GDPR. Qualche appunto su cosa fare per mettersi in regola


La versione originale di questo articolo è stata pubblicata sul gruppo Facebook Partne(a)r, un gruppo esclusivo e gratuito aperto a tutti, che ho formato con l'intento di offrire supporto a tutte quelle attività che utilizzano internet per lavorare. L'articolo è stato editato rispetto alla sua versione originale.

E' possibile iscriversi al gruppo gratuitamente a questo link:
www.facebook.com/groups/partnear/

Attenzione: La materia è delicata e il mio non è un parere legale. Queste informazioni o le mie competenze (che sono solo tecniche) non possono sostituire i consigli personalizzati di un avvocato (serve un avvocato?  Per le realtà più complesse è probabile). Quindi occhio!

È impossibile sintetizzare tutto il regolamento in poche righe, quindi ho cercato di estrapolare le cose più importanti per dare delle risposte brevi e semplici attingendo e aggregando diverse informazioni da più fonti (riportate in fondo). Nel testo ho cercato di realizzare delle checklist per avere un’idea di cosa bisogna fare per mettersi in regola e che utilizzerò come base per i clienti che ne faranno richiesta. Le informazioni non sono esaustive e possono contenere imprecisioni ed errori, saranno quindi da aggiornare e integrare (solo la versione pubblicata sul gruppo Facebook). Se vedete qualcosa che non va, segnalatelo.

Chi deve mettersi in regola?

Il regolamento parla di tutti i soggetti che hanno memorizzato, memorizzano (anche in forma cartacea) e/o utilizzano i dati personali degli utenti che vivono nell’UE. Online ovviamente si fa sempre riferimento ai possessori di un sito web, ma sono soggetti al GDPR praticamente tutte le aziende che hanno a che fare con i dati personali di terzi.

Cos’è il GDPR?

Il GDPR (General Data Protection Regulation) è un regolamento sulla privacy dettato da una normativa europea. Si applica a tutti i soggetti che trattano dati personali di persone residenti nell’UE.

Che si intende per dati personali?

Il regolamento dice che i dati personali sono quelle informazioni il cui utilizzo possa ricondurre all’identificazione di una persona, tipo il nome, la foto, un indirizzo email, un post sui social, una rubrica cartacea con nome e numeri di telefono, informazioni mediche o anche un indirizzo IP.

A cosa serve il GDPR?

L’intento è quello di semplificare la protezione dei dati personali e proteggere quindi i cittadini residenti nell’UE.

Cosa bisogna fare per essere in regola?

Le cose sono molte, possiamo provare a riassumere quelle più importanti.

Bisogna:

  • Raccogliere solamente i dati strettamente necessari a meno che non ci sia un obbligo di archiviazione;
  • Utilizzare questi dati solo per il tempo necessario al suo utilizzo: i dati che non presentano più un interesse devono essere soppressi a meno che non ci sia un obbligo di archiviazione;
  • Chiedere sempre il consenso agli utenti al momento di raccogliere i loro dati personali;
  • Specificare nella richiesta di consenso la finalità del loro utilizzo;
  • Il consenso deve essere richiesto tramite una firma o compilando un form online;
  • Se il consenso è richiesto tramite un form online, le caselline che specificano la richiesta di consenso non devono essere pre-spuntate;
  • Per l’utente deve essere semplice negare il consenso e poter richiedere la cancellazione da elenchi, newsletter o qualsiasi altro archivio, anche cartaceo;
  • Rispettare tutte le richieste di cancellazione;
  • Documentare le procedure di trattamento dei dati: nel caso di un controllo da parte dei soggetti preposti bisogna essere in grado di dimostrare che il trattamento dei dati personali degli utenti viene effettuato conformemente al regolamento;
  • Se l'azienda o organizzazione ha più di 250 dipendenti e il trattamento che effettua può presentare un rischio per i diritti e le libertà dell'interessato o il trattamento non è occasionale oppure include il trattamento di categorie particolari, bisogna conservare e compilare un registro delle attività di trattamento effettuate sotto la propria responsabilità (vedi più avanti “Cos’è il registro delle attività di trattamento?”);

Cosa devo controllare sul mio sito o nella mia azienda?

