Guida alla GDPR e alla protezione dei dati. Cos’è e cosa fare

Guida alla GDPR e alla protezione dei dati. Cos’è e cosa fare

.

GDPR e la nuova Normativa sulla protezione dei dati personali

Cos’è e come mettersi in regola.

 

Ti sarà capitato di ricevere vagonate di email nelle ultime settimane dai siti ai quali sei iscritto, da newsletter varie, da canali musicali, magazine, ecc.

Questo perché, com’è ormai noto, il 25 maggio è entrato in vigore il nuovo Regolamento Generale sulla Protezione dei Dati, il cosiddetto GDPR (UE) 2016/679.

L’Italia, come spesso ahimè accade, non si è fatta trovare pronta ai nastri di partenza ed ecco che, in mancanza di un governo (al 25 maggio) che potesse approvare la modifica alla legge nazionale sulla privacy, ha avuto una proroga eccezionale (unico paese in Europa) ed il nuovo termine entro il quale bisogna “mettersi in regola” è il 21 agosto.

Questo non vuol dire che si debba stare con le mani in mano, anzi! Il GDPR è in ogni caso attivo a tutti gli effetti anche nel nostro paese per gli utenti, pur se non perfettamente regolamentato a livello legislativo nazionale. Questa nuova normativa intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e residenti dell’Unione Europea, offrendo una maggiore tutela alle persone fisiche e rendendo le aziende più responsabili nell’uso dei dati personali.

Il recente caso di Cambridge Analitica, che ha fatto temere un colosso come Facebook, insegna.

Dalla pubblica amministrazione al settore privato, il nuovo sistema vuole accrescere la consapevolezza del valore dei dati personali e della loro protezione.

Ma vediamo nello specifico di che si tratta e cosa bisogna fare per regolarizzare il proprio sito web.

.

Cosa dice il GDPR:
Il regolamento indica ogni proprietario del sito come responsabile per il trattamento dei dati. Viene quindi introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel miglior modo possibile la sicurezza dei dati raccolti e di dimostrare all’Ente di controllo l’utilizzo di tecniche adeguate alla natura dei dati.

 

Cosa fare in pratica:
Ogni sito web e ogni blog dovranno pubblicare una cookie policy dettagliata, più complessa di quella che fino a poco tempo fa era accettata ed una pagina dedicata alla privacy policy, dove vengono spiegati dettagliatamente i diritti degli utenti in base agli articoli di legge previsti dal GDPR, la garanzia all’oblio, le modalità di richiesta dello stesso e l’elenco dei servizi di terze parti che profilano gli utenti durante la navigazione del sito web. Per quanto riguarda questi servizi è necessario rimandare alla pagina di privacy policy del loro sito web.

Di seguito vi elenco e spiego quello che deve contenere questa pagina sulla Privacy Policy.

.

Chi siamo:
In questa prima sezione dovete riportare l’URL del vostro sito, nonché il nome dell’azienda, dell’organizzazione o dell’individuo dietro di esso e alcune informazioni di contatto accurate.

La quantità di informazioni che potrebbe essere obbligatoria per la presentazione varierà in base alle normative aziendali locali o nazionali. Ad esempio, potrebbe essere obbligatorio visualizzare un indirizzo fisico, un indirizzo registrato o il numero di registrazione della società.

Testo suggerito: L’indirizzo del nostro sito web è: https://www.tuodominio.it

.

Quali dati personali raccogliamo e perché li raccogliamo:
In questa sezione dovresti annotare quali dati personali raccogli dagli utenti e visitatori del sito. Questo potrebbe includere dati personali, come nome, indirizzo email, preferenze personali sull’account, dati transazionali, come informazioni sugli acquisti, e dati tecnici, come informazioni sui cookies.

Dovresti anche prendere nota della raccolta e della conservazione di dati personali sensibili, come i dati relativi alla salute, qualora li raccogliessi.

Oltre a elencare i dati personali che raccogli, devi motivare il perché lo fai. Queste spiegazioni devono considerare sia la base legale per la raccolta e la conservazione dei dati, sia il consenso attivo che l’utente ha fornito.

I dati personali non vengono creati solo dalle interazioni dell’utente con il tuo sito. I dati personali sono generati anche da processi tecnici come moduli di contatto, commenti, cookie, statistiche e incorporamenti di terze parti.

