GDPR: cosa fare?

Da settimane abbiamo studiato e cercato di comprendere cos’è il GDPR, seguendo webinar, leggendo articoli e cercando di capire la normativa ed il regolamento e cosa dobbiamo fare noi stessi come BE MORE e cosa per i nostri clienti per essere in regola e/o adeguarsi al General Data Protection Regulation, o, in italiano,  Regolamento Generale sulla Protezione dei Dati.

GDPR: cos’è? cosa fare?
Servizio BE MORE GDPR

GDPR: Cos’è

un regolamento

GDPR come detto sta per General Data Protection Regulation, o Regolamento Generale sulla Protezione dei Dati (RGPD): è il nuovo regolamento europeo in materia di privacy.

Il regolamento serve ad uniformare la normativa privacy a livello europeo, nonché a dotare l’Europa di un quadro normativo in linea con le esigenze della società odierna. Sarà pienamente applicabile a partire dal 25 maggio 2018 e sostituisce il d.lgs. 196/2003 (o Codice Privacy) e le altre leggi privacy nazionali degli Stati Membri dell’Unione Europea (Infatti il regolamento è direttamente applicabile in tutti i Paesi UE).

GDPR: Chi deve adeguarsi?

Aziende/Organizzazioni Europee

Tutte le organizzazioni con base operativa nel territorio UE e chi ha base operativa in un Paese terzo, ma che tratta dati di utenti o clienti europei.

 

GDPR: Cosa devo fare sul sito per adeguarlo?

Innanzitutto è necessario predisporre e mostrare agli utenti una Privacy Policy, ovvero un documento che illustra, in estrema sintesi:

  • le finalità e le modalità del trattamento dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • i soggetti ai quali i dati personali possono essere comunicati (incluse le terze parti che trattano dati degli utenti mediante delle tecnologie installate sul proprio sito o app, come Facebook o Google);
  • i diritti dell’interessato;
  • gli estremi identificativi del titolare del trattamento (cioè la persona fisica o giuridica che gestisce il sito/app).

La Privacy Policy non è una novità, ma per effetto del GDPR deve essere aggiornata, ad esempio per contemplare i nuovi diritti introdotti dal GDPR, come la portabilità del dato e il diritto all’oblio.

In più, per poter trattare i dati dei propri utenti o clienti, il titolare deve disporre di almeno una delle cosiddette “basi giuridiche del trattamento”.

Il trattamento può quindi avvenire solo quando è giustificato da delle basi giuridiche definite, tra cui principalmente:

  • l’esecuzione di un contratto;
  • la presenza di un consenso prestato dall’utente per una o più specifiche finalità.

In altre parole, il titolare può trattare dati al fine di intraprendere azioni necessarie ad eseguire un contratto al quale l’utente ha aderito, ad esempio per spedire all’utente un bene acquistato sul proprio e-commerce, oppure perché l’utente ha esplicitamente acconsentito al trattamento, ad esempio si è iscritto volontariamente alla newsletter del proprio blog.

Oltre a queste, ci sono anche altre basi giuridiche del trattamento, ma il consenso è senz’altro l’aspetto al quale prestare maggiore attenzione.

Cosa fare per raccogliere un consenso valido?

In linea generale il consenso deve essere:

  • libero – non possiamo obbligare l’utente a prestare un consenso pena la mancata erogazione del servizio;
  • specifico – ovvero, un consenso per ogni finalità;
  • informato – dobbiamo far capire all’utente cosa faremo con i suoi dati;
  • sempre revocabile – in ogni momento l’utente deve poter revocare il consenso.

In aggiunta a questi principi, sanciti anche dal Codice Privacy (la legge di riferimento prima del GDPR), il GDPR introduce la necessità di ottenere un consenso inequivocabile da parte degli utenti.

