GDPR

General Data Protection Regulation, di cosa parliamo?

Si tratta di una normativa europea riguardante il trattamento dei dati personali, entrata in vigore nel 2016 ma che è diventata effettiva dal 25 maggio 2018.

Si tratta di una normativa, non di una direttiva, perché non lascia margine di interpretazione da parte delle nazioni europee: Tutti dobbiamo adeguarci!  

Cosa posso fare per aiutarvi ad essere in regola:

• Creare una finestra di dialogo che chieda il consenso per i diversi tipo di cookie: Preferenze per l’utente – Statistica – Marketing
• Informativa per i cookie: o   elenco di tutti i cookie e degli strumenti di tracciamento presenti sul sito. o   testo completo o   inserimento del collegamento alla normativa in tutte le pagine del sito
• Informativa per la privacy
• Anonimizzazione degli indirizzi IP in Google Analytics
• Verifica della conformità dei moduli di contatto/prenotazione e loro adeguamento.  

Il Prezzo del servizio è pari a euro 220,00 per siti fino a 30 pagine realizzati da me per i miei Clienti. Per i siti non realizzati da me  il servizio è a preventivo: per saperne di più scrivimi

Nel caso sul sito ci siano servizi che richiedono un’iscrizione (esempio: newsletter) vanno riviste e aggiornate tutte le procedure per l’acquisizione del consenso, la gestione dei dati e la loro protezione. In questo caso verrà redatto un preventivo ad hoc sulla base del lavoro effettivamente da svolgere. Per saperne di più scrivimi

Cosa dobbiamo sapere sul GDPR?

Prima di tutto a chi si rivolge, ovvero gli individui considerati dalla normativa. Interessato del trattamento: la persona fisica i cui dati sono oggetto del trattamento. Titolare del trattamento: la persona fisica o giuridica (azienda o ente) titolare del trattamento. Tratta il dato. Risponde legalmente a mancata adesione del trattamento.  

Quali sono le principali caratteristiche del GDPR?

Il diritto all’oblio, ovvero il diritto delle persone a “scomparire” online. È una novità inserita dal GDPR. Il consenso dell’interessato dovrà essere LIBERO, SPECIFICO, INFORMATO, INEQUIVOCABILE E SEMPRE REVOCABILE.

Privacy by Design: un concetto secondo il quale le misure di protezione dei dati devono essere alla base dei processi aziendali. Bisogna pensare sempre alla sicurezza dell’utente, fin dall’inizio di ogni processo commerciale ed informatico. Grazie a questo principio saranno processati solo i dati realmente utili e l’accesso sarà limitato a persone necessarie.

Privacy by default: solo i dati strettamente necessari potranno essere raccolti (e per un tempo limitato). Ogni singola volta che un’azienda avvia un progetto che prevede trattamenti di dati sarà necessario predisporre delle valutazioni di impatto alla privacy.

Il diritto di un individuo di ottenere le informazioni che un’azienda ha su di lui. Questo diritto è definito della “portabilità del dato”. L’interessato ha, appunto, “diritto di ricevere i dati comunicati ad un titolare in formato elettronico, di uso comune, leggibile, e riutilizzabile per poterli conservare e/o trasferire ad altro titolare”. (Questo diritto è previsto nel caso di dati trattati con strumenti automatizzati, dati il cui trattamento si basa sul consenso dell’interessato o su contratto, o dati trasmessi direttamente dall’interessato).

Il diritto di un individuo di negare il consenso a posteriori per il trattamento dei dati.

Il diritto di essere informato propriamente ed in maniera semplice e comprensibile dei rischi che corri nel rilasciare i tuoi dati (il classico “trattamento dei dati” (quanti ne avete letti veramente?) dovrà essere chiaramente esplicitato.

Le informative sul trattamento dei dati rimarranno intatte ma verranno ampliate, includendo il tempo di mantenimento dei dati e i nominativi di chi può li vedere e controllare, insieme al nome del funzionario alla protezione dei dati.

Un altro concetto fondamentale è la Breach Notifications, ovvero la notificazione delle violazioni dei dati all’utente. La notifica dovrà essere effettuata entro 72 ore dalla scoperta della violazione senza ritardi ingiustificati.

Il diritto di contestare le decisioni automatizzate, ovvero che processi come la profilazione (quel fenomeno, scaturito da algoritmi, che suddivide gli utenti dividendoli grazie alle informazioni prese online su gusti, età, sesso… Insomma tutte quelle informazioni utili nei processi di marketing).  

Cos’è il principio di accountability?

Il concetto di accountability in Italia viene tradotto come principio di responsabilizzazione.

Si tratta appunto di “responsabilizzare” il titolare del trattamento dei dati riguardo ai suoi obblighi e doveri. Egli dev, provare di farlo. In sostanza bisogna essere conformi alla normativa e riuscire a provarlo. Ricordate che il GDPR mira a cambiare l’infrastruttura informatica e aziendale delle imprese: la sicurezza informatica sarà alla base di ogni operazione, così come ogni trattamento dovrà essere conforme alla legge. Il tutto nell’ottica di un nuovo modus operandi aziendale, in cui figure di ogni livello collaboreranno per la salvaguardia del dato.

Le cose da fare

Come abbiamo detto, si tratterà di cambiamenti a livello legale ed informatico. Le domande a cui rispondere sono: ñ          Che tipi di dati raccoglie la mia azienda? Per quale motivo? ñ          Dove vengono archiviati i dati? ñ          Chi e in quanti hanno accesso a questi dati? ñ          Per quanto tempo vengono conservati?

Checklist

Interventi sul sito:

• Realizzare una verifica di tutti i dati personali raccolti
• Aggiornare l’informativa sulla privacy
• Rendere affermativi gli avvisi dei cookie
• Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni.

Nel caso si richieda l’iscrizione a servizi, come ad esempio l’iscrizione a una newsletter è necessario:

• Creare processi opt-in per ottenere il consenso
• Rivedere la funzionalità di acquisizione dati
• Aggiornare le Privacy Policy per le email
• Rendere immediata la possibilità di gestione/cancellazione dati
• Applicare un livello di crittografa sui dati presenti fisicamente sul disco e sulle informazioni nei database
• Abilitare una procedura per agevolare l’eliminazione dei dati di un particolare utente
• Abilitare una procedura che garantisca la portabilità dei dati Alcune cautele necessarie:
• Back up periodici
• Restore dei back up
• Cambio password ogni 3/6 mesi
• Accessi ai dati limitati alle persone autorizzate
• Sistemi di Disaster Recovery
• Difesa contro malware e difesa dei confini
• Valutazione e correzione continue delle vulnerabilità      

Contattatemi