Questa è una domanda odiosa e ricorrente ultimamente, un po’ come “che cosa fai a Capodanno?” dell’amico di turno.
E’ una domanda ricorrente soprattutto ora che si avvicina il 25 Maggio 2018, giorno in cui tutti dovranno obbligatoriamente essere in regola con il nuovo regolamento UE per la GDPR. Perchè non c’è niente di più antipatico delle cose che devono essere fatte PER FORZA e contro la propria volontà… ma soprattutto, non c’è niente di più stressante di fare delle cose delle quali non si percepisce l’ effettiva utilità… vero? 😉
Ecco uno dei motivi per cui la NUOVA LEGGE GDPR sta dando così tanti grattacapi. Ma ora ci siamo qui noi e ti promettiamo che in questa mini guida dettagliata ti illustreremo in maniera super semplice e chiara:
- Cos’è la Nuova GDPR
- Qual è l’obiettivo del regolamento
- Quali benefici porta a te e agli altri (sì, ci sono e sono tanti! 🙂 A fine articolo ti sarà più simpatica, vedrai!)
- Come metterla in pratica in maniera chiara e facile (ok, devi prenderti qualche minuto di tempo, ma chi ha detto che devi fare tutto da solo?)
- Quali sono le sanzioni se non ti metti a norma (ma come, non avevi detto che a fine articolo la legge mi sarebbe stata più simpatica? Sì lo so, ma per ogni cosa esiste il rispettivo contrario. Quindi, ad ogni legge…)
La sigla GDPR sta semplicemente per “General Data Protection Regulation”, ossia, nel succo estremo del suo significato, “Regole di Protezione dei Dati Sensibili”.
- A COSA SERVE
Il regolamento Ue per la GDPR si riferisce al trattamento dei dati sia online che offline. Il suo scopo è quello di garantire maggiore controllo sui dati che forniamo come clienti e che gli utenti stessi ci forniscono, nonché maggiore trasparenza sul modo in cui tali dati vengono utilizzati. Si tratta di una legge a tutela di tutti, insomma. Prova a pensarci un attimo: quante volte fastidiosi e inopportuni call center ti hanno telefonato, magari anche sul cellulare, senza che tu avessi la benché minima idea di dove avessero pescato il tuo numero? Ecco, la nuova legge GDPR serve anche ad evitare che in futuro capitino queste cose fastidiose, tutelando la tua Privacy.
“Ma quindi sono cambiati i diritti degli utenti in ambito Privacy?”, forse ti stai chiedendo ora.
NI.
Ci sarà molta più chiarezza e comprensione su come i nostri dati vengono usati, certo. Tutto sarà scritto in maniera chiara, limpida, specifica (almeno, questo è l’obiettivo). Tutti gli utenti, non solo quelli residenti in UE, godranno degli stessi diritti relativi alla privacy dei dati. In più, chi acconsente ai dati, avrà diritto a chiedere (e ottenere) la cancellazione degli stessi, la rettifica o la limitazione del loro utilizzo.
- COSA DEVI FARE IN LINEA TEORICA
Una piccola premessa: per quanto in questa mini guida sia tutto semplificato, è consigliabile comunque chiedere anche il parere di un avvocato, in quanto la nuova legge GDPR non si applica in maniera uguale per tutti (per gli aspetti che vedremo di seguito).
Il tuo sito web
Partiamo dal tuo sito web. Essenzialmente devi far sì che l’utente sia a conoscenza di:
- per cosa utilizzerai i dati;
- per quanto tempo conserverai gli stessi.
- citare nome e recapiti del titolare del trattamento e del responsabile del trattamento
- [se la tua è una piccola impresa queste due figure potrebbero essere la stessa persona, di solito il titolare della ditta… ma non è sempre così]
- spiegare bene modalità e durata del trattamento dei dati dei tuoi utenti
- essere pienamente trasparente e mettere a disposizione degli utenti tutte le informazioni che desiderano anche su richiesta
- elencare tutti i diritti che la legge assegna agli utenti, ad esempio quello di accedere, modificare, cancellare i propri dati, nonché il diritto di opposizione
- essere semplice e chiara: meglio se inserisci una prima pagina con un’informativa breve e “semplificata” con il link ad un’informativa completa ed esaustiva
- ma, soprattutto, dovrà spiegare dettagliatamente quali sono i dati raccolti e le finalitàper cui ciascuno di essi è raccolto
Devi dare quindi una nuova organizzazione ai tuoi termini di utilizzo e alla Politica sulla privacy per renderli più chiari e comprensibili.
L’attuale regolamento va a integrare e potenziare anche la cookie policy. Questa deve essere molto semplice e immediata e ci deve essere anche una sintesi. Il navigatore deve poter modificare, consultare e cancellare i propri dati. In più c’è un’estensione nuova importante, uno dei nuovi diritti che ci toccheranno più da vicino, il cui nome è DIRITTO ALL’OBLIO.
Col diritto all’oblio non sei solo costretto a cancellare dalla newsletter un nominativo se il titolare lo richiede, ma eliminarne definitivamente i dati.
Bisogna dare sempre la possibilità di usufruire del diritto all’oblio, in maniera semiautomatica o automatica. Queste operazioni devono essere ovviamente facili e consultabili.Qualsiasi operazione che tratti i dati deve insomma avere, anche dal punto di vista informatico, (sito web, ecc…), questa possibilità.
Se ti stai chiedendo cosa devi fare quindi in maniera pratica, noi ti consigliamo il tool Online IUBENDA.
