Ma andiamo con ordine… In cosa consiste il nuovo regolamento GDPR? Come impatta sulle Privacy Policy da predisporre in ciascun sito web o App? La nuova normativa Privacy emanata dal Parlamento Europeo si applica in tutti i Paesi dell’Unione Europea; porterà qualche semplificazione ma anche qualche complicazione a tutte le imprese italiane che dovranno evidentemente osservare i nuovi obblighi in fatto di raccolta e gestione dei dati degli utenti seguendo il principio dell’accountability (la responsabilità del trattamento – si veda l’approccio Privacy By Design), ma lascerà a ciascun individuo un maggiore controllo sui propri dati personali e garantirà maggiori tutele ai minori. [Premessa doverosa: non siamo legali, questo articolo va preso come un libero approfondimento. La cosa saggia da fare è consultarsi con chi si occupa professionalmente di Privacy] > Consultati con un legale esperto di tematiche Privacy o uno studio legale. > Abbi cura della tua Privacy Policy pubblicata sui tuoi presidi online, che si tratti di siti web o App. Puoi creare online una Privacy Policy adeguata al GDPR; una Cookie Policy con relativa Consent Solution per tracciare, archiviare, gestire e recuperare facilmente il consenso dell’utente; il registro attività e tutto quello che ti serve per adeguarti alla legge anche grazie a servizi online affidabili come iubenda.com – sconto del 10% seguendo questo link.Cosa fare con il GDPR?
Cos’è il GDPR?
E’ il nuovo regolamento Europeo sulla Privacy, acronimo di General Data Protection Regulation (UE 2016/679) che sancisce la protezione dei dati personali delle persone fisiche come un diritto fondamentale.
L’avvento di internet ha reso necessario un aggiornamento della disciplina, anche per via della diffusione e del valore commerciale sempre più evidente dei dati degli utenti: qualunque azione effettuata online lascia tracce, dati, che identificano interessi e abitudini, sui quali le big company di internet hanno prosperato. Con questa pietra miliare a favore della Privacy degli utenti, si elimineranno le differenze che fino ad oggi esistevano nelle normative sul tema dati personali dei vari paesi Europei (la precedente Direttiva 95/46 /EC, quindi, è ormai superata).
Cosa bisogna fare per adeguarsi al GDPR: qualche suggerimento per aziende e pmi
Il nuovo regolamento Privacy applica due principi:
- Privacy by Design
- Privacy By Default
Tali principi base stabiliscono che il consento al trattamento dei dati personali debba essere sempre valido, revocabile ed esplicito. Di fatto, si impone una salvaguardia costante relativa ai dati custoditi da ciascuna impresa fin dalle fasi iniziali di ciascun processo. Inoltre, si introduce la necessità di una nuova figura aziendale (non sempre obbligatoria): il Data Protection Officer (DPO).
Il principio della Privacy By Design
Si tratta di un processo “evolutivo” al tema Privacy degli utenti, dove sono proprio gli utenti al centro di tutto. Qualunque progetto va pensato e realizzato pensando a come garantire la riservatezza e la protezione dei dati personali che vengono toccati nello specifico progetto, individuando a priori eventuali rischi Privacy, tramite un Privacy Impact Assessment (una valutazione di impatto Privacy).
Quindi non c’è uno standard fisso e unico per qualunque progetto, ma la tutela deve essere pensata ad hoc per ogni progetto, lungo 3 punti:
- sistemi IT;
- procedure commerciali (adeguate e corrette);
- progettazione strutturale e dell’infrastruttura di progetto.
Sono inoltre 7 i principi chiave di questo nuovo approccio alla Privacy (online e non):
- Occorre un approccio proattivo, non reattivo (quindi a favore della prevenzione);
- Il rispetto della Privacy è un’impostazione di base;
- La tutela della Privacy è una finalità incorporata nella progettazione;
- Sicurezza senza se e senza ma;
- Protezione piena del ciclo vitale dei dati;
- Visibilità e trasparenza nella gestione dei dati;
- Rispetto per la privacy dell’utente.
Il principio della Privacy By Default
Questo principio di fondo, invece, sostiene che le aziende devono trattare i dati personali solo nella misura necessaria per gli scopi previsti e per un tempo strettamente necessario a questi fini. Ancora una volta, dunque, la fase di progettazione è fondamentale e deve considerare questo approccio, avendo bene a mente la garanzia della non eccessività dei dati raccolti.
Quando si dà a un utente la possibilità di registrarsi a un sito web, per prenotare una visita o per iscriversi a una newsletter, etc…, occorre prestare attenzione a quali dati vengono raccolti e perché.