Se utilizzi WordPress per la gestione dei contenuti del tuo sito web, stai tranquillo, WP non raccoglie dati personali sui visitatori e raccoglie solo i dati mostrati nella schermata Profilo utente dagli utenti registrati.
Tuttavia, però, alcuni plugin che hai installato sul tuo sito potrebbero raccogliere dati personali. Dovresti controllare ed aggiungere le informazioni su questo.

 

Commenti:
Qui dovresti riportare quali informazioni vengono prese attraverso i commenti.

Quando i visitatori lasciano commenti sul sito, si raccolgono i dati mostrati nel modulo dei commenti e anche l’indirizzo IP del visitatore e la stringa del user agent del browser per aiutare il rilevamento dello spam.

Una stringa anonimizzata creata dall’ indirizzo email dell’utente (anche chiamata hash) può essere fornita al servizio Gravatar per vedere se lo stai utilizzando. La privacy policy del servizio Gravatar è disponibile qui: https://automattic.com/privacy/.
Dopo l’approvazione del tuo commento, l’immagine del profilo dell’utente è visibile al pubblico nel contesto del commento.

 

Media:
In questa sottosezione dovresti annotare quali informazioni potrebbero essere divulgate dagli utenti che possono caricare file media. Tutti i file caricati sono solitamente pubblicamente accessibili.

 

Modulo di contatto:
Se utilizzi un plugin per il modulo di contatto, in questa sottosezione devi descrivere quali dati personali vengono acquisiti quando qualcuno invia un messaggio dal modulo di contatto e per quanto tempo lo si conserva. Ad esempio, è possibile riportare che si mantengono gli invii dei moduli di contatto per un certo periodo ai fini del servizio clienti, ma non si utilizzano le informazioni inviate attraverso di loro per scopi di marketing.

 

Cookie:
In questa sottosezione dovresti elencare i cookie utilizzati dal tuo sito web, compresi quelli impostati dai tuoi plugin, social media e statistiche.

 

Contenuto incorporato da altri siti web:
Se nel tuo sito includi contenuti incorporati (ad esempio video, immagini, articoli, ecc.) dovrai specificarlo qui. I contenuti incorporati di altri siti web si comportano esattamente come se il visitatore avesse visitato l’altro sito web.

Questi siti web possono raccogliere dati sugli utenti, utilizzare cookie, integrare ulteriori tracciamenti di terze parti, e monitorare l’interazione con quel contenuto incorporato, incluso il tracciare l’interazione con il contenuto incorporato se l’utente ha un account e si connette a quel sito web.

 

Analytics:
In questa sottosezione dovresti annotare quali pacchetti analitici usi, come gli utenti possono uscire dal tracciamento analitico, e un link alla privacy policy dei tuoi provider di analisi, se presenti.

Se utilizzi WordPress potresti aver installato un plugin per WP che fornisce servizi di analisi. In tal caso, aggiungi qui le informazioni da quel plugin.

 

Con chi condividiamo i tuoi dati:
In questa sezione dovresti nominare ed elencare tutti i fornitori di terze parti con cui condividi i dati del sito, inclusi partner, servizi basati su cloud, sistemi di pagamento e fornitori di servizi di terze parti, e riportare quali dati condividi con loro e perché. Aggiungi un collegamento alle loro privacy policies, se possibile.

 

Per quanto tempo conserviamo i tuoi dati:
In questa sezione dovresti spiegare per quanto tempo conservi i dati personali raccolti o elaborati dal sito web. Anche se è tua responsabilità descrivere per quanto tempo mantieni ogni set di dati e perché lo mantieni, queste informazioni devono essere elencate qui.
Ad esempio, potresti voler dire che mantieni le voci dei moduli di contatto per sei mesi, i record delle statistiche per un anno e i record di acquisto dei clienti per dieci anni.

Esempio: Se si lascia un commento, il commento e i relativi metadati vengono conservati a tempo indeterminato. È così che si possono riconoscere e approvare automaticamente eventuali commenti di follow-up invece di tenerli in una coda di moderazione.

