Il cambiamento è all’orizzonte con l’arrivo del GDPR (regolamento generale sulla protezione dei dati), la nuova normativa sulla privacy dei dati dell’UE. Poiché tale disciplina si applica alla raccolta di dati ed ha effetto sui cittadini dell’UE, indipendentemente dal fatto che questi abbiano sede in un paese dell’UE o meno, la portata del GDPR ha effetto su chiunque. Queste nuove regole entrano in vigore il 25 maggio 2018, il che significa che c’è ancora pochissimo tempo per adeguarsi alle nuove disposizioni del GDPR.
Sono in molti ad inserire nei loro siti web aziendali dei moduli WordPress che ogni giorno raccolgono informazioni sugli utenti. Questi moduli rientrano nell’ambito del GDPR. Con questo articolo vogliamo metterti a tuo agio e preparati ad affrontare le nuove regole. Una risorsa per iniziare comprendere come devi comportarti affinché i moduli di WordPress del tuo sito web siano conformi al GDPR.
In questo articolo tratteremo tre argomenti principali:
Questo articolo verrà costantemente aggiornato man mano che ci avvicineremo alla data dell’entrata in vigore delle normative, quindi tienilo sott’occhio!
Prima di iniziare …
In primo luogo facciamo una precisazione: non siamo avvocati e quello che segue non è un consiglio legale. Cerchiamo di aiutare le persone in vista dell’entrata in vigore del GDPR, ma se hai bisogno di consigli legali ti invitiamo a consultare un avvocato.
-
Cos’è il GDPR?
Il regolamento generale sulla protezione dei dati (GDPR) sostituisce la direttiva sulla protezione dei dati 95/46/CE. La modifica è molto più di un semplice aggiornamento. Al suo interno, il GDPR rappresenta un passo in più verso la consacrazione del controllo dei dati personali come un diritto umano fondamentale.
Il GDPR consente ai cittadini dell’UE di controllare i propri dati digitali e attribuisce loro il diritto di sapere quando vengono raccolti i dati personali, quali dati vengono raccolti, chi ha accesso a tali dati ed il diritto di eliminarli su richiesta. Questa è solo una panoramica generale, entreremo nel nocciolo della questione più avanti in questo articolo.
In breve, il GDPR è un regolamento sulla riservatezza dei dati che modernizza e normalizza le leggi sulla privacy dei dati in tutta Europa e si applica a qualsiasi organizzazione che raccolga dati sui cittadini dell’UE.
-
Impatto e portata del GDPR
Il GDPR apporta delle modifiche importanti alla legge sulla privacy e inserisce la materia dei dati tra i diritti fondamentali per tutti i cittadini dell’UE.
Aumento dell’ambito territoriale
La portata e l’applicabilità del GDPR non è limitata all’UE, ma influisce invece su qualsiasi sito web / organizzazione che gestisce i dati personali di qualsiasi cittadino dell’UE. Ciò significa che, in sostanza, qualsiasi sito web basato su WordPress deve essere conforme al GDPR, a prescindere dal luogo in cui si trovano fisicamente i server o gli amministratori. Se accetti sul tuo sito il traffico dall’UE e raccogli informazioni dai cittadini dell’UE, la conformità a GDPR è importante.
In termini più tecnici, il GDPR si applica a qualsiasi trattamento di dati personali da parte sia dei titolari (controller) del trattamento che dei responsabili (processor) di tali dati. L’articolo 4 definisce i titolari del trattamento come chiunque sia coinvolto nel determinare come vengono gestiti i dati personali, indipendentemente dal fatto che raccolgano o meno tali dati. I responsabili, invece, sono definiti come chiunque elabori effettivamente dati personali per conto del controller. Questo è un punto chiave da notare in quanto amplia la portata del GDPR a chiunque sia coinvolto non solo nella raccolta, ma anche nel trattamento dei dati personali, compresi i servizi cloud.
Requisito esplicito di consenso per la raccolta dei dati
I requisiti di consenso rafforzati sono il fulcro del nuovo regolamento. Se raccogli o gestisci dati di cittadini dell’UE, devi:
– Richiedere il consenso esplicito di ogni utente prima che avvenga la raccolta di dati. Le richieste devono essere in un linguaggio chiaro, semplice, facilmente comprensibile, senza tecnicismi legali. Deve anche essere isolato da altre questioni o richieste e non essere sepolto in altro testo.
– Avere una politica sulla privacy chiara e accessibile che informa gli utenti su come i dati raccolti saranno archiviati e utilizzati.
– Dar modo agli utenti di richiedere l’accesso e visualizzare i dati che hai raccolto su di loro.
– Fornire agli utenti un modo per ritirare il loro consenso ed eliminare i dati personali raccolti; cioè dare agli utenti il “diritto di essere dimenticati”.
Penalità e multe
La sanzione in caso di non conformità arriva sotto forma di sanzioni amministrative di vario livello, che si adattano alla gravità della violazione. Le sanzioni possono arrivare al 4% del fatturato annuo o fino a 20 milioni di Euro, a seconda di quale importo sia maggiore.
Diritti sull’oggetto dei dati
In parole povere, l’interessato è un cittadino dell’UE dal quale si raccolgono dati personali. La conformità GDPR richiede che agli interessati vengano riconosciuti determinati diritti. Quello che segue non è un elenco esaustivo, ma introduce alcuni diritti rilevanti per la raccolta, l’elaborazione e la memorizzazione dei dati personali sul tuo sito web WordPress.
- Diritto di accesso. Gli interessati devono essere in grado di richiedere e ottenere la conferma che i dati sono o non sono raccolti su di loro, e in tal caso esattamente quali dati vengono raccolti, come, dove e per quale scopo. Tali dati devono anche essere forniti a loro in formato elettronico gratuitamente su richiesta.
- Diritto di essere dimenticato. Ai soggetti interessati deve essere fornito un modo rapido e indolore per revocare il loro consenso e vedere eliminati i dati raccolti.
- Portabilità dei dati. Simile al diritto di accesso, la portabilità dei dati richiede che gli interessati siano in grado di richiedere, ottenere e / o trasferire il possesso dei dati raccolti in qualsiasi momento.
- Notifica di violazione. Se si verifica una violazione / accesso non autorizzato dei dati personali che potrebbe “comportare un rischio per i diritti e le libertà delle persone”, la notifica deve essere effettuata entro 72 ore dalla presa di coscienza della violazione.
-
Come adeguarsi per essere conforme al GDPR?
Secondo i dati ricavati da diverse ricerche in molti settori, il 70% dei collaboratori aziendali ha accesso a dati che dovrebbero essere protetti. Questo fatto rappresenterà un vero e proprio problema quando il GDPR entrerà in vigore a maggio 2018.
Le evidenze riportate sottolineano numerose criticità ed introducono i percorsi che devono essere intrapresi per raggiungere l’obiettivo di conformarsi al GDPR. Sei riuscito a capire come fare per metterti in regola? Puoi fare tutto da solo o hai bisogno di un aiuto da parte di esperti del settore?
InfoLAB Data può aiutarti, contattaci per maggiori informazioni!