GDPR. Qualche appunto su cosa fare per mettersi in regola

Scritto da Roberto Andreani il 26/04/2018


La versione originale di questo articolo è stata pubblicata sul gruppo Facebook Partne(a)r, un gruppo esclusivo e gratuito aperto a tutti, che ho formato con l'intento di offrire supporto a tutte quelle attività che utilizzano internet per lavorare. L'articolo è stato editato rispetto alla sua versione originale.

E' possibile iscriversi al gruppo gratuitamente a questo link:
www.facebook.com/groups/partnear/

Attenzione: La materia è delicata e il mio non è un parere legale. Queste informazioni o le mie competenze (che sono solo tecniche) non possono sostituire i consigli personalizzati di un avvocato (serve un avvocato?  Per le realtà più complesse è probabile). Quindi occhio!

È impossibile sintetizzare tutto il regolamento in poche righe, quindi ho cercato di estrapolare le cose più importanti per dare delle risposte brevi e semplici attingendo e aggregando diverse informazioni da più fonti (riportate in fondo). Nel testo ho cercato di realizzare delle checklist per avere un’idea di cosa bisogna fare per mettersi in regola e che utilizzerò come base per i clienti che ne faranno richiesta. Le informazioni non sono esaustive e possono contenere imprecisioni ed errori, saranno quindi da aggiornare e integrare (solo la versione pubblicata sul gruppo Facebook). Se vedete qualcosa che non va, segnalatelo.

Chi deve mettersi in regola?

Il regolamento parla di tutti i soggetti che hanno memorizzato, memorizzano e/o utilizzano i dati personali degli utenti che vivono nell’UE. Online ovviamente si fa sempre riferimento ai possessori di un sito web (perché averne uno è la norma), ma sono soggetti al GDPR praticamente tutte le aziende e tutti i privati che hanno a che fare con i dati personali di terzi.

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation) è un regolamento sulla privacy dettato da una normativa europea. Si applica a tutti i soggetti che trattano dati personali di persone residenti nell’UE.

Che si intende per dati personali?

Il regolamento dice che i dati personali sono quelle informazioni il cui utilizzo possa ricondurre all’identificazione di una persona, tipo il nome, la foto, un indirizzo email, un post sui social, informazioni mediche o anche un indirizzo IP (è un identificativo che indica univocamente un dispositivo collegato a una rete, semplificando: tutti i computer/server/siti web su internet hanno un indirizzo IP univoco).

A cosa serve il GDPR?

L’intento è quello di semplificare la protezione dei dati personali e proteggere quindi i cittadini residenti nell’UE.

Cosa bisogna fare per essere in regola?

Le cose sono molte, possiamo provare a riassumere quelle più importanti.

Bisogna:

  • Raccogliere solamente i dati strettamente necessari a meno che non ci sia un obbligo di archiviazione;
  • Utilizzare questi dati solo per il tempo necessario al suo utilizzo: i dati che non presentano più un interesse devono essere soppressi a meno che non ci sia un obbligo di archiviazione;
  • Chiedere sempre il consenso agli utenti al momento di raccogliere i loro dati personali;
  • Specificare nella richiesta di consenso la finalità del loro utilizzo;
  • Il consenso deve essere richiesto tramite una firma o compilando un form online;
  • Le caselline dei form online che specificano la richiesta di consenso non devono essere pre-spuntate;
  • Per l’utente deve essere semplice negare il consenso e poter richiedere la cancellazione da elenchi, newsletter o qualsiasi altro archivio;
  • Rispettare tutte le richieste di cancellazione;
  • Documentare le procedure di trattamento dei dati: nel caso di un controllo da parte dei soggetti preposti bisogna essere in grado di dimostrare che il trattamento dei dati personali degli utenti viene effettuato conformemente al regolamento;
  • Se l'azienda o organizzazione ha più di 250 dipendenti e il trattamento che effettua può presentare un rischio per i diritti e le libertà dell'interessato o il trattamento non è occasionale o include il trattamento di categorie particolari, bisogna conservare e compilare un registro delle attività di trattamento effettuate sotto la propria responsabilità (vedi più avanti “Cos’è il registro delle attività di trattamento?”);

Cosa devo controllare sul mio sito o nella mia azienda?

