GDPR n.679/2016 e siti web: alcune informazioni per mettersi in regola

0
8159
GDPR
Nota Bene: Questo articolo non è più aggiornato da almeno 6 mesi perciò verifica le informazioni contenute che potrebbero essere obsolete.

Attenzione questo articolo non è ancora completo e in alcuni punti è oscuro e nebuloso (come del resto il GDPR 679/2016). Per questo motivo lo aggiornerò più e più volte. Per rimanere sintonizzati sulle eventuali modifiche vi tocca seguire un qualunque social collegato a questo sito.

Pur se un molti ne parlano di informazioni in merito ve ne sono poche e non chiare, a parte alcuni burocratici articoli a cura del garante alla privacy italiano.

Per questo motivo mi sono deciso a leggere tutta la normativa relativa alla protezione dei dati di cui tanto si discute.

Vediamo quindi assieme cosa dobbiamo fare per (provare a capire) come mettere in regola un sito web per il GDPR n.679/2016 (Regolamento Europeo in materia di protezione dei dati personali) che entrerà in vigore il 25 Maggio 2018.

Attenzione! Questo è un post in divenire, le informazioni a seguire le farò validare da (spero) più di un avvocato, quindi ad ora prendetele con le pinze, sono i dati che ho estratto dalla normativa rilasciata online.

Tutti i riferimenti che trovate colorati così fanno capo a questo pdf.

Cos’è il GDPR n.679/2016

È una nuova legge che entrerà in vigore dal 25 maggio 2018, ma immagino come per la normativa cookie, entrerà in fase di rodaggio in un percorso di (pseudo)aiuto per chi si vuole mettere in regola per evitare eventuali sanzioni.

Ha senso fare questo lavoro? Arrivano le multe?

Si le sanzioni arrivano e spesso sono salate (oltre che rimanere in SERP a contribuire all’immagine negativa della propria azienda).

Perchè questo nuovo GDPR?

Lo scopo di questa normativa è (per me) triplo:

  • Tutelare i dati dei cittadini europei
  • Uniformare il regolamento per le diverse nazioni del vecchio continente
  • Rendere più consapevoli gli utenti del web che i propri dati sono una merce che ha un determinato valore

Fondamentalmente il nuovo GDPR n.679/2016 prova a rendere il rilascio dei dati personali dell’utenza da inconsapevole a esplicito e notificato. Dico prova perché il web è vasto e sicuramente in molti proveranno a fare i furbi.

Comunque leggendo il GDPR quel che si evince è che se prima (in teoria) si poteva approfittare della buona fede dell’utenza dal 25 maggio si dovrà prima chiedere il permesso per far si che il visitatore delle vostre pagine ueb vi fornisca i suoi dati (diventando di fatto un cliente del vostro prodotto).

Dico in teoria perché se pur in molti dicono: UFF QUANTE LEGGI CI SONO ORA! in realtà sono anni che è necessario far accettare il consenso alla privacy (e quindi all’uso dei dati) all’utenza che compila un form in cui vengono richiesti.

Quello che vi è in più in questo GDPR (oltre a ribadire questo concetto) è il fatto che nella privacy policy è necessario spiegare a chi rilascia i propri dati che in qualunque momento gli interessati, in qualsiasi momento, devono poter cancellare i propri dati personali.

Con in qualsiasi momento praticamente si vuol dire che:

  • Se richiedi una registrazione l’utente deve poter accedere e cancellare i dati inseriti
  • Se immagazzini i dati in seguito a compilazione di form e li salvi devi fornire la possibilità di poterli cancellare

Per ogni riferimento a voi il documento pubblicato sulla gazzetta ufficiale dell’Unione Europea e un articolo aggregativo di tutti gli aspetti da considerare a cura del garante alla privacy italiano.

Nei testi normativi vi sono due passaggi che vanno analizzati nel dettaglio:

stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” e “riguardo al trattamento dei dati personali

Attenzione! Tutti i dati soggetti a questa normativa sono solo quelli relativi alle persone in vita. I dati di coloro che sono deceduti sono di libero uso se non normati nella nazione di riferimento. Si ok potrebbe essere una notizia inutile, non ha un buon ROI effettuare attività di profilazione sui morti ;D . punto 27 Regolamento (UE) 2016/679 del parlamento europeo e del Consiglio del 27 aprile 2016

I minori necessitano poi di una specifica protezione relativa ai loro dati personali punto 38 Regolamento (UE) 2016/679 soprattutto ai fini di marketing. Che vuol dire? Non l’ho capito subito, ma qualcosa di più solo a seguire.