Il titolare deve quindi poter dimostrare con assoluta certezza che un utente ha validamente prestato il proprio consenso. Questo comporta dunque la necessità di adottare sul proprio sito o app delle tecnologie che siano in grado di archiviare i consensi in modo da disporre di una prova del consenso in linea con i dettami del GDPR.

I vecchi consensi acquisiti prima del 25 maggio?

Continuano ad essere validi, a patto che il titolare sia in grado di dimostrare di averli raccolti in ottemperanza alla legislazione privacy in vigore prima del GDPR.

Quali sono le modalità di raccolta del consenso?

Per i siti che raccolgono consensi, come gli e-commerce, è oltremodo opportuno prestare particolare attenzione alle modalità di raccolta del consenso. In linea generale, il consenso deve essere raccolto:

  • in fase di registrazione, aggiungendo una dicitura del tipo “Registrandoti acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni” (la checkbox in questo caso non è necessaria);
  • in fase di acquisto, aggiungendo – prima della conferma dell’ordine – una dicitura del tipo “Completando l’acquisto acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni”. La dicitura è richiesta sia per gli utenti già iscritti che per gli utenti guest.

Il consenso all’invio di comunicazioni commerciali può essere raccolto:

  • inserendo una checkbox non preselezionata in fase di registrazione, contenente una dicitura del tipo “Acconsento a ricevere comunicazioni commerciali”; oppure
  • tramite una finestra che si apre al click del pulsante di registrazione, contenente una dicitura del tipo “Vuoi ricevere anche i nostri aggiornamenti via email?”, con un’opzione Sì/No a disposizione dell’utente; oppure
  • mediante invio di una email di double opt-int. In questo caso, la email deve contenere un link con cui l’utente può semplicemente verificare il proprio indirizzo email, ed un altro link con cui, se vuole, l’utente può verificare il suo indirizzo email, acconsentendo anche a ricevere comunicazioni commerciali via email.

La procedura di double opt-int, che consiste quindi nell’inviare una email con cui l’utente, mediante il click su un link di conferma, può confermare di essersi effettivamente registrato, è considerata una best practice (obbligatoria in alcuni Paesi come la Germania) in quanto è l’unico modo per verificare che l’utente che immette i dati sul sito sia effettivamente il proprietario dell’indirizzo email con cui si sta registrando.

In caso di e-commerce, inoltre, il consenso per inviare comunicazioni commerciali non è necessario se l’utente ha già effettuato un acquisto, e se le newsletter riguardano prodotti o servizi simili a quelli già acquistati, a patto che l’utente non si sia espressamente disiscritto.

Ci sono modalità particolari per raccogliere il consenso in un semplice form di iscrizione alla newsletter?

È importante sottolineare che, per le stesse ragioni evidenziate in precedenza, la procedura di double opt-in è una best practice anche al di là del contesto e-commerce. Ad esempio, in presenza di un form utilizzato esclusivamente per l’iscrizione alla newsletter, la checkbox non è necessaria, mentre è sempre opportuno predisporre una procedura di double opt-in.

GDPR e Cookie Law. Cambia qualcosa?

La Cookie Law deriva dalla Direttiva ePrivacy, che non viene modificata dal GDPR. È tuttavia in fase di elaborazione un nuovo Regolamento ePrivacy, che effettivamente sostituirà la Direttiva ePrivacy (e quindi la Cookie Law) nei prossimi mesi. In ogni caso, il Regolamento ePrivacy dovrebbe confermare in buona sostanza tutto quanto già previsto dalla Direttiva ePrivacy.

È necessario far approvare o rifiutare all’utente l’installazione di ogni singolo cookie?

