.
– Diritto alla consultazione e all’accesso.
Come adeguare il sito web alla normativa GDPR
Per adeguare il sito bisogna seguire alcune semplici regole:
- Principio di limitazione: bisogna solo chiedere i dati necessari e non di più, perché siamo tenuti giustamente a trattare solo dati inerenti alla nostra attività.
- Informativa: bisogna stilare un documento da inviare a fornitori, clienti e dipendenti, in cui informiamo sull’uso che verrà fatto dei dati. In alcuni punti bisogna chiedere autorizzazione esplicita agli interessati per il trattamento dei loro dati. Ricordate che l’informativa non è necessaria se si è coperti da un altro tipo di diritto tra quelli sopracitati (es. obbligo contrattuale)
- Cookies: se trattiamo solo cookies analitici anonimizzati o tecnici è sufficiente l’attuale informativa, per cookies di terze parti indirette bisogna linkare all’informativa delle suddette parti.
- E-Commerce: i dati necessari per vendita e spedizione sono parte di un contratto, quindi sono utilizzabili liberamente, ma questo aspetto deve essere spiegato chiaramente nell’informativa; per l’email marketing è necessario il consenso informato.
- Mantenimento del dato: bisogna fare un’analisi di quanto sia utile e lecito mantenere un dato nell’interesse del cliente e stabilire termini e criteri di cancellazione.
Il termine si stabilisce in seguito ad un’analisi logica di quanto sia coerente mantenere il dato: per esempio attività di profilazione e attività di marketing possono avere una scadenza fino a 24 mesi. Prodotti più costosi e acquistabili con minore frequenza possono comportare un mantenimento più lungo del dato.
Attenzione!
Migliaia di consulenti informatici si stanno scatenando per proporre i propri servizi in concomitanza dell’entrata in vigore del GDPR, mi raccomando! Selezionate bene i vostri interlocutori per un tema così delicato e ricordate che per essere sicuri al 100% bisogna affidarsi alla consulenza di un buon avvocato, come abbiamo fatto noi. 🙂