Dati personali VS Elaborazione dei dati

Sono due differenti query che vanno esplicitate per comprendere tutto il resto:

  • Dati personali: sono tutte le informazioni fornite dall’utente (nome, cognome, etc) nei campi input di un form e tutte le informazioni dedotte per mezzo di codice (IP, provenienza geografica, etc)
  • Elaborazione dei dati: quando i dati vengono trasformati, ovvero a partire dai dati dell’utente si effettuano dei meccanismi di integrazione delle informazioni raccolte su più servizi per incrementare le informazioni associate al dato di un singolo utente.

La pseudonimizzazione

Se scollegate i dati personali (ad esempio associandoli ad un id) all’attività svolta da un utente sul sito, effettuate attività di pseudonimizzazione. Ovvero come quando vai dal medico e al posto di chiamarti per nome e cognome ti chiamano per numero/colore che ti hanno assegnato.

La pseudonimizzazione è buona e saggia cosa.

punto 28-29 Regolamento (UE) 2016/679 del parlamento europeo e del Consiglio del 27 aprile 2016

I soggetti chiamati in causa

Prima informazione importante: questa normativa non riguarda il trattamento dei dati personali se effettuato da persona fisica nel caso effettui attività non legate ad una attività commerciale/professionale. Ovvero se non vi è pecunia di mezzo punto 18 Regolamento (UE) 2016/679.

Prima di tutto è necessario sapere che il webmaster del sito non è l’unico soggetto che deve intervenire, ma anche i proprietari dello stesso dovranno adeguare le proprie procedure.

In sintesi dovranno lavorare in sinergia:

  • Il webmaster/sviluppatore dovrà normare TECNICAMENTE il sito web affinché risponda ai requisiti di legge
  • I proprietari del sito dovranno vigilare nel tempo per rispondere (oltre che di fatto nel caso di eventuali provvedimenti disciplinari) dei dati raccolti nei confronti dell’utenza

Cosa fare per mettersi in regola per il GDPR n.679/2016

In sostanza in generale quel che si deve fare è:

  • Richiedere il consenso esplicito all’uso dei dati
  • Modificare la propria privacy policy presente sul sito
  • Prevedere eventuali rischi di fuga dei dati
  • Notificare eventuali fughe dei dati (e quindi avere una copia dei dati)
  • Capire se i dati trattati richiedano una valutazione d’impatto sulla protezione dei dati prima del trattamento punto 90 e a seguire Regolamento (UE) 2016/679
  • Se inviate i dati a terzi extraeuropa tante altre belle cose che mi sembrano decisamente troppo onerose per l’interessato (si stiamo parlando ad esempio di dropshipping), ovvero se inviate dati extraeuropa ad una struttura piena di buchi dove sicuramente verranno diffusi senza autorizzazione è compito di chi li invia premunirsi tutelando i dati, anonimizzandoli punto 108 e a seguire Regolamento (UE) 2016/679
  • Oltre alle regole europee si deve sottostare alla legislazione locale in cui agisce il sito (pensavate bastasse il GDPR?) punto 121 e a seguire Regolamento (UE) 2016/679
  • Se sei una chiesa, associazione/comunità religiosa hai dei vantaggi nel trattare i dati personali punto 165 Regolamento (UE) 2016/679
  • Modifica alla normativa estesa sui cookie con quanto abbiamo visto

Attenzione! Se trattate dati medici punto 34/35, relativi ai minori, che possono far differenza tra la vita e la morte dell’interessato punto 46, o dati particolarmente sensibili punto 51/52/53/54 informatevi nel dettaglio!

Richiedere il consenso esplicito all’uso dei dati

Attenzione! Pur se ribadito dal GDPR n.679/2016 questo aspetto deve essere già in regola, dato che sono anni che è normato.

Per far inviare un form in cui avete raccolto i dati dell’utente è necessario che l’utente flagghi una casellina (radiobutton o checkbox) relativa ad una voce del tipo: Si ho letto la normativa sulla privacy e l’accetto. Se non viene flaggata l’opzione il form NON deve inviare i dati e di vostro NON dovete mettere il campo già flaggato come condizione di default punto 32.

