Sicuramente anche tu, come me, ti sarai chiesto in questi giorni: “Cos’è la GDPR?” e “Il mio sito è in regola con le nuove disposizioni europee in materia di privacy?“. In questo articolo cercherò di fare un po’ di chiarezza e condividere con voi quello che ho capito.
Sarò sintetico e procederò per punti. 7 macrodomande che scioglieranno una volta per tutte i nostri dubbi sul GDPR (acronimo per indicare il General Data Protection Regulation) targato Unione Europea.
Per stare al passo con questi cambiamenti, personalmente utilizzo Iubenda. Il servizio mette a disposizione una serie di strumenti per la creazione di una Privacy Policy e di una Cookie Policy sempre al passo con le nuove norme. Hanno sviluppato inoltre un plugin per WordPress grazie al quale, con pochi click, è possibile gestire in automatico la raccolta del consenso, il blocco dei più popolari fra gli script che installano cookie e la riattivazione non appena il consenso viene fornito.
I costi sono molto contenuti. Si va dalla licenza per un solo sito a soli 19€/anno, ad un piano multilicenze per chi gestisce diversi siti web. E se ti iscrivi cliccando sul banner qui sotto hai diritto ad uno sconto del 10% per il primo anno.
Nuovi diritti e obblighi
Il 25 Maggio 2018 sarà operativo il regolamento europeo 679 del 2016. In pratica tutti in paesi dell’Unione Europea dovranno fare riferimento a questo nuovo regolamento, che sarà gerarchicamente più in alto delle singole disposizioni nazionali che finora hanno disciplinato la materia della privacy (si pensi ad esempio al nostro d.l. 196/2003).
Il GDPR nasce dalla necessità di informative chiare e sintetiche nel momento in cui gli utenti consegnano i propri dati personali, informative in grado di trasformarsi in un consenso veramente consapevole che permettano il diritto di accesso, di opposizione, rettifica e cancellazione (diritto all’oblio) nel caso ci si dovesse accorgere che i dati vengano trattati irregolarmente.
1. A chi si applica il GDPR?
Il GDPR si applica a tutte le aziende che hanno sede in uno dei Paesi dell’Unione Europea. Discorso un po’ più complesso invece per chi ha sede in Paesi extra-europei ma che acquisisce dati personali anche in UE. In questo caso sarà suo obbligo nominare un rappresentante per il trattamento dei dati in uno degli Stati membri.
2. Quali dati sono coinvolti nel GDPR?
Il GDPR fa riferimento a tutti i dati sensibili acquisiti che siano identificativi di un individuo, incluso lo pseudonimo. Sono invece esclusi i dati anonimi, cioè quelli non riconducibili in alcun modo ad un determinato soggetto.
Rispetto al passato sarà maggiore l’obbligo di trasparenza, il consenso dovrà essere esplicito e non solo inequivocabile e i processi automatizzati saranno di regola vietati.
3. Come predisporre l’informativa per la raccolta del consenso?
L’informativa in regola con il GDPR dovrà essere formulata con un linguaggio chiaro, non tecnico, facilmente comprensibile e concisa, in modo tale da facilitarne la lettura.
Dovrà informare in modo preventivo l’individuo di cui si intende utilizzare i dati personali. Dovrà fornire un quadro complessivo delle finalità e modalità di utilizzo dei dati. L’utente dovrà poter esprimere un consenso realmente consapevole e conoscere il fondamento del trattamento dei dati.
4. Come garantire i diritti degli interessati?
Sulla questione dei diritti degli interessati abbiamo molte novità.
Come in passato, gli interessati possono chiedere di accedere ai loro dati.
Come in passato, gli interessati possono chiedere di rettificare i loro dati.
Come in passato, l’interessato potrà opporsi al trattamento per scopi di marketing.
Come in passato, gli interessati potranno cancellare i propri dati (diritto all’oblio). Il GDPR però presenta questo diritto in una nuova veste legata soprattutto al discorso social network e motori di ricerca.
A differenza del passato sono stati aggiunti due nuovi diritti:
Il diritto dell’interessato di “congelare” i propri dati (in attesa ad esempio che questi vengano corretti), e il diritto di portabilità dei dati (nel caso per esempio di dati utili per anagrafiche o pagamenti).
5. Quali sono le nuove figure richieste?
Alle vecchie figure di titolare del trattamento, di responsabile del trattamento e dell’incaricato al trattamento dei dati, si aggiunge una nuova figura, quella del DPO (Data Protection Officer).
Spesso nelle piccole imprese il titolare del trattamento coincide il con il responsabile. Il suo compito deve essere quello di garantire che le persone autorizzate al trattamento dei dati personali si impegnino alla riservatezza.
Il DPO dovrà essere nominato per quei casi in cui l’attività di trattamento dei dati sia attività definita principale e a “larga scala”. Quindi diciamo che il DPO è necessario quando viene gestita una grossa mole di dati su ampi confini.
6. E’ necessaria una valutazione di impatto?
Il GDPR prevede una valutazione di impatto (DPIA – Data Potection Impact Assessment) obbligatoria quando il trattamento presenta un “rischio elevato”, ovvero quando vengono trattate categorie particolari di dati e si opera su grandi mole di dati.
7. Quali sanzioni rischia l’inadempiente?
Questo è uno degli aspetti più innovativi del GDPR, e si parla di sanzioni pecuniarie calcolate sul fatturato dell’azienda. I massimali variano dal 2% al 4% del fatturato mondiale, in relazione alle norme violate.
Ok, abbiamo fatto un quadro generale che, per chi è poco avvezzo alle questioni burocratiche e legislative può essere soltanto una gran scocciatura.
Per evitare perdite di tempo e mestieri che non ti appartengono fai come me, affidati a Iubenda e risolvi ogni problema:)
Iscriviti cliccando sul banner qui sotto per usufruire dello sconto del 10% per il primo anno.
Ti è piaciuto questo articolo? Allora condividilo, non ti costa nulla;)