IL GDPR è il regolamento europeo per la privacy, e riguarda tutti i siti web inclusi i blog personali e soprattutto gli e-commerce. La prudenza in tema di privacy infatti non è mai troppa, e con l’era digitale il rischio di scarsa protezione dei propri dati personali è cresciuto a dismisura.
Plugin per il GDPR
In pratica ogni sito dovrà avere una cookie policy dettagliata (diversa da quella semplice che veniva fatta fino a poco tempo fa) ed una pagina di privacy policy molto dettagliata nella quale viene spiegato agli utenti tutti i loro diritti in base agli articoli di legge previsti dal GDPR, la loro garanzia all’eventuale diritto all’oblio oltre a spiegare come chiederlo, e anche tutti i servizi di terze parti che profilano gli utenti del sito come ad esempio: Google Analytics, Google Adsense, Mailchimp oppure altri servizi di newsletter, etc.
Per i servizi di terze parti si potrebbe rimandare alla pagina di privacy policy di questi ultimi, ma è chiaro che non si può pensare di scrivere una pagina di privacy policy da soli senza l’intervento di un legale che abbia studiato la normativa del GDPR.
Per venire in aiuto di chi ha siti web e blog piccoli esistono dei plugin per wordpress (a pagamento) che consentono di mettersi in regola con il gdpr compliance, vediamo i migliori quali sono:
Con Iubenda esiste un servizio gratuito per generare cookie e privacy policy, limitato solo ad alcuni plugin di terze parti. Se si vuole un servizio completo bisogna andare su un abbonamento annuale che viene 19€.
Cookie Bot è un’alternativa a Iubenda, leggermente più costoso. Esiste un servizio gratis ma per quanto riguarda i paini a pagamento partono da circa 9 € al mese.
Cos’è il GDPR
E’ per questo, probabilmente, che anche l’Unione Europea ha deciso di intervenire sul tema, introducendo una regolamentazione più ferrea e omogenea del trattamento dati per i cittadini dell’Unione: il GDPR appunto.
Il GDPR, General Data Protection Regulation, è il Regolamento generale sulla protezione dei dati che inizierà ad essere applicato a partire dal 25 maggio 2018 dopo un periodo di transizione – ormai trascorso – di due anni.
Tale regolamento, che andrà a sostituire la vecchia Direttiva UE, ha lo scopo di rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini dell’Unione Europea e dei residenti nell’Unione, non solo all’interno ma anche all’esterno dei confini dell’UE.
Obblighi del GDPR
IL GDPR si rivolge a tutte le aziende, ecommerce e siti web che raccolgono e gestiscono dati di residenti nell’Unione Europea, comprese quelle con sede legale al di fuori dell’Unione.
I suoi obiettivi principali sono di ridare ai cittadini il controllo dei loro dati personali e di semplificare e standardizzare la normativa sulla privacy e sulla libera circolazione dei dati all’interno dell’UE, finora affidata alla specifica legislazione nazionale dei vari Stati membri (la vecchia direttiva, infatti, prevedeva l’applicazione con leggi specifiche a carico dei vari Stati; il nuovo Regolamento, invece, è subito operativo e, quindi, comune a tutti i Paesi dell’Unione). Di conseguenza, sarà abrogata gran parte delle norme previste attualmente in Italia in tema di privacy.
Inoltre, è stata emanata un’altra direttiva collegata, la UE 2016/680, che prevede, invece, una disciplina speciale e meno severa per il trattamento dei dati da parte dell’Autorità Giudiziaria e delle forze di polizia: in questo caso, quindi, la legislazione in merito sarà ancora affidata ai singoli Stati membri.
Il tema della privacy torna ad essere quindi particolarmente sentito dagli utenti del web, sia per le profilazioni che vengono fatte da siti come Amazon o Google e che hanno portato alla nascita di motori di ricerca alternativi come DuckDuck Go che non raccolgono dati, sia per lo scandalo facebook dopo Cambridge Analytics, che ha portato motli utenti del social di Zuckerberg a cancellarsi da facebook.
Ma a chi si rivolge il GDPR e quali sono le sostanziali novità da esso previste?
Le Sanzioni previste dal GDPR
La protezione dei dati a cui il Regolamento europeo fa riferimento è relativa alle persone fisiche presenti sul territorio dell’Unione e l’impegno in tale protezione, una vera e propria “missione”, spetta a tutte le imprese e gli enti, presenti o meno sul territorio europeo, che raccolgono e trattano dati personali dei propri clienti, se questi ultimi risultano essere cittadini o residenti dell’UE. L’esigenza di stabilire norme più severe, ma anche più semplici e unificate, in tema di tutela della privacy è nata soprattutto dai sempre più frequenti attacchi informatici verificatisi negli ultimi anni, che hanno portato a dispersione, cancellazione, modifica e fuga di dati personali, ai danni della privacy e della libertà di moltissimi individui.
