GDPR: come essere in regola

Il tuo sito web rispetta la normativa europea GDPR? Sai perchè devi essere in regola e rispettare il Regolamento Ue in materia di protezione dei dati personali (GDPR n. 679/201 entrato in vigore il 25 Maggio 2018) e soprattutto perché farlo?

Questo articolo ti spiega cos’è il GDPR, quali sono i dati sensibili, come trattarli e come mettersi in regola per evitare le pesanti sanzioni.

Cos’è il GDPR n. 679/2016

Il GDPR, acronimo di “General Data Protection Regulation”, è un regolamento Ue che disciplina il trattamento dei dati personali e la privacy dei cittadini europei.

In ambito web, si ha l’obbligo di indicare come verranno trattati i dati personali e di navigazione. A seguito di avviso a video, è necessario ottenere il consenso alla privacy da coloro che visitano il sito internet o compilano un modulo di contatto in cui vengono richiesti i dati personali. Se l’invio dei dati avviene tramite un modulo contatti all’interno del sito, deve essere previsto un “flag” su una casellinacheckbox” con un relativo avviso: “Ho letto la normativa sulla privacy e accetto le condizioni”. Nel caso in cui la casellina non venga “flaggata” il modulo non deve inviare i dati. Inoltre la casella non deve essere flaggata di default.

flaggare = apporre un segno di spunta su una casella, ossia contrassegnare su una casella.

I dati personali

Sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica. Può riguardare: nomi, foto, indirizzi email, dati bancari, dati dei social network, informazioni mediche o indirizzi IP di computer. Il regolamento disciplina il trattamento di dati personali solo delle persone fisiche, pertanto i dati di identificazione o di contatto di soggetti giuridici (società di capitali, aziende ed enti pubblici, associazioni e fondazioni) sono esclusi dall’applicazione della norma.

I dati sensibili

Vengono considerati “dati personali sensibili”: origine razziale, etnia, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati relativi alla vita sessuale o all’orientamento sessuale, dati sulla salute (sia fisica che mentale, passata o presente), dati sulle condanne penali o reati.

I soggetti chiamati in causa

Tra gli adempimenti del GDPR, vi è l’obbligo di nominare alcune figure che si occuperanno del trattamento dei dati.

DPO – Data Protection Officer

Il DPO è la figura responsabile dei dati personali che ne prevede il mantenimento e la protezione. Sarà cura di questo soggetto che i dati non vengano divulgati o distribuiti a terze parti, o peggio venduti a scopo di lucro.

La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi:

  1. se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico;
  2. quando le attività principali dell’organizzazione consistono in trattamenti che richiedono il “monitoraggio regolare e sistematico” degli interessati su larga scala;
  3. quando le attività principali dell’organizzazione consistono nel trattamento su larga scala di dati “sensibili” (categorie particolari di dati) o “giudiziari” (dati personali relativi a condanne penali e reati).

Titolare del trattamento

Questa figura stabilisce le finalità e le modalità del trattamento dei dati personali. Decide quindi “il come” devono essere trattati i dati personali. Tutti i dipendenti che trattano i dati personali all’interno di un’azienda lo fanno per adempiere ai compiti di titolare del trattamento.

Il principio di responsabilità, legato al trattamento dei dati personali, resta ancorato ad un concetto di dimostrare nell’aver fatto tutto il possibile per evitare la divulgazione. Occorre quindi osservare i principi fondamentali di sicurezza nell’archiviazione dei dati e il limitarne l’uso ai soli fini organizzativi.

Il titolare dei dati può condividere la funzione di trattamento incaricando un co-titolare, che fungerà da persona autorizzata al trattamento, diventando così un soggetto co-responsabile dei dati.

L’insieme di competenze richieste per svolgere il compito di titolare del trattamento, non necessita preparazione o professionalità specifiche, resta il fatto che Il monitoraggio regolare e sistematico dei dati deve rispettare l’osservanza del regolamento.