  • Verificare che tutti i moduli contenuti nel tuo sito web rispettino la normativa (moduli di richiesta informazioni, di iscrizione alla newsletter, d’ordine, ecc.);
  • Indicare chiaramente agli utenti chi è il titolare del trattamento dei dati personali e come richiedere la cancellazione dei suoi dati;
  • Accertarsi che i dati siano sicuri e protetti contro i rischi di furto, smarrimento o divulgazione;
  • Assicurarsi di poter verificare regolarmente che i dati siano al sicuro;
  • Se si utilizzano servizi che monitorano gli accessi al proprio sito web (tipo Google Analytics) assicurarsi che non vengano memorizzate informazioni che possano portare all’identificazione dell’utente (come ad esempio l’indirizzo IP).
  • Se applicabile, accertarsi di aver compilato il registro delle attività di trattamento (vedi più avanti “Cos’è il registro delle attività di trattamento?”);

Come devono essere messi in sicurezza questi dati?

I dati devono essere conservati in un modo che ne prevenga il furto, lo smarrimento, la divulgazione e che nel caso siano smarriti o rubati sia difficile o impossibile risalire agli utenti a cui fanno riferimento.

Nello specifico il regolamento prevede:

  • L’utilizzo di pseudonimi e nomi cifrati per i dati personali;
  • L’istituzione di sistemi che permettano di garantire riservatezza, integrità, disponibilità e l’annullamento dei sistemi e dei servizi di trattamento;
  • L’istituzione dei metodi che permettano di ripristinare la disponibilità dei dai personali e l’accesso ad essi nel caso di incidenti (guasti ai computer, cancellazione accidentale, ecc.);
  • L’istituzione di una procedura per verificare, analizzare e valutare regolarmente se le misure tecniche istituite siano efficaci per assicurare la sicurezza nel trattamento dei dati;

Cosa fare se i dati vengono rubati o persi?

Il regolamento prevede che si avvisino le autorità competenti e i diretti interessati entro 72 ore.

Cos’è il registro delle attività di trattamento?

È un documento obbligatorio (solo in casi specifici) che contiene tutte le informazioni e le “regole” che il responsabile del trattamento e/o che l’azienda segue per rispettare le regole, cioè:

  • Nome e dati del responsabile;
  • Finalità del trattamento;
  • Descrizione delle categorie di persone coinvolte e delle categorie dei dati personali;
  • Categorie dei destinatari ai quali i dati personali saranno trasmessi (se questi dati vengono trasmessi a terzi);
  • I termini stabiliti per la cancellazione delle diverse categorie di dati;
  • Descrizione generale delle misure di sicurezza tecniche e operative con cui questi dati sono protetti;
  • Descrizione della procedura per verificare, analizzare e valutare regolarmente se le misure tecniche istituite siano efficaci per assicurare la sicurezza nel trattamento dei dati;

Ci sono sanzioni? A quanto ammontano?

Dipende dalla gravità dell’infrazione commessa. La più grave (notare che è anche quella che commettono quasi tutti) è trattare i dati personali degli utenti senza aver ottenuto preventivamente il loro consenso. Pensiamo agli indirizzi email e alle newsletter: non si può inviare una newsletter se l’utente non ne ha accettato esplicitamente l’invio.

L’ammontare massimo delle sanzioni è calcolato in funzione delle circostanze di ogni singolo caso e può arrivare fino al 4% del fatturato dell'esercizio precedente o fino a 20 milioni di euro (leggi).

Come prepararsi?

Oltre ovviamente ad affidarsi a tecnici, esperti informatici e avvocati, online è disponibile il sito del GDPR https://www.eugdpr.org/ e un documento contenente il regolamento completo http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679

Qui una versione del regolamento stutturata meglio per la lettura: www.altalex.com/documents/news/2018/03/05/regolamento-generale-sulla-protezione-dei-dati-gdpr

Io sono disponibile sia per un parere tecnico che per effettuare verifiche e apportare eventuali modifiche alle procedure e ai siti web, ma non posso dare un parere legale. Quindi ogni mio consiglio/modifica tecnica/informazione che do e porto a compimento o che viene utilizzata da terzi è solo indicativa, e il risultato è sempre sotto la responsabilità del cliente o di chi ne fa uso.

Mancano solo pochi giorni, è bene iniziare a pensarci!

Roberto Andreani DivisioneCreativa.it
Via G. Garibaldi, 52
01016 Tarquinia (VT)
Tel. 0766.858582

Fonti:https://blog.payplug.com/it/e-commerce-cosa-c%C3%A8-da-sapere-sulla-rgpdhttps://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/