gdpr

Da diverse settimane sto cercando di capire il GDPR, leggendo la normativa, il regolamento e vari testi e pareri (piรน o meno) illustri in merito.

Purtroppo la confusione regna sovrana, e non essendo un esperto in leggi ho preferito rivolgermi a 2 amici di vecchia data (Andrea Giannangelo e Antonio Sica di iubenda) che nell’articolo qui sotto hanno messo insieme una guida sotto forma di domande e risposte, che spero potrร  esserti utile.

Cos’รจ il GDPR e perchรฉ รจ un regolamento?

GDPR sta per General Data Protection Regulation, o Regolamento Generale sulla Protezione dei Dati (RGPD), ed รจ il nuovo regolamento europeo in materia di privacy.

Il GDPR sarร  pienamente applicabile a partire dal 25 maggio 2018 e sostituisce il d.lgs. 196/2003 (o Codice Privacy) e le altre leggi privacy nazionali degli Stati Membri dell’Unione Europea. Infatti, al contrario della direttiva, che deve essere recepita tramite una legge nazionale, il regolamento รจ direttamente applicabile in tutti i Paesi UE.

Il regolamento serve quindi ad uniformare la normativa privacy a livello europeo, nonchรฉ a dotare l’Europa di un quadro normativo in linea con le esigenze della societร  odierna. Il Codice Privacy in vigore prima del GDPR era infatti basato su una direttiva del lontano 1995!

Chi deve adeguarsi al GDPR?

Tutte le organizzazioni con:

  • base operativa nel territorio UE;
  • base operativa in un Paese terzo, ma che trattano dati di utenti o clienti europei.

L’ambito di applicazione รจ dunque molto ampio. Basti pensare al fatto che un sondaggio della societร  di consulenza PWC ha evidenziato che il GDPR รจ una prioritร  assoluta per il 92% di tutte le aziende statunitensi intervistate.

Cosa deve fare il gestore di un sito o di un’app per adeguarsi?

Innanzitutto รจ necessario predisporre e mostrare agli utenti una Privacy Policy, ovvero un documento che illustra, in estrema sintesi:

  • le finalitร  e le modalitร  del trattamento dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • i soggetti ai quali i dati personali possono essere comunicati (incluse le terze parti che trattano dati degli utenti mediante delle tecnologie installate sul proprio sito o app, come Facebook o Google);
  • i diritti dellโ€™interessato;
  • gli estremi identificativi del titolare del trattamento (cioรจ la persona fisica o giuridica che gestisce il sito/app).

La Privacy Policy non รจ una novitร , ma per effetto del GDPR deve essere aggiornata, ad esempio per contemplare i nuovi diritti introdotti dal GDPR, come la portabilitร  del dato e il diritto all’oblio.

In piรน, per poter trattare i dati dei propri utenti o clienti, il titolare deve disporre di almeno una delle cosiddette โ€œbasi giuridiche del trattamentoโ€.

Il trattamento puรฒ quindi avvenire solo quando รจ giustificato da delle basi giuridiche definite, tra cui principalmente:

  • l’esecuzione di un contratto;
  • la presenza di un consenso prestato dall’utente per una o piรน specifiche finalitร .

In altre parole, il titolare puรฒ trattare dati al fine di intraprendere azioni necessarie ad eseguire un contratto al quale l’utente ha aderito, ad esempio per spedire all’utente un bene acquistato sul proprio e-commerce, oppure perchรฉ l’utente ha esplicitamente acconsentito al trattamento, ad esempio si รจ iscritto volontariamente alla newsletter del proprio blog.

Oltre a queste, ci sono anche altre basi giuridiche del trattamento, ma il consenso รจ senz’altro l’aspetto al quale prestare maggiore attenzione.

Cosa รจ necessario fare per raccogliere un consenso valido?

In linea generale il consenso deve essere:

  • libero โ€“ non possiamo obbligare l’utente a prestare un consenso pena la mancata erogazione del servizio;
  • specifico โ€“ ovvero, un consenso per ogni finalitร ;
  • informato โ€“ dobbiamo far capire all’utente cosa faremo con i suoi dati;
  • sempre revocabile โ€“ in ogni momento l’utente deve poter revocare il consenso.

In aggiunta a questi principi, sanciti anche dal Codice Privacy (la legge di riferimento prima del GDPR), il GDPR introduce la necessitร  di ottenere un consenso inequivocabile da parte degli utenti.

Il titolare deve quindi poter dimostrare con assoluta certezza che un utente ha validamente prestato il proprio consenso. Questo comporta dunque la necessitร  di adottare sul proprio sito o app delle tecnologie che siano in grado di archiviare i consensi in modo da disporre di una prova del consenso in linea con i dettami del GDPR.

E i consensi acquisiti prima del 25 maggio?

Continuano ad essere validi, a patto che il titolare sia in grado di dimostrare di averli raccolti in ottemperanza alla legislazione privacy in vigore prima del GDPR.

Quali sono le modalitร  di raccolta del consenso?

