blog single

Dal 25 maggio in Europa entrerà in vigore il GDPR (general data protection regulation), 99 articoli che sanciscono il nuovo regolamento generale europeo per la protezione dei dati personali.

In questo, si riordinando precedenti provvedimenti, che spaziano dal consenso all’accesso fino alla portabilità, ed essendo un tema che tocca ognuno di noi, volevo introdurti al tema.

Chi riguarda il GDPR

Il GDPR si applicherà a livello legislativo alle persone, società e organizzazioni che raccolgono e gestiscono qualsiasi dato personale, una qualsiasi informazione che identifichi una persona. Secondo l’Art.4, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Una rivalutazione quindi dell’utente, non una identità passiva a cui vengono sottratti in maniera più o meno ambigua alcune informazioni personali, ma persone attive che possono decidere quali dati e a chi affidarli.

Il campo come si può intuire è molto vasto perché include sia i dati per l’organizzazione interna di una azienda delle risorse umane, sia per chi si basa il proprio business sull’acquisizione e sfruttamento di questi dati.

Il GDPR riguarderà quindi ogni azienda, ma sopratutto rappresenterà un grande cambiamento per quelli che detengono ed elaborano grandi quantità di dati dei consumatori: aziende tecnologiche e operatori di marketing.

Ecco perché ad esempio su Facebook, sono stati lanciati una serie di strumenti per consentire alle persone di avere maggior controllo o sulla loro privacy,  come lo strumento di “accesso alle informazioni” per consentire agli utenti di trovare, scaricare ed eliminare dati specifici sul sito. Una misura molto evidente, anche perché per informare noi iscritti e per consentirci di continuare ad utilizzare il social network, Facebook ci ha portato a concordare i nuovi termini di servizio, cogliendo l’occasione per spingerci anche a scegliere la tecnologia di riconoscimento facciale.

Le autorizzazioni alla raccolta e al trattamento dei dati dovrà essere chiara, esplicata e inequivocabile. Inoltre dovrà essere segmentata, in modo da consentire al cliente di stabilire quale elaborazione può essere fatta sulle singole informazioni.

Chiunque chiederà dei dati, dovrà specificare cosa vuole farne e per quanto tempo intende conservarne un copia. L’interessato avrà sempre il diritto in qualsiasi momento di chiederne la rettifica o la cancellazione, sempre garantendo diritti come la proprietà intellettuale e il segreto industriale.

Cosa comporta osservare il GDPR nel web

Il lavoro che ti aspetta dipende dal tipo di attività che svolgi e dalla quantità di dati che tratti. Se hai un blog, dovrai sicuramente cambiare il modulo relativo alla privacy e la cookie policy del sito, e se un’area del sito è adibita alla raccolta contatti, dovrai aggiungere qualche voce in più, anche per la semplice attività di invio della newsletter.

Dovranno essere presenti l’indirizzo reale dell’azienda o della realtà che farà uso dei dati raccolti e dovrai fornire informazioni riguardo all’utilizzo che ne farai. Da evidenziare anche il periodo di conservazione dei dati e l’utente dovrà essere informato del suo diritto di revocare il consenso del trattamento dei dati in qualsiasi momento. Sarà obbligatorio poi fornire all’utente un link visibile che gli permetta di cancellarsi dalla lista degli abbonati alla newsletter.

Puoi iniziare a fare un controllo più dettagliato delle cose da fare consultando la lista preparata da ICO, il Garante inglese, e quella del Garante Italiano.

Cosa comporta NON osservare il GDPR nel web

Ognuno può essere soggetto ad indagini per verificare come si cura il trattamento dei dati da parte delle autorità di controllo; nei casi che non rispettino il GDPR, queste possono imporre il divieto di effettuare alcune attività, col rischio anche di incorrere in sanzioni.

Le multe possono arrivare fino a 10 milioni di euro o 2% del volume d’affari globale, nel caso che ci sia una violazione delle condizioni sul consenso dei dati di minori o se non si comunica una fuga di dati all’autorità nazionale competente. La sanzione raggiunge invece i 20 milioni di euro o 4% del fatturato nel caso, invece, che non si rispetti un ordine imposto da un’autorità o si attui qualche azione di trasmissione illecita di dati personali ad un destinatario in un Paese terzo.

Consigli per il rispetto del GDPR:

1. Informatevi. A prescindere che la vostra azienda sia grande o piccola, il personale deve essere informato riguardo il GDPR. Vanno stabilite delle procedure per aumentare la sicurezza dei dati salvati sui computer e quelli stampati. Attenzione quindi a non permettere l’accesso ai dati a tutti i dipendenti: proteggete gli account dei computer con delle password e chiudete a chiave gli armadi contenenti i documenti cartacei contenenti informazioni personali. Se avviene una fuga di dati, bisogna capire di quali si tratta e se questa mette a rischio diritti e libertà degli individui, allora devono essere informati entro 72 ore l’interessato e il Garante .
2. Verificate i programmi. Controllate i software che utilizzate siano di qualità e verificate che essi stessi siano sicuri. Evitate programmi scaricati senza licenza d’acquisto: la mancata licenza potrebbe non tutelarvi in caso di malfunzionamenti e perdita o diffusioni di dati non autorizzata.
3. Verificate i contatti già acquisiti. I contatti già acquisiti vanno ricontattati per la accettazione delle nuove condizioni definite dalla GDPR, e ci si deve assicurare di rispondere ad eventuali richieste di cancellazione, rettifica e modifica (a meno che non si tratti di un cliente che vi deve pagare) entro 30 giorni. In questo risulta importante essere in grado di conoscere l’ubicazione dei dati per poter agire e rispondere alle richieste.
4. Verifica le form di acquisizione contatti. Il linguaggio deve essere chiaro e deve essere specificato per quale scopo i dati richiesti verranno utilizzati e per quanto tempo saranno conservati o secondo quali criteri. L’utente deve essere informato della sua possibilità di ricorrere al Garante e all’autorità giudiziaria.
5. Rivedi informative sulla privacy.  Il GDPR ora rende il consenso dei dati molto importante. Bisogna specificare quindi su quale base i dati vengono forniti e se saranno trasferiti verso Paesi fuori dall’Unione Europea, come ad esempio nel caso dei social network.
6. Rivedi informativa sui cookie. Verificate che il consenso dei cookie sia stato ottenuto in modo esplicito o non ambiguo; in caso contrario va riottenuto fornendo una possibilità di scelta.
7. Disporre di un Dpo. Se la tua azienda lavora i dati su larga scala, i dati sensibili come quelli sanitari, opinioni politiche, credo religioso, orientamento sessuale, dovrà nominare un Dpo (data protection officer), ovvero un responsabile che si occupi della protezione dei dati. Le indicazioni del Garante dicono infatti che non è necessario nominare un Dpo solamente nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti”.

Per capire a che punto sei in tutto questo, ti consiglio di testarti attraverso due strumenti gratuiti.

Il primo è Microsoft che con le sue dieci domande, ti fornisce una valutazione a punteggi riguardo il grado di gestione dei dati della tua attività.

Il secondo che ti consiglio è il questionario di ICO, che funziona a punteggio e ti fornisce una lista di consigli a seconda della tua carenza, con rimandi a pagine web di approfondimento.

A parte questi consigli, ti invito comunque a rivolgerti ad un professionista del settore che saprà spiegarti in maniera più completa e approfondita quali sono gli adempimenti x tua attività: questo articolo ha infatti il solo obiettivo di introdurti gli aggiornamenti relativi alla GDPR.