  • Verificare che tutti i moduli contenuti nel tuo sito web o quelli cartacei in azienda rispettino la normativa (moduli di richiesta informazioni, di iscrizione alla newsletter, d’ordine, ecc.);
  • Indicare chiaramente agli utenti chi è il titolare del trattamento dei dati personali e come richiedere la cancellazione dei suoi dati;
  • Accertarsi che i dati sia in formato elettronico che cartaceo siano sicuri e protetti contro i rischi di furto, smarrimento o divulgazione;
  • Assicurarsi di poter verificare regolarmente che i dati siano al sicuro;
  • Se si utilizzano servizi che monitorano gli accessi al proprio sito web (tipo Google Analytics) assicurarsi che non vengano memorizzate informazioni che possano portare all’identificazione dell’utente (come ad esempio l’indirizzo IP).
  • Se applicabile, accertarsi di aver compilato il registro delle attività di trattamento (vedi più avanti “Cos’è il registro delle attività di trattamento?”);

Come devono essere messi in sicurezza questi dati?

I dati devono essere conservati in un modo che ne prevenga il furto, lo smarrimento, la divulgazione e che nel caso siano smarriti o rubati sia difficile o impossibile risalire agli utenti a cui fanno riferimento.

Nello specifico il regolamento prevede:

  • L’utilizzo di pseudonimi e nomi cifrati per i dati personali (per il formato elettronico);
  • L’istituzione di sistemi che permettano di garantire riservatezza, integrità, disponibilità e l’annullamento dei sistemi e dei servizi di trattamento;
  • L’istituzione dei metodi che permettano di ripristinare la disponibilità dei dai personali e l’accesso ad essi nel caso di incidenti (guasti ai computer, cancellazione accidentale, incendio, ecc.);
  • L’istituzione di una procedura per verificare, analizzare e valutare regolarmente se le misure tecniche istituite siano efficaci per assicurare la sicurezza nel trattamento dei dati;

Cosa fare se i dati vengono rubati o persi?

Il regolamento prevede che si avvisino le autorità competenti e i diretti interessati entro 72 ore.

Cos’è il registro delle attività di trattamento?

È un documento obbligatorio (solo in casi specifici) che contiene tutte le informazioni e le “regole” che il responsabile del trattamento e/o che l’azienda segue per rispettare le regole, cioè:

  • Nome e dati del responsabile;
  • Finalità del trattamento;
  • Descrizione delle categorie di persone coinvolte e delle categorie dei dati personali;
  • Categorie dei destinatari ai quali i dati personali saranno trasmessi (se questi dati vengono trasmessi a terzi);
  • I termini stabiliti per la cancellazione delle diverse categorie di dati;
  • Descrizione generale delle misure di sicurezza tecniche e operative con cui questi dati sono protetti;
  • Descrizione della procedura per verificare, analizzare e valutare regolarmente se le misure tecniche istituite siano efficaci per assicurare la sicurezza nel trattamento dei dati;

Ci sono sanzioni? A quanto ammontano?

Dipende dalla gravità dell’infrazione commessa. La più grave (notare che è anche quella che commettono quasi tutti) è trattare i dati personali degli utenti senza aver ottenuto preventivamente il loro consenso. Pensiamo agli indirizzi email e alle newsletter: non si può inviare una newsletter se l’utente non ne ha accettato esplicitamente l’invio.

L’ammontare massimo delle sanzioni è calcolato in funzione delle circostanze di ogni singolo caso e può arrivare fino al 4% del fatturato dell'esercizio precedente o fino a 20 milioni di euro (leggi).

Come mettersi in regola?

Oltre ovviamente ad affidarsi a tecnici, esperti informatici e avvocati, online è disponibile il sito del GDPR https://www.eugdpr.org/ e un documento contenente il regolamento completo http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679

Qui una versione del regolamento stutturata meglio per la lettura: www.altalex.com/documents/news/2018/03/05/regolamento-generale-sulla-protezione-dei-dati-gdpr

Sono disponibile sia per un parere tecnico che per effettuare verifiche e apportare eventuali modifiche alle procedure e ai siti web, ma non posso dare un parere legale. Quindi ogni mio consiglio/modifica tecnica/informazione che do e porto a compimento o che viene utilizzata da terzi è solo indicativa, e il risultato è sempre sotto la responsabilità del cliente o di chi ne fa uso.

Roberto Andreani DivisioneCreativa.it
Via G. Garibaldi, 52
01016 Tarquinia (VT)
Tel. 0761.191.7248

Fonti:https://blog.payplug.com/it/e-commerce-cosa-c%C3%A8-da-sapere-sulla-rgpdhttps://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/