• HOME
  • BLOG
  • NEWS
  • AGEVOLAZIONI PER LA DIGITALIZZAZIONE DELLE PMI: 30 GENNAIO 2018

GDPR: IL 25 MAGGIO 2018 È ARRIVATO...

Finalmente è arrivato il 25 maggio 2018, giorno in cui parte l’applicazione della legge Europea GDPR in ambito di gestione della privacy, che coinvolge tutti le aziende che in qualche modo raccolgono dati di utenti privati.

Senza parlare dell’importanza etica e morale della privacy e della protezione dei dati personali, ancora una volta abbiamo assistito ad una confusionaria rincorsa all’adeguamento ad una “spaventosa” legge con proposte più o meno valide, ma che spesso hanno fatto leva sulle pesanti sanzioni previste, piuttosto che su come molte aziende potevano adeguarsi velocemente, almeno on-line. E’ vero che questa legge introduce sanzioni molto pesanti, quasi da far chiudere la aziende, ma stiamo parlando di come le imprese gestiscono la raccolta dei dati personali di soggetti privati (on-line e off-line).

Qualche anno fa abbiamo già assistito ad un primo passaggio con l’obbligo di introdurre in tutti i siti delle note sul trattamento dei dati personali e sulla gestione dei cookie (sistema che permette di salvare sui dispositivi, attraverso il browser, dei dati dell’utente che sta navigando il sito).

Oggi la questione è la stessa, solo che viene richiesta una maggiore trasparenza e una gestione più formale della raccolta del consenso dell’utente:


Cookie:
 quando l’utente entra nel sito dobbiamo avvisarlo e metterlo al corrente di quali sono i cookie attivi e sia lui stesso in grado di attivarli.

Privacy: in ogni modulo che viene compilato dall’utente, e dove vi sono dei dati personali, è lo stesso utente a dover accettare il trattamento da parte dell’azienda che richiede delle informazioni per vari scopi.


Dal nostro punto di vista per le piccole e medie aziende, con meno di 250 dipendenti, non è cambiato molto, rispetto alla normativa in essere, a parte una gestione più formale e restrittiva dei consensi dell’utente. 

Per la stragrande maggioranza dai siti internet vi sono queste cose da dichiarare/fare:

1) Indicare dove si utilizzando i cookie:
- Protezione dallo SPAM Google reCAPTCHA: cookie e Dati di utilizzo;
- Google Analytics con IP anonimizzato: cookie e Dati di utilizzo;
- Google Fonts: dati di utilizzo e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio;
- Widget Google Maps: cookie e Dati di utilizzo.

2) Form di varia natura e modulo contatti: nel caso sia presente inserire un “flag” obbligatorio che l’utente deve cliccare per dare il consenso di raccolta dati.

3) Per gli e-commerce in più bisogna fare attenzione alla parte di registrazione utente e ai vari moduli di richiesta informazioni e di invio ordine. Anche su questi moduli va indicatala la legge sulla privacy, con l’obbligatorietà di dare il consenso.

4) Altro aspetto riguarda l’iscrizione alla newsletter dove è importante avere il consenso dell’utente. Eventualmente se avete già un archivio di persone iscritte potete inviare una email di conferma attivazione a tutti:

A causa di una modifica legislativa, devi confermare la tua volontà di ricevere email da [la vostra azienda] 

La tua privacy è importante per noi, così come la tua autorizzazione.

Qui puoi consultare la nostra Privacy Policy completa

Devi attivare la tua iscrizione cliccando il link qui sotto:

Clicca qui per confermare la tua iscrizione


5) Per quanto riguarda i cookie probabilmente il servizio più critico è google analytics che va impostato con IP anonimizzato per non dover disabilitare parti di codice di raccolta cookie.

6) Mentre la raccolta dati per il remarketing, che raccolgono dati di profilazione, (Google remarketing, Criteo ecc…) va regolarizzata attraverso delle parti di codice disabilitate che vengono riabilitate dopo il consenso dell’utente.

In ogni caso per essere sicuri, va analizzato il sito e in base alle “funzionalità inserite” va adeguata la pagina della privacy e cookie policy e la gestione delle “adesioni” dell’utente.

Se vogliamo capire qualcosa in più leggiamo direttamente le parti fondamentali della legge:

-------------------------------

Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di L 119/36 IT Gazzetta ufficiale dell'Unione europea 4.5.2016 conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito.

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Condizioni per il consenso

1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.

------------------------

Quello che sicuramente bisogna fare è adeguare i siti internet e gli e-commerce (richiesta di consenso) e gestire in modo formale la raccolta dei dati off-line attraverso dei moduli di consenso, perché l’obiettivo della GDPR è chiaro:

Art. 1 La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea («Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. ”.

Non è così chiaro come le aziende devono tutelarsi per soddisfare tutti i requisiti.
Speriamo che a livello di controlli e sanzioni vi siano degli accertamenti preliminari con richieste di adeguamento e non si passi subito alle sanzioni….

Noi abbiamo studiato la norma dal punto di vista della raccolta dati on-line e abbiamo attuato un metodo per adeguare i siti internet e gli e-commerce.
  Puoi contattarci direttamente, senza impegno: TEL. 3492534626 | ATTRAVERSO IL MODULO CONTATTI DEL NOSTRO SITO
Seguici sui nostri canali social.
Seguici sui nostri canali social