Ormai manca davvero poco, appena tre mesi, all’effettiva entrata in vigore del GDPR e le aziende non possono farsi trovare impreparate ad accogliere tali cambiamenti normativi, anche perché le sanzioni previste in caso di mancata osservanza delle regole sono tutt’altro che leggere: esse possono arrivare, infatti, fino al 4% del fatturato globale annuo dell’azienda stessa o a 20 milioni di euro. Possono, insomma, influire sullo stesso futuro dell’impresa coinvolta, perciò è importante prendere seriamente in considerazione le nuove disposizioni del Data Protection e prepararsi per tempo a tale profondo e significativo cambiamento.
Per venire incontro alle aziende coinvolte e per una maggiore consapevolezza anche da parte dei cittadini stessi, spieghiamo quali sono le principali novità introdotte dal GDPR:
- Sportello unico (One Stop Shop): per facilitare il compito delle imprese operanti in più Paesi dell’Unione e uniformare l’approccio alla gestione dei dati, si farà riferimento a una sola Autorità Sovrintendente (Garante della privacy), quella dello Stato dove l’azienda ha la propria sede principale. Inoltre, le diverse Autorità degli Stati membri dovranno collaborare e operare congiuntamente e uniformemente nel loro compito di supervisione delle attività di gestione dati.
- Principio di “responsabilizzazione”: i titolari del trattamento dati hanno la responsabilità (accountability) della gestione di tali dati, per cui non solo devono rispondere di eventuali danni alla libertà e alla privacy dei propri clienti, derivanti da gestioni poco sicure dei loro dati, ma devono soprattutto predisporre un’analisi dei rischi preventiva, in modo da evitare che tali danni si verifichino.
- Data breach: il titolare del trattamento dati ha l’obbligo di comunicare al Garante per la privacy, entro 72 ore, eventuali violazioni dei dati personali riscontrate. Se la violazione rappresenta una minaccia per i diritti e le libertà delle persone coinvolte, inoltre, avrà l’ulteriore obbligo di comunicare il data breach anche agli interessati e fornire indicazioni su come intende limitare i danni.
- DPO (Data Protection Officer): il GDPR ha introdotto anche una nuova figura all’interno delle aziende che trattano dati personali, quella del Responsabile della protezione dei dati (Data Protection Officer), che avrà il compito di assicurare la corretta gestione dei dati da parte dell’azienda/ente. Tale profilo deve essere selezionato sulla base di specifiche competenze “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore” e di “qualità professionali adeguate alla complessità del compito da svolgere” (dovrà essere esperto, ad esempio, di processi informatici e di tecniche per la sicurezza dei dati e la gestione dei cyber-attacchi). Il DPO deve essere indipendente dal titolare del trattamento e avere autonomia decisionale, deve riferire direttamente al vertice dell’azienda e deve avere a sua disposizione adeguate risorse umane e finanziarie per lo svolgimento del delicato compito che gli compete.
- Portabilità dei dati: diritto di trasferimento (“portabilità”) dei propri dati personali da un titolare del trattamento a un altro, all’interno del territorio dell’Unione e fatta eccezione per i dati contenuti negli archivi di interesse pubblico.
- Consenso: il nuovo Regolamento europeo prevede norme più chiare in merito al consenso al trattamento dei propri dati personali, che deve essere esplicitato, così come devono essere chiare, legittime e pertinenti le finalità per cui tali dati saranno utilizzati; esso, inoltre, può essere ritirato o limitato in qualsiasi momento da parte dell’interessato.
- Sicurezza dei dati: il titolare del trattamento e il responsabile della protezione dei dati devono garantire la sicurezza di questi ultimi, mettendo a punto misure tecniche e organizzative adeguate al rischio calcolato.
- Accesso ai dati: il titolare del trattamento dati avrà anche l’obbligo di predisporre un registro delle attività di trattamento, dove specificare le finalità della raccolta dati, le categorie di dati personali e di soggetti interessati, le misure di sicurezza adottate, ai fini della trasparenza e del rispetto del diritto di accesso ai dati da parte degli utenti.
- Diritto alla cancellazione, limitazione e rettifica: l’interessato ha diritto a chiedere al titolare del trattamento dei suoi dati la cancellazione di questi ultimi o, anche, la limitazione del loro trattamento o la rettifica.
Viste le svariate novità introdotte, è facile capire che l’adeguamento di aziende e Pubbliche Amministrazioni al GDPR non sarà certo semplice, in quanto richiederà un sostanziale impegno e investimento organizzativo, tecnologico e finanziario. Ma, allo stesso tempo, esso risulta necessario, oltre che giusto e vantaggioso per i cittadini dell’Unione.
GDPR e Siti Web: come mettersi in regola
Ogni sito web è obbligato a conformarsi al GDPR, anche i blog. Per essere in regola con il GDPR ogni sito web deve contenere al suo interno:
- Cookie Policy
- Privacy Policy Completa
Per farlo velocemente e in maniera economica si può usufruire dei servizi di Iubenda, che a partire da 19€ consentono di generare la privacy policy direttamente online ed inserirla nel footer del sito, così come per le cookie.
GDPR: La Guida del Garante della Privacy
Il Garante della Privacy ha realizzato una guida per il GDPR in Pdf, che affronta tutti i temi legati al nuovo regolamento europeo della privacy in maniera semplice e graficamente accattivante.