Lo sapevi? Per i siti di piccole dimensioni è GRATIS! Clicca qui per creare il tuo account su Iubenda.com
Puoi personalizzare IUBENDA in base a tutti i servizi che offri. Il tuo sito, ad esempio, potrebbe offrire Analytics, i Social, il modulo contatti, i commenti, la chat che si apre automaticamente. Ricorda, anche per i plugin di terze parti (come ad esempio di wordpress), dev’essere presente la spunta per la privacy e il link all’informativa estesa.
Una precisazione importante. La versione gratuita di Iubenda non tratta la GDPR, per quella bisogna comprare almeno la versione PRO. Inoltre NON METTE del tutto IN REGOLA IL SITO, ma serve ad avere una “base” fondamentale ed essenziale per la pagina dell’informativa.
Ecco perché ti consigliamo comunque la consulenza di un legale e un tecnico web master GDPR Compliant in tal senso.
Una volta attivato IUBENDA AVRAI PERSINO A DISPOSIZIONE un codice JAVASCRIPT da inserire copia/incolla nella pagina PRIVACY per aggiornarla.
Insomma, grazie a IUBENDA avrai la tua cookie policy aggiornata e una pagina dedicata alla privacy policy, in cui verranno spiegati i diritti degli utenti in base agli articoli di legge previsti dal GDPR, la garanzia all’oblio, le modalità di richiesta del diritto, e soprattutto il famigerato elenco dei servizi di terze parti che profilano gli utenti durante la navigazione del sito web.
Nel momento in cui si elencano i servizi di terze parti, è necessario rimandare alla pagina di privacy policy degli ultimi.
ATTENTO. La nuova legge stabilisce in maniera precisa che DEVI CREARE UNA PROVA CERTA che non solo hai informato le persone, ma anche che queste hanno accettato le condizioni e che tu li metti in grado di modificare, cancellare, ecc. ecc. queste ultime
- COSA DEVI FARE PRATICAMENTE
DEVI CREARE UNA SORTA DI DOCUMENTO che conservi per dimostrare tutto questo.
Il regolamento introduce anche una nuova figura aziendale: il Data Protection Officer, ovvero il responsabile della protezione dei dati. Il DPO dovrà assicurare la gestione corretta dei dati da parte dell’azienda. Il DPO deve essere indipendente dal titolare del trattamento e avere autonomia decisionale. Infatti c’è l’obbligo per il titolare di predisporre un registro delle attività di trattamento, dove specificare le finalità della raccolta dati, le categorie di dati personali e di soggetti interessati, le misure di sicurezza adottate, ai fini della trasparenza e del rispetto del diritto di accesso ai dati da parte degli utenti.
La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.
Inoltre, se raccogli dei dati personali (in qualsiasi modo) e poi passi tali dati ad un’altra persona (a un qualsiasi altro professionista ad esempio) allora anche quest’ultimo deve essere a norma. Tu sei il data controller (ma anche il data processor) e puoi lavorare solo con persone (data processor) che sono a norma, altrimenti tutti e due potreste incappare in sanzioni
E se lavori con qualcuno che non è GDPR COMPLAINED?
In questo caso potresti incorrere in sanzioni. Ad esempio, anche la campagna Facebook viene considerata attività di profilazione, quindi deve essere tutto a norma. Facebook è già messo a norma con l’accettazione. Il problema è quando tu gestisci la campagna del cliente, adesso è applicabile di sanzione anche CHI GESTISCE I DATI della campagna.
A proposito… hai bisogno di qualcuno che segua in maniera professionale la tua pagina Facebook? NOI possiamo farlo! Clicca QUI se vuoi saperne di più.
Speriamo di averti intanto fornito una prima guida chiara ed efficace per avere un po’ meno paura della nuova GDPR e iniziare a metterti in regola senza perdite di tempo.
Al prossimo articolo! 🙂
Ciao Marika, innanzi tutto grandi complimenti per l’articolo.
Oltre al commento, 2 domande – 2 punti non (mi) sono molto chiari: 1) come è possibile creare il modo perchè l’utente possa entrare nel ns. database per ACCEDERE, MODIFICARE … i propri dati? (per la cancellazione già era così…) – il punto 2) creare una “sorta di documento” (???) che conservi per dimostrare tutto questo… Cosa intendi? … Grazie
Ciao Ivano, premetto che ogni soluzione va sempre valutata caso per caso e ribadisco che la figura del legale è importante nell’adempimento del regolamento. Detto questo, provo a risponderti. 🙂
Risposta alla domanda 1:
Per poter accedere, modificare, ecc e gestire i dati degli utenti dipende molto da come è strutturato il tuo sito, da quali piattaforme usi, quali plugin adoperi e soprattutto da come tratti i dati delle persone nella tua attività anche al di fuori del sito web.
Se è prevista nell’informativa, le persone possono contattarti per richiedere informazioni, cancellazioni e modifiche ma dipende anche da come hai acquisito i dati, in quanto le procedure di gestione dovrebbero essere con la stessa “complessità” dell’acquisizione del dato e ovviamente gratuite.
Per la risposta 2:
Nel servizio IUBENDA, proposto nell’articolo, sono attivabili anche 2 altre funzioni che possono risolvere l’acquisizione dei consensi e la conservazione dei dati dal punto di vista tecnico e sono i servizi “Consent Solution” e “Internal Privacy Management”. Puoi attivarli direttamente da Iubenda. Se usi il nostro link incluso nell’articolo, in questo momento, c’è anche uno sconto se l’attivi subito.