No, non è necessario. Come anticipato, infatti, la Cookie Law resta invariata. Dobbiamo quindi continuare ad adottare gli stessi accorgimenti che abbiamo seguito fino ad oggi, e quindi:

  • predisporre e mostrare agli utenti una Cookie Policy che illustri le diverse tipologie di cookie installate dal proprio sito (senza la specifica dei nomi dei singoli cookie);
  • predisporre e mostrare alla prima visita di ogni utente un Cookie Banner con al suo interno un link alla Cookie Policy;
  • bloccare tutti i codici che installano o che potrebbero installare cookie di profilazione prima di aver raccolto il consenso degli utenti;
  • registrare il consenso dell’utente, prestato ad esempio mediante il proseguimento della navigazione, al fine di far scomparire il Cookie Banner e di rilasciare tutti i codici precedentemente bloccati.

Se l’utente vuole navigare sul sito senza subire l’installazione di uno specifico cookie, eserciterà l’opt-out utilizzando gli appositi moduli messi a disposizione direttamente dalle terze parti. Per questo è necessario inserire all’interno della Cookie Policy l’elenco delle tecnologie di terza parte utilizzate dal sito, con anche un link alle rispettive informative ed ai moduli di opt-out.

Un esempio pratico?

Il nostro sito profila gli utenti mediante Google Analytics. Un utente non vuole essere tracciato. Alla sua prima visita al sito:

  • il codice di Google Analytics sarà bloccato;
  • verrà mostrato un Cookie Banner con un link alla Cookie Policy;
  • nella Cookie Policy l’utente troverà il link al modulo di opt-out di Analytics, con cui potrà chiedere direttamente a Google di non essere tracciato da GA;
  • quando l’utente prosegue nella navigazione, possiamo rilasciare tutti i codici precedentemente bloccati e far scomparire il Cookie Banner.

Ci sono altri requisiti da rispettare oltre a quanto necessario sul proprio sito o app?

Sì, il GDPR ha molti impatti anche sul fronte della compliance aziendale interna. In estrema sintesi:

  • bisogna mappare con cura il proprio organigramma privacy, individuando tutti i soggetti interni o esterni alla propria organizzazione che trattano dati degli utenti per conto del titolare. Questi soggetti devono essere nominati responsabili o addetti al trattamento;
  • in alcuni casi è necessario nominare anche un Data Protection Officer (DPO), ovvero un soggetto con una conoscenza approfondita della legislazione privacy che si occupa del controllo della conformità interna al GDPR e della supervisione e attuazione della strategia di protezione dei dati dell’organizzazione;
  • predisporre un Registro del Trattamento contenente l’indicazione dei dati trattati dall’organizzazione, delle finalità del trattamento, dei soggetti che accedono ai dati, degli eventuali trasferimenti di dati all’estero, dei termini di cancellazione dei dati e delle misure di sicurezza adottate;
  • effettuare dei processi di Data Protection Impact Assessment (DPIA) per valutare l’impatto di nuove tecnologie o attività di trattamento che l’organizzazione vuole porre in essere. Le DPIA devono essere documentate per iscritto;
  • adottare delle procedure aziendali, ad esempio per rispondere ad eventuali violazioni dei dati personali – data breach – secondo quanto previsto dal GDPR, o per rispondere ad eventuali richieste di esercizio dei propri diritti da parte degli utenti.

Naturalmente per la sua complessità il GDPR non può essere riassunto in modo esaustivo in poche righe. È bene dunque chiarire che con queste risposte cerchiamo di fornire delle indicazioni pratiche e semplificate in merito ai requisiti di legge ed alle best practice ad essi connesse, ma senza la pretesa di avere natura conclusiva o di sostituire il rapporto diretto con un professionista legale.

BE MORE GDPR

il nostro servizio per adeguarsi alla “General Data Protection Regulation”

  • Dati per contatto:

  • Adeguarsi al GDPR

    *= la maggior parte dei form creati sono già adeguati alla normativa, valuteremo solo quelli che necessitano di un intervento.
  • ------------------
  • per gestire i servizi per conto del cliente dobbiamo avere una delega come "incaricato del trattamento"
  • ------------------
  • ------------------
  • ------------------
  • hai bisogno di informazioni sul GDPR? scrivici che necessità hai

Back To Top