Non ci può essere arbitrarietà, ma devono essere esplicitate le modalità di raccolta dei dati, le finalità di ciascun dato raccolto, quali soggetti sono autorizzati ad accedere al database che conserva i dati, quali rischi per la sicurezza potrebbero esserci e quali misure per proteggere tale database verranno adottate.
Data Breach
Si fa ampia menzione di cosa fare in caso di data breach. Ma cosa succede in caso di violazione dei dati gestiti da un’azienda?
Il GDPR è chiaro: ogni azienda deve spiegare e documentare come agirebbe in caso di violazione dei dati; inoltre, sempre in tale caso, va informata l’autorità di vigilanza entro 72 ore dal fatto.
Il già menzionato “PIA” – Privacy Impact Assessment – ha proprio lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure vengono messe in campo per ridurre al minimo i rischi. Inoltre, vanno previste anche delle modalità di comunicazione agli utenti in caso di data breach.
Cosa deve fare ogni azienda di fronte al GDPR
In super sintesi, sono 5 i punti chiave che ogni azienda deve affrontare per adeguarsi al GDPR:
- Controllare pienamente l’accesso ai dati, con database strutturati e destrutturati
- Identificazione chiara dei dati personali gestiti (con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati)
- Governance dei dati: esplicitazione delle policy, identificazione dei processi di gestione, assegnazione delle responsabilità.
- Strategie di protezione dei dati: anonimizzazione dei record di dati e crittografia.
- Controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.
Tutti questi aspetti confluiscono in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.
PMI e GDPR: gli obblighi delle piccole aziende nei confronti della nuova Normativa Privacy
La normativa è un po’ più morbida per le piccole aziende. Ok i punti elencati sopra per tutte le aziende, per è bene sapere che:
- le PMI sono di fatto sollevate dall’obbligo di nominare un DPO nel momento in cui il trattamento dei dati non sia cruciale rispetto all’attività di un’impresa;
- in caso di richieste di accesso ai dati con costi elevati (come tempo o denaro), potrà essere richiesta una tariffa per fornire l’accesso o per garantire una modifica dei dati;
- il Privacy Impact Assessment non è obbligatorio, salvo rischi specifici dovuti a una grande mole di dati trattati, soprattutto tramite internet;
- le notifiche ordinarie all’autorità garante della Privacy non saranno più da fare; rimarranno solamente le comunicazioni straordinarie, per questioni che mettono a rischio la Privacy degli utenti.
I Ruoli in azienda nei confronti del tema Privacy GDPR
Oltre al titolare del trattamento dei dati (Data Controller), si potranno trovare nuove figure…
Cosa deve fare il Data Protection Officer? (art. 37 del GDPR)
Il DPO – Data Protection Officer – deve essere nominato per ciascuna filiale fisica di un’azienda (multinazionali avvisate: uno per ogni sede o stabilimento) e avrà la supervisione e il controllo delle modalità di raccolta, gestione e trattamento dei dati.
Un obiettivo fondamentale del DPO è quello di garantire la sicurezza dei dati e dei software che li governano o che li tutelano. In particolare a livello di aggiornamenti software, occorrerà muoversi verso un’automatizzazione dei processi, per poter dimostrare in caso di problemi di vulnerabilità dei dati che si è fatto tutto il possibile per tutelare i dati stessi (riducendo i possibili “breach” dell’infrastruttura). Sempre con la stessa finalità, è buona norma sfruttare i monitoraggi automatici dei software di sicurezza, così da individuare tentativi di accessi dall’esterno (l’idea di fondo è sempre quella di difendere i dati da attacchi esterni): questo vale per i pc in dotazione ai collaboratori di un’azienda, per siti web e app, ma anche per gli smartphone o tablet.
Il DPO deve essere obbligatoriamente nominato nei casi in cui il trattamento dei dati avviene da parte di un ente pubblico o di un’autorità; quando la mole di dati gestiti richiede un monitoraggio regolare e sistematico; quando i dati in questione hanno un carattere particolare (es. dati sensibili) o sono dati giudiziari.
Se una PMI non ha tra le sue attività centrali la gestione di dati degli utenti, è esentata dalla nomina di un DPO.
Qui è possibile trovare un approfondimento su questa nuova figura aziendale.
Il Data Processor, alias il “Responsabile del Trattamento”
Il Responsabile del Trattamento – o Data Processor – è una persona fisica o giuridica, l’ente pubblico, il servizio o altro “attore” che gestisce i dati per conto del titolare del trattamento. Quindi può essere anche una persona esterna, un fornitore che viene delegato al trattamento dei dati (ma che deve garantire la compliance con il GDPR).
