Il GDPR, ovvero General Data Protection Regulation, è il nuovo regolamento europeo in materia della protezione dei dati personali, e che è andato a sostituire il vecchio Codice della Privacy italiano.
Con questa nuova normativa, il trattamento dei dati personali è regolamentato in maniera più rigida e rigorosa: si introduce l’obbligo di informazione all’utente, della richiesta del suo consenso per il processo delle informazioni personali, si contiene l’automatizzazione e il trasferimento fuori Unione Europei dei dati stessi.
Altre novità importante sono che, in caso di violazione dei dati personali, le aziende o gli enti sono obbligate e informare l’utente, e il “diritto all’oblio” ovvero la garanzia della non diffusione di informazioni personali. Perciò chi maneggerà i dati personali degli utenti dovrà fare molta attenzione in caso di responsabilità e rispetto delle normative, pena multe considerevoli.
Il GDPR ha introdotto delle novità anche nel trattamento dei dati in rete, riguardanti anche i siti web e che devono essere rispettate da tutti.
Puoi verificare se il tuo sito rispetta le nuove norme seguendo alcuni semplici consigli.
Sicuramente, puoi verificare sul sito del Garante della Privacy. Dovresti inoltre richiedere una consulenza a un esperto per verificare che sia tutto in regola sul tuo sito web.
Per esempio, avrai notato come ora tutti i siti richiedano l’autorizzazione al trattamento dei tuoi dati quando atterri sulla loro pagina web. Bisogna quindi dotarsi di una Informativa Privacy dove indicare quali dati si raccolgono e immagazzinano, per quanto tempo e da chi.
Queste regole valgono su tutto il territorio dell’UE e per tutti i siti che hanno a che fare con i suoi cittadini.
Un’altra introduzione è l’avviso che deve apparire all’ingresso di un sito web con l’informativa sui cookie: chi ci naviga deve poter scegliere se accettare o no i cookie e nel caso rifiutasse, la navigazione non deve essere compromessa. Inoltre, egli può decidere in qualsiasi momento di revocare il consenso, perciò il proprietario del sito dovrà dotarsi di un registro dove si potrà desumere lo stato di consenso degli utenti.
Il nuovo GDPR si sofferma anche su quei dati che sono raccolte sui siti da Terze Parti e che, anche se indirettamente, possono identificare un utente. Per esempio, l’indirizzo IP tracciato da Google Analytics.
Quindi anche per i siti, c’è molta sorveglianza su come, perché, da chi e per quanto tempo vengono trattati e archiviati i dati personali.
Come accennato prima, l’utente può vantare ora il “Diritto all’oblio”, quindi chiedere che i suoi dati online vengano eliminati (tranne che in casi eccezionali).
In caso invece di violazione dei dati personali (Data Breach), il responsabile del trattamento è obbligato a comunicare, entro 72 ore dalla conoscenza del fatto, la violazione dei dati. Le autorità andranno informate e se la violazione avesse investito anche dati sensibili come quelli relativi a pagamenti o credenziali di accesso, vanno informati anche gli utenti. Anche i servizi di Hosting devono monitorare e agire tempestivamente in caso di violazione dei server.
Per chi non si adegua alla normativa, sono previste multo molto elevate, che possono arrivare ai 20 milioni di euro o al 4% del fatturato annuo.
Molto dipende anche dal tipo di sito e di utenza, quindi consigliamo sempre di affidarsi ad un esperto per gestire l’argomento.
Puoi comunque stilare una lista dei tipi di utenti che navigano sul tuo sito e quali dati sono raccolti da essi, sia direttamente che da Terze Parti. Partendo da cui, si può proseguire a controllare come, da chi e dove sono trattati/immagazzinati i dati di servizi Hosting, backup, plugin, capire per quanto tempo e controllare che servizi extra UE rispettino la nuova normativa e ovviamente assicurare protezione ai tuoi utenti.
Devi verificare che gli utenti acconsentano al trattamento di ogni dato e che possano revocare tale consenso, quindi dovrai avere un registro: per questo è bene avere un documento sulle procedure da attuare. Se ti accorgi di possedere dati a cui non hai diritto, devi rimuoverli immediatamente
Quindi in definitiva il GDPR impone di rispettare quanto segue:
- Informare l’utente sulla tua identità, come, per quanto e dove raccogli i suoi dati
- Ottenere il consenso al trattamento dei dati
- Permettere la cancellazione dei dati dell’utente
- Informare l’utente sulla violazione dei loro dati