Il webmaster o sviluppatore

Questo soggetto, solitamente un informatico, ha l’obbligo di mettere a norma (tecnicamente) il sito web affinché risponda ai requisiti richiesti dal regolamento GDPR. Metterà quindi in opera l’avviso al consenso della raccolta dei dati, che dovrà essere esplicitamente fornito dall’utente (la condizione di validità al consenso e la finalità per cui viene richiesto, devono essere esplicite, legittime, adeguate e pertinenti). Inoltre deve individuare il Titolare dei dati (solitamente il proprietario del sito) e istruirlo su dove verranno archiviati e come proteggerli. Per una corretta protezione del sito e quindi anche dei dati, dovrà anche predisporre tutti i sistemi di sicurezza idonei, attraverso l’uso di prodotti informatici come antivirus e firewall.

Sanzioni

Il regolamento europeo distingue due gruppi di violazioni:

  1. fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo della società se superiore, e riguardano:
  • inosservanza degli obblighi del titolare e del responsabile del trattamento;
  • inosservanza degli obblighi dell’organismo di certificazione;
  • inosservanza degli obblighi dell’organismo di controllo.
  1. fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Riguardano:
  • inosservanza dei principi di base del trattamento, comprese le condizioni relative al consenso;
  • inosservanza dei diritti degli interessati;
  • inosservanza dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale;
  • inosservanza di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri;
  • inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo.

Le sanzioni sono considerate un’arma dissuasiva, non certo una punizione, tenendo conto del graduale adeguamento necessario per una regolamentazione complessa come il GDPR. Ogni violazione sarà soppesata alla luce della sua gravità, saranno quindi proporzionate anche all’azienda, in modo da non costringerla a chiudere (come dichiarato dal Presidente dell’ European Data Protection Board).

Conseguenze a seguito di controllo

Se a seguito di un controllo viene appurata una violazione, si possono aprire diversi scenari:

  • Sanzioni correttive: in caso di insufficienza dei requisiti può essere imposto al titolare di attuare immediatamente delle misure tecniche di natura correttiva. Potrebbe essere imposto di limitare, sospendere o addirittura bloccare il trattamento dei dati;
  • Sanzioni amministrative: in caso di violazione per danno procurato all’utente, il titolare, insieme al responsabile del trattamento, sarà costretto al risarcimento dei danni materiali e morali, compresi i danni procurati alla reputazione di un soggetto;
  • Sanzioni penali: in caso di accertate azioni con particolari gravità dolose e intenti fraudolenti il garante della privacy interviene penalmente.

Sanzioni correttive

L’autorità di controllo ha il potere di applicare sanzioni correttive, nello specifico:

  • rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare le norme;
  • rivolgere ammonimenti al titolare o al responsabile del trattamento ove i trattamenti abbiano violato le norme;
  • ingiungere al titolare o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la conformità;
  • imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o vietare del tutto;
  • ordinare la rettifica, la cancellazione o l’aggiornamento dei dati personali;
  • revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i requisiti non sono soddisfatti;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Sanzioni amministrative 

Le Autorità di controllo nazionali (Garante) provvedono a infliggere le sanzioni amministrative proporzionate e dissuasive in base al principio di coerenza. I criteri per stabilire il tipo di sanzione da applicare e l’eventuale importo:

  • la natura e la gravità: l’oggetto o la finalità della violazione, nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • carattere doloso o colposo: una violazione intenzionale verrà considerata dolosa e quindi verrà inflitta una pena maggiore;
  • se la violazione ha portato un profitto al titolare;
  • se le misure adottate dal titolare o del responsabile del trattamento siano state adeguate per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare o del responsabile del trattamento tenuto conto delle misure tecniche e organizzative da essi messe in atto;
  • eventuali precedenti violazioni pertinenti commesse dal titolare o dal responsabile del trattamento;
  • il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • l’adesione ai codici di condotta o ai meccanismi di certificazione.

Sanzioni penali

Sono punite penalmente le violazioni più gravi in base ad una condotta palesemente dolosa, tra cui:

  • il trattamento illecito dei dati;
  • la comunicazione o la diffusione illecita di dati personali su larga scala;
  • l’acquisizione fraudolenta di dati personali su larga scala;
  • fornire false dichiarazioni al garante;
  • l’interruzione dell’esecuzione dei compiti e poteri del garante;
  • l’inosservanza dei provvedimenti del garante.

