Il GDPR è il nuovo regolamento europeo sulla privacy che sarà applicabile a partire dal 25 maggio 2018. Se ne parla molto, perché il 25 maggio 2018 è il termine entro il quale sarà possibile adeguarsi senza incorrere in sanzioni. Il regolamento riguarda i siti web, inclusi blog personali e e-commerce.
Come funziona
Il regolamento indica ogni proprietario del sito come responsabile per il trattamento dei dati: viene infatti introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel modo migliore possibile la sicurezza dei dati raccolti e di dimostrare all’Ente di controllo l’utilizzo di tecniche adeguate alla natura dei dati.
Nel caso in cui il proprietario del sito web si renda conto di eventuali violazioni dei dati personali nel proprio sito, ha massimo 72 ore di tempo per comunicarlo al Garante. È esonerato, invece, dall’obbligo di comunicarlo alle eventuali persone coinvolte (gli “interessati”) se è soddisfatta almeno una delle seguenti condizioni (art. 34):
- “il Titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione” (ad esempio se i dati oggetto della violazione erano cifrati);
- “il Titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per le libertà e i diritti degli interessati” coinvolti;
- “detta comunicazione richiederebbe sforzi sproporzionati” (e dunque si può procedere con una comunicazione pubblica).
Per poter raccogliere i “dati personali” degli utenti, questi dovranno fornire un consenso esplicito ed informato. Dal canto suo, il sito web dovrà mostrare una chiara Privacy Policy che indichi quali dati vengono raccolti e memorizzati, chi li raccoglie, cosa viene fatto con questi (la cosiddetta “elaborazione dei dati”) e per quanto tempo saranno conservati. Naturalmente l’utente può rifiutare le condizioni, potrà modificare il suo consenso in qualsiasi momento e potrà anche predisporre una limitazione nell’utilizzo dei suoi dati. Privacy, trasparenza e responsabilizzazione: queste sono le parole chiave della normativa GDPR sulla privacy, regolamento valido a livello europeo.
Il regolamento introduce anche una nuova figura aziendale: il Data Protection Officer, ovvero il responsabile della protezione dei dati. Il DPO dovrà assicurare la gestione corretta dei dati da parte dell’azienda. Il DPO deve essere indipendente dal titolare del trattamento e avere autonomia decisionale.
Il nuovo GDPR prevede anche una normativa più chiara in merito al consenso al trattamento dei dati personali: il consenso e la finalità per cui i dati vengono utilizzati, devono essere espressi con chiarezza. In più, chi acconsente ai dati, ha diritto a chiedere (e ottenere) la cancellazione dei dati, la rettifica o la limitazione del loro utilizzo.
Cookie policy, registro delle attività di trattamento: come adeguare il proprio sito web
Per “dati personali” si intendono nome, foto, indirizzo IP, di residenza o e-mail e qualsiasi altra informazione riguardante una persona fisica.
I cookie presenti su un sito web possono essere propri o di terze parti, anche nel caso di cookie raccolti da terze parti, il titolare del sito web resta il soggetto che risponde del trattamento dei dati e quindi deve inserire una policy che spieghi come queste terze parti elaborino i dati degli utenti.
Il sito web, quindi, dovrà pubblicare una cookie policy dettagliata ed anche una pagina dedicata alla privacy policy. In questa pagina spiegherà agli utenti quali sono i loro diritti, così come contenuto nel regolamento europeo sulla privacy ed illustrerà, se presenti, anche l’elenco dei servizi di terze parti che raccolgono dati degli utenti. In questo caso dovrà essere presente un collegamento alla pagina di privacy policy di questi ultimi così che l’utente possa prenderne visione.
Il titolare deve possedere obbligatoriamente un registro delle attività di trattamento, qui ci saranno tutte le informazioni relative alla raccolta dei dati degli utenti: perché vengono raccolti, quali vengono raccolti, quali sono le misure di sicurezza adottate per proteggerli.
Cosa fare in pratica
Ogni sito web dovrà pubblicare una cookie policy dettagliata, più complessa di quella che fino a poco tempo fa era accettata e una pagina dedicata alla privacy policy, dove vengono spiegati i diritti degli utenti in base agli articoli di legge previsti dal GDPR, la garanzia all’oblio, le modalità di richiesta dello stesso, l’elenco dei servizi di terze parti che profilano gli utenti durante la navigazione del sito web.
Nel momento in cui si elencano i servizi di terze parti, è necessario rimandare alla pagina di privacy policy degli ultimi.