Il GDPR, entrato in vigore il 25 maggio 2018, ha avuto importanti conseguenze sul mondo del web. Tuttavia, a distanza di un anno, ci sono ancora aziende ed enti pubblici impreparati ad accogliere le novità in materia di protezione di dati personali.
Cos’è la GDPR
Il GDPR (acronimo di General Data Protection Regulation) è il regolamento europeo sulla protezione dei dati sensibili degli utenti. Si riferisce alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. È applicabile a tutti i Paesi membri dell’Unione Europea.
Il GDPR nasce come risposta al problema urgente di certezza giuridica e semplificazione delle norme riguardanti il trasferimento dei dati personali online degli utenti dall’UE verso altre parti del mondo.
Le norme si applicano anche alle imprese situate fuori dall’Unione Europea che offrono servizi o prodotti all’interno del mercato Ue. Stabiliscono anche norme rigorose per i casi di violazione dei dati (data breach). Per questo motivo, anche altri Paesi hanno dovuto adeguarsi per poter continuare ad offrire i loro servizi ad un’utenza europea.
In pratica, perché i siti web siano a norma il semplice banner che dice “Continuando a navigare accetti i cookie” non basta più. È necessario che l’utente accetti consapevolmente la regolamentazione attraverso un click.
Quali dati vengono tutelati
Con l’introduzione della GDPR, vengono regolamentate la raccolta, la conservazione e la consultazione dei dati personali. Per “dati” si intendono tutte quelle informazioni che permettano di identificare una persona, come nome, foto, codice fiscale, indirizzo IP.
Violare questo regolamento implica l’incorrere in una sanzione tanto più salata quanto più è grave l’infrazione commessa, dalla semplice diffida amministrativa fino a venti milioni di euro.
Nel regolamento viene introdotto il principio della responsabilizzazione dei titolari del trattamento (accountability) e un approccio più attento nei confronti dei rischi che lo stesso trattamento dei dati può comportare. L’obiettivo è quello di facilitare il passaggio di dati da un provider di servizi all’altro, in vista del Mercato Unico Digitale.
Come regolarizzare la propria posizione
Se hai o se gestisci un sito web, ti sarai sicuramente posto il problema di regolarizzare la tua posizione in ambito GDPR. Per farlo, devi:
- Avere una pagina di Privacy Policy, in particolare di Cookie Policy, dove spiegare quali dati raccogli, in che modo e per quale motivo, chi ha accesso ai dati e per quanto tempo verranno conservati nei tuoi archivi.
- Ottenere un consenso esplicito da parte dell’utente per raccogliere i suoi dati.
- Dare la possibilità all’utente di accedere, scaricare o cancellare i propri dati dai tuoi registri.
- Informare l’utente e il Garante della Privacy in caso di violazioni di sicurezza.
Un aspetto molto critico, oltre alla presenza di un banner di cookie policy e a una sezione in cui descrivere la propria privacy policy, è rappresentato da tutti i form che si inseriscono sui siti per la raccolta di richieste di preventivo o di contatto.
Infatti, il GDPR prevede che per tutti i dati inseriti dall’utente è necessario raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso.
Ciò significa tener traccia del form e dei testi con cui il consenso è stato richiesto dall’utente all’interno di un database sempre disponibile e si parla quindi di una soluzione informatizzata di gestione del consenso.
Il tuo sito è a norma? Se hai ancora dei dubbi, contattaci e sapremo darti le risposte che cerchi!