Per gli utenti che si registrano sul sito web (se il tuo sito dà questa possibilità), devi specificare che memorizzi anche le informazioni personali che forniscono nel loro profilo utente. Tutti gli utenti possono vedere, modificare o cancellare le loro informazioni personali in qualsiasi momento (eccetto il loro nome utente che non possono cambiare). Gli amministratori del sito web possono anche vedere e modificare queste informazioni. Specificalo.

 

Quali diritti hai sui tuoi dati:
In questa sezione dovresti indicare quali diritti hanno i tuoi utenti nella gestione dei loro dati e come possono esercitarli

 

Dove spediamo i tuoi dati:
In questa sezione dovresti elencare tutti i trasferimenti di dati del sito al di fuori dell’Unione Europea (se è così) e descrivere in che modo i dati sono salvaguardati in base agli standard europei di protezione dei dati. Questo potrebbe includere il tuo web hosting, il cloud storage o altri servizi di terze parti.

La normativa europea sulla protezione dei dati richiede che i dati riguardanti i residenti europei trasferiti al di fuori dell’Unione Europea siano tutelati secondo gli stessi standard come se i dati fossero in Europa. Cosi oltre a elencare dove vengono spostati i dati, dovresti descrivere in che modo vengono assicurati che questi standard siano soddisfatti da parte tua o dai tuoi fornitori di terze parti, sia attraverso un accordo come il Privacy Shield, clausole nei tuoi contratti o regole aziendali vincolanti.

 

Le tue informazioni di contatto:
In questa sezione si dovrebbe segnalare un metodo di contatto per problemi riguardanti la privacy. Se è necessario disporre di un Responsabile della Protezione dei Dati (DPO), elencare qui il loro nome e i dettagli completi del contatto.

 

Informazioni aggiuntive:
Se usi il tuo sito per scopi commerciali e ti impegni in una raccolta più complessa o nel trattamento dei dati personali, dovresti prendere nota delle seguenti informazioni nella tua privacy policy oltre alle informazioni di cui abbiamo già discusso.

 

Come proteggiamo i tuoi dati:
In questa sezione dovresti spiegare quali misure hai preso per proteggere i dati dei tuoi utenti. Questo potrebbe includere misure tecniche come la crittografia, misure di sicurezza come l’autenticazione a due fattori e misure come la formazione del personale sulla protezione dei dati. Qui puoi anche menzionare se hai effettuato una valutazione dell’impatto sulla privacy.

 

Quali procedure contro la violazione di dati sono in atto:
In questa sezione, dovresti spiegare quali procedure attuerai nell’eventualità di una falla dei dati, sia essa potenziale o reale, come ad esempio sistemi di report interni, messa in contatto automatica o cacciatori di bug.

 

Da quali terze parti riceviamo dati:
Se il tuo sito web riceve dati sugli utenti da terze parti, compresi gli inserzionisti, queste informazioni devono essere incluse nella sezione della tua privacy policy che tratta i dati di terze parti.

 

Quale processo decisionale automatizzato e/o profilazione facciamo con i dati dell’utente:
Se il tuo sito web fornisce un servizio che include il processo decisionale automatico, per esempio permettere ai clienti di richiedere credito, o aggregare i loro dati in un profilo pubblicitario – devi specificarlo e includere informazioni come quell’informazione è usata, quali decisioni sono fatte con quei dati aggregati, e quali diritti hanno gli utenti sulle decisioni prese senza intervento umano.

 

Se seguirai passo passo questa guida, ti porterà ad essere perfettamente in regola con la nuova normativa GDPR e a poter dormire sogni tranquilli.

Per un’eventuale consulenza, o se semplicemente hai bisogno di una mano, non esitare a CONTATTARMI.

 

___

P.S. Se ti va, lasciami pure un commento sull’argomento trattato. I feedback sono sempre molto importanti. Grazie!

Info sull'autore

Marco Barbiero administrator

Sono Marco Barbiero e nasco in Puglia, nel sud dell’Italia. Esperto di musica ed amante dei viaggi e della tecnologia, nonchè web-dipendente sin dai primordi del 56k, dopo alcuni anni a Berlino sono rientrato nella mia bella Lecce. Oggi mi occupo di consulenza web, di ideazione siti, blog ed e-commerce, e collaboro con alcune web agency italiane.

Commenta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.