Le multe per chi viola il regolamento Privacy GDPR
Come sempre, le sanzioni sono salatissime: dal 2% al 4% del fatturato mondiale annuo dell’azienda che violasse il regolamento o, in alternativa, un corrispettivo che va dai 10 ai 20 milioni di euro. Chi ha voglia di rischiare?
Le tutele per l’utente / persona
Tutto l’impianto normativo va in favore dell’utenza, che avrà di fatto una maggior tutela, grazie a:
- Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
- Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
- Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati (Vodafone sei avvisata…)
- Forti tutele sui dati personali dei minori
- Diritto alla conoscenza nel momento in cui i propri dati siano stati violati
Per evitare rischi, rivolgiti a qualcuno che possa fornirti consulenza sul GDPR e sulle tematiche Privacy, ad esempio uno studio legale o servizi online sicuri e garantiti, specializzati sul tema Privacy (come iubenda.com – clicca qui per avere uno sconto del 10% sulle soluzioni GDPR Privacy e Cookie – con relativo Cookie Consent e registro della attività).
Ulteriori info: www.iubenda.com/blog/regolamento-generale-protezione-dati/
Altri articoli di Luca Crivellaro Come pubblicizzare un evento online locale: oltre 20 vie da considerare
Come funzionava Foursquare e come è stato sostituito – Strumenti di Local Marketing
Corsi di Laurea e Master in Social Media Marketing… si o no?
Content Design: perché può aiutare la tua azienda
Come scegliere l’influencer giusto per il proprio Brand
Immagini per il web libere da copyright: quali scegliere senza violare il diritto d’autore
Leggi Anche
Buongiorno, Non mi è chiaro ma se il GDPR non si applica tra aziende io posso inviare pubblicità e gestire senza problemi mail aziendali? esempio Mario. rossi@fiat.com
Salve Mauro, perdoni il ritardo nella risposta: nel momento in cui gestisce dati personali (raccolta, trattamento, gestione), deve avere una Privacy Policy per comunicare cosa farà di questi dati, come li gestirà, etc.
Le consiglio comunque di contattare un consulente Privacy per casi specifici come questo.
Alla fine a livello pratico , della preparazione di carte, non si capisce cosa fare
Salve Nicola, alla fine conviene attivare le soluzioni proposte da iubenda (o servizi simili), ossia: generatore privacy e cookie policy, cookie solution, consent solution e internal privacy management.
Con questo pacchetto di soluzioni sei allineato.
Ho una azienda zootecnica allevo bovini da latte non usufruisco di nessun sistema informatico di gestione sono obbligato a stipulare un contratto per la gestione della GDPR
Grazie
Salve Carlo, se non gestisce dati personali di alcun tipo, può ignorare il GDPR.
Segnalo gdprset.it per generare sia le informative che il banner per i consensi cookie. Il servizio è gratuito nella modalità base.
ho un piccolo bar, cosa dovrei fare per avere il mio gdpr? grazie
Salve Benito, probabilmente in un bar non tratterà dati personali. Qualora li trattasse, ne parli con un legale o con un esperto sulla materia :)
In un semplice negozio devo adeguarmi al gdpr. Uso pos e accetto pagamenti con pos con firma e visioni documento identità.
Nei periodi di lavoro intenso uso Voucher.
Posso appuntare n tel di clienti per avvisarli dell’arrivo dell articolo ordinato. E tutto confusionario cosa dovrei fare?
Salve Stefania, meglio se si rivolge a un legale per tali questioni. Eventualmente contatti anche il suo commercialista, potrebbe aiutarla…
Buona sera, Luca. Ora non posso scrivere più ad un’azienda di settore, potenziale cliente, di un mio prodotto, che li potrebbe servire? Anche se ho preso il suo indirizzo email dal suo sito?
Beh in realtà questo anche prima, perché tecnicamente sarebbe pubblicità indesiderata, ossia spam: poi c’è modo e modo di farlo. Se per esempio contattasse questa azienda a cui lei è interessato, con un progetto realmente interessante e personalizzato per loro, 99,9% non verrebbe percepita nemmeno come un’intrusione non legittima. (Però rimane il fatto che ha preso questo indirizzo senza previo consenso da parte loro)
Se invece si procede ad invii massivi di email pubblicitarie a indirizzi pescati nel web, beh… in tal caso non c’è dubbio che parliamo di spam.