Il form è opportuno che invii una notifica contenente il fatto che l’utente ha accettato la privacy policy punto 42 Regolamento (UE) 2016/679.

Modifica alla normativa sulla privacy

Attenzione! La pagina sulla privacy deve già contenere queste informazioni, nel GDPR n.679/2016 vengono ribadite ma se siete attività commerciale e non le avete già ad oggi non siete in regola.

Nella normativa sulla privacy è necessario specificare:

  • Chi è il responsabile dei dati personali raccolti e dove vengono immagazzinati (che dovrebbe corrispondere con la sede dell’attività) punto 36
  • La finalità dei dati che raccogliete punto 39
  • Che la finalità dei dati raccolti siano legittime (ovvero se fornisco i miei dati per ricevere una newsletter di santini della chiesa non mi devono arrivare DEM sui falli di gomma colorati utilizzati in pratiche sadomaso) punto 39
  • il fatto che dopo un determinato periodo di tempo i dati personali vengono cancellati (il lasso temporale è definito come non più lungo del necessario e va specificato) punto 39
  • i dati personali inesatti devono poter essere rettificati e/o cancellati dall’utente in autonomia punto 39
  • che i dati personali sono protetti dal furto punto 39
  • Se i dati vengono ceduti a terzi è necessario specificare a chi punto 61
  • Che l’interessato, se i dati vengono registrati, può accedere per eventuale modifica in maniera gratuita punto 63, solo dopo verifica dell’effettiva identità dell’interessato punto 64.
  • Un interessato deve avere diritto all’oblio e che i dati vengano di fatto cancellati, in particolare se quando ha prestato il consenso era minore punto 65.
  • Che se i dati vengono utilizzati ai fini di marketing che il diretto interessato si può opporre al trattamento in qualsiasi momento e in forma gratuita. Queste informazioni vanno presentate chiaramente e separatamente da tutte le altre informazioni (non ho capito se basti una sezione dedicata nella privacy policy o un campo supplementare di consenso nel form) punto 70.
  • Che se raccogliete i dati di minori di anni 16 è necessario il consenso dell’autorità genitoriale art 8 punto 1

Prevedere i rischi

Per mantenere la sicurezza dei dati e prevenire eventuali furti degli stessi è opportuno implementare la criptazione degli stessi punto 83.

Nel caso di dati rubati è necessario effettuare notifica

Se i dati personali da voi raccolti vengono rubati è necessario notificare questo furto, all’attività preposta (ovvero dove fate la denuncia del furto) entro 72 ore dal momento in cui si viene a conoscenza del fattaccio punto 85 e comunicarlo agli interessati punto 86. Quest’ultimo aspetto è decisamente interessante in quanto se i dati sono stati rubati come faccio ad avvertire i diretti interessati? Devo averne una copia!

Modifica alla normativa estesa sui cookie

Come abbiamo visto è necessario chiedere una conferma per l’uso dei dati personali, quindi per tracciare l’IP di un utente (ad esempio in un servizio come google analytics) è necessario far accettare all’utente questa condizione. Quindi nella normativa estesa sui cookie è opportuno spiegare questo concetto (integrando quindi le informazioni che abbiamo visto sopra e che non dovranno risiedere quindi nella sola pagina delle condizioni di privacy).

In più, sempre nell’informativa estesa sui cookie, è necessario fornire all’utenza la possibilità di cancellare i cookie.

Per il resto è come prima, una azione utente diretta presuppone l’accettazione, quindi potete salvare cookie sul computer utente solo dopo che l’utente ha compiuto l’azione e non prima.

5 (100%) su 2 voti

CONDIVIDI
Nato con la passione per l'informatica da mamma Access e papà ASP nel 2002 rinnego repentinamente la mia paternità facendomi adottare da papà PHP e mamma SQL. Allevo HTML e correlati fiori in CSS mentre vedo i frutti del mio orticello SEO crescere grazie alla passione e alla dedizione della coltura biodinamica; perchè il biologico è fin troppo artificiale. Realizzo siti internet a tempo pieno, nei restanti momenti mi occupo di redigere articoli per questo sito e saltuariamente far esperimento nel mare che è internet.

LASCIA UN COMMENTO