Impugnazioni

I provvedimenti adottati dal Garante possono essere impugnati dinanzi alle Autorità competenti.

Come mettere in regola il sito web

Le operazioni principali sono:

  • capire se i dati trattati richiedano una valutazione d’impatto sulla protezione prima del trattamento;
  • curare nei minimi dettagli e personalizzare la propria privacy policy presente sul sito;
  • richiedere il consenso esplicito all’uso dei dati prima della navigazione;
  • ridurre al minimo gli eventuali rischi di fuga dei dati;
  • notificare eventuali fughe dei dati (in caso di data breach è obbligatoria la denuncia agli Organi competenti e dare avviso a tutti gli utenti coinvolti);
  • non inviare o vendere i dati a terzi soprattutto a paesi extra-europei (dropshipping dei dati);
  • sottostare alla legislazione locale in cui agisce il sito (non è sufficiente il GDPR);
  • porre maggiore attenzione a categorie specifiche di siti web, in quanto il trattamento dei dati è particolarmente sensibile (associazioni/comunità religiose, studi medici, siti web per adulti).

Cosa mettere nella pagina privacy – policy del sito

Nella vostra pagina privacy – policy è necessario specificare:

  • chi è il responsabile dei dati personali raccolti e dove vengono immagazzinati (la sede dell’attività);
  • la finalità dei dati che vengono raccolti;
  • che la finalità dei dati raccolti siano legittime;
  • specificare il periodo di conservazione e se i dati personali vengono poi cancellati;
  • dare la possibilità di modificare i dati inesatti (devono poter essere rettificati e/o cancellati);
  • che i dati personali sono protetti dal furto;
  • se i dati vengono ceduti a terzi (specificare a chi vengono ceduti);
  • dare la possibilità del diritto all’oblio, in particolare se quando ha prestato il consenso era minore;
  • dare avviso che in caso di minori di anni 16 è necessario il consenso dell’autorità genitoriale.

Normativa estesa ai cookie

La conferma per l’uso dei dati personali, non è sufficiente. Per tracciare l’IP di un utente (ad esempio in un servizio di statistiche) è necessario far accettare all’utente anche l’uso dei cookie. È necessario spiegare questa condizione rendendo chiaro il concetto dei dati di navigazione. Inoltre, sempre nell’informativa estesa sui cookie, è necessario fornire all’utenza la possibilità di poterli cancellare.

Un’azione diretta presuppone l’accettazione, quindi i dati saranno salvati sul server solo dopo che l’utente abbia compiuto l’operazione e non prima.

Ricordo a tutti i lettori che, oltre a realizzare siti internet professionali, impartiamo lezioni private o di gruppo su:

  • CMS WordPress; cosa è WordPress e come funziona, personalizzare il layout (l’aspetto grafico del tuo sito), gestire pagine ed articoli e commenti, installare temi e i plug-in ideali per le tue esigenze.
  • Posizionamento sui motori di ricerca; tecniche SEO e SEA, definire correttamente l’attività SEO o SEA, capire preventivamente se un sito web è indicizzabile, fare una corretta analisi preliminare (SEO Audit), padroneggiare le tecniche del posizionamento organico, analisi e scelta delle Keyword, ottimizzazione dei contenuti di un sito web, convertire le visualizzazioni in vendite.

Tutte le competenze di un web manager di successo saranno a tua completa disposizione grazie alle lezioni private (o di gruppo) impartite.

É vietata la copia e la riproduzione dei contenuti di questo articolo.
É vietata la redistribuzione e la pubblicazione dei contenuti non autorizzata espressamente dall’autore.

Copyright © Antonino Mariano · all rights reserved.

Vuoi realizzare un sito web?

Chiama

WhatsApp chatChiedi info

    La informiamo che i dati forniti, saranno trattati nel rispetto delle disposizioni vigenti e rispettano il Regolamento in materia di protezione dei dati personali.

    Facebook Linkedin
    WhatsApp Chiedi info