Entro il 25 Maggio 2018 occorre adeguare il sito web al GDPR
GDPR: cos’è e di cosa si tratta?
Il General Data Protection Regulation (GDPR) è il regolamento europeo sulla protezione dei dati e sulla gestione della privacy, che entrerà in vigore il 25 maggio 2018, con l’obiettivo di tutelare sempre di più i dati personali di tutti i cittadini europei, uniformando le modalità di trattamento dati in tutti i paesi membri.
L’Italia recepirà in modo obbligatorio questo regolamento, senza nessun intervento da parte dei nostri legislatori, se non quello di verificare l’applicazione della normativa e, in caso di violazioni, far osservare le misure correttive.
I principi di tutela della privacy restano essenzialmente i medesimi, ma con una maggiore attenzione sulle assicurazioni da offrire ai proprietari dei dati personali, sulla correttezza del trattamento delle loro informazioni.
Il compito di adempiere alla nuova normativa spetterà ai proprietari e ai gestori dei siti.
Quali gli obblighi?
Sul sito del Garante della Privacy è disponibile la Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, che fornisce una dettagliata e completa panoramica degli obblighi per imprese e professionisti: un sistema molto articolato di gestione dei dati personali che vede il Titolare dei dati personali tenuto a dimostrare di rispettare l’applicazione del GDPR.
Il punto principale è l’individuazione, da parte di enti e imprese, di un Data Protection Officer, ovverosia un Responsabile del trattamento dati, inserito nell’organigramma aziendale con la funzione di far fronte alle numerose criticità informative, durante le fasi delle normali attività funzionali, dalla gestione alla rendicontazione.
E le imprese di piccole dimensioni?
A partire dalla presenza di almeno dieci addetti che lavorano sui dati personali, la normativa richiede la presenza di un responsabile del trattamento dei dati. In mancanza, la sanzione può essere anche piuttosto salata: da un minimo del 4% del fatturato annuo aziendale fino a 20 (venti) milioni di euro…
Quali sono i dati da gestire che interessano i proprietari dei siti web?
In estrema sintesi tutte le informazioni legate alle persone: il nome, l’indirizzo, le coordinate bancarie, il telefono, l’indirizzo IP… i dati personali e, soprattutto, la combinazione di questi dati fa sì che si possa risalire all’identificazione di una persona che ha avuto accesso al sito web.
Ovviamente anche i cookie che sono impiegati per trattare dati personali, a parte i cookie tecnici, rientrano nel GDPR. I cookies infatti, sono servizi di terze parti che collezionano informazioni sugli utenti e il responsabile del trattamento dati è obbligato a fornire ai visitatori del proprio sito tutte le indicazioni su come i dati vengono trattati e conservati.
Cosa richiede il GDPR?
Tutti i servizi che memorizzano dati di utenti europei devono essere chiaramente descritti nella policy aziendale, rendendo gli utenti informati su ciò che essi stessi forniscono ai servizi durante la navigazione, nonché come fare per modificare o cancellare le informazioni.
Durante la consultazione di un sito web vi sono parecchi dati personali memorizzati – pensiamo ad un e-commerce, un sito di prenotazioni, un forum… – per cui scaturiscono numerosi obblighi legati alla sicurezza: password, crittografia di transazioni di dati, pagamenti on line… Il testo della policy sulla privacy deve quindi essere redatto con competenza, assicurando integrità, correttezza, precisione.
L’orientamento che il GDPR indica è quello di un trattamento dei dati più rigoroso e trasparente, in particolar modo:
- cercare di memorizzare la minore quantità possibile di dati personali
- rendere le finalità per le quali i dati sono memorizzati più chiare e meglio riscontrabili
- elaborare i dati accumulati solamente dietro specifica autorizzazione, rendendo perfettamente comprensibili gli scopi dell’elaborazione agli utilizzatori
I proprietari dei siti web situati nell’Unione Europea devono rendere evidente la propria privacy policy indicando:
- quale genere di dati viene raccolto
- chi sta monitorando gli utenti
- chi si occupa della conservazione delle informazioni
- dove e per quanto tempo i dati vengono memorizzati
I titolari del trattamento dati devono, inoltre, permettere ai visitatori di modificare le preferenze sui dati personali in ogni momento, compresa la richiesta di cancellazione dei dati se necessario.
Tra i principali dati impiegati nei siti web e negli e-commerce che rientrano nella normativa possiamo avere:
- i dati sensibili legati agli utenti
- quanto viene inserito nei forum, nei commenti e nei moduli di contatto
- le credenziali di accesso
- gli strumenti di Analytics e di tracciamento per finalità di web marketing
- i plug-in che tracciano i dati degli utilizzatori
Tutti questi dati personali devono essere quindi chiaramente espressi nella privacy policy del sito, in modo che gli utenti possano offrire un consenso esplicito e informato. Tale consenso deve essere registrato per averne prova, e deve potere essere revocabile in ogni momento da parte dei proprietari dei dati.
Digital Zoom ha la possibilità di supportarti per mettere in regola il tuo sito con gli obblighi del GDPR.
Inviandoci una semplice e-mail sarai ricontattato al più presto.