Per i siti che raccolgono consensi, come gli e-commerce, รจ oltremodo opportuno prestare particolare attenzione alle modalitร  di raccolta del consenso. In linea generale, il consenso deve essere raccolto:

  • in fase di registrazione, aggiungendo una dicitura del tipo โ€œRegistrandoti acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioniโ€ (la checkbox in questo caso non รจ necessaria);
  • in fase di acquisto, aggiungendo โ€“ prima della conferma dell’ordine โ€“ una dicitura del tipo โ€œCompletando l’acquisto acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioniโ€. La dicitura รจ richiesta sia per gli utenti giร  iscritti che per gli utenti guest.

Il consenso all’invio di comunicazioni commerciali puรฒ essere raccolto:

  • inserendo una checkbox non preselezionata in fase di registrazione, contenente una dicitura del tipo โ€œAcconsento a ricevere comunicazioni commercialiโ€; oppure
  • tramite una finestra che si apre al click del pulsante di registrazione, contenente una dicitura del tipo โ€œVuoi ricevere anche i nostri aggiornamenti via email?โ€, con un’opzione Sรฌ/No a disposizione dell’utente; oppure
  • mediante invio di una email di double opt-int. In questo caso, la email deve contenere un link con cui l’utente puรฒ semplicemente verificare il proprio indirizzo email, ed un altro link con cui, se vuole, l’utente puรฒ verificare il suo indirizzo email, acconsentendo anche a ricevere comunicazioni commerciali via email.

La procedura di double opt-int, che consiste quindi nell’inviare una email con cui l’utente, mediante il click su un link di conferma, puรฒ confermare di essersi effettivamente registrato, รจ considerata una best practice (obbligatoria in alcuni Paesi come la Germania) in quanto รจ l’unico modo per verificare che l’utente che immette i dati sul sito sia effettivamente il proprietario dell’indirizzo email con cui si sta registrando.

In caso di e-commerce, inoltre, il consenso per inviare comunicazioni commerciali non รจ necessario se l’utente ha giร  effettuato un acquisto, e se le newsletter riguardano prodotti o servizi simili a quelli giร  acquistati, a patto che l’utente non si sia espressamente disiscritto.

Ci sono modalitร  particolari per raccogliere il consenso in un semplice form di iscrizione alla newsletter?

รˆ importante sottolineare che, per le stesse ragioni evidenziate in precedenza, la procedura di double opt-in รจ una best practice anche al di lร  del contesto e-commerce. Ad esempio, in presenza di un form utilizzato esclusivamente per l’iscrizione alla newsletter, la checkbox non รจ necessaria, mentre รจ sempre opportuno predisporre una procedura di double opt-in.

GDPR e Cookie Law. Cambia qualcosa?

La Cookie Law deriva dalla Direttiva ePrivacy, che non viene modificata dal GDPR. รˆ tuttavia in fase di elaborazione un nuovo Regolamento ePrivacy, che effettivamente sostituirร  la Direttiva ePrivacy (e quindi la Cookie Law) nei prossimi mesi. In ogni caso, il Regolamento ePrivacy dovrebbe confermare in buona sostanza tutto quanto giร  previsto dalla Direttiva ePrivacy.

รˆ necessario far approvare o rifiutare all’utente l’installazione di ogni singolo cookie?

No, non รจ necessario. Come anticipato, infatti, la Cookie Law resta invariata. Dobbiamo quindi continuare ad adottare gli stessi accorgimenti che abbiamo seguito fino ad oggi, e quindi:

  • predisporre e mostrare agli utenti una Cookie Policy che illustri le diverse tipologie di cookie installate dal proprio sito (senza la specifica dei nomi dei singoli cookie);
  • predisporre e mostrare alla prima visita di ogni utente un Cookie Banner con al suo interno un link alla Cookie Policy;
  • bloccare tutti i codici che installano o che potrebbero installare cookie di profilazione prima di aver raccolto il consenso degli utenti;
  • registrare il consenso dell’utente, prestato ad esempio mediante il proseguimento della navigazione, al fine di far scomparire il Cookie Banner e di rilasciare tutti i codici precedentemente bloccati.

Se l’utente vuole navigare sul sito senza subire l’installazione di uno specifico cookie, eserciterร  l’opt-out utilizzando gli appositi moduli messi a disposizione direttamente dalle terze parti. Per questo รจ necessario inserire all’interno della Cookie Policy l’elenco delle tecnologie di terza parte utilizzate dal sito, con anche un link alle rispettive informative ed ai moduli di opt-out.

Un esempio pratico?

Il nostro sito profila gli utenti mediante Google Analytics. Un utente non vuole essere tracciato. Alla sua prima visita al sito:

  • il codice di Google Analytics sarร  bloccato;
  • verrร  mostrato un Cookie Banner con un link alla Cookie Policy;
  • nella Cookie Policy l’utente troverร  il link al modulo di opt-out di Analytics, con cui potrร  chiedere direttamente a Google di non essere tracciato da GA;
  • quando l’utente prosegue nella navigazione, possiamo rilasciare tutti i codici precedentemente bloccati e far scomparire il Cookie Banner.

Ci sono altri requisiti da rispettare oltre a quanto necessario sul proprio sito o app?

Sรฌ, il GDPR ha molti impatti anche sul fronte della compliance aziendale interna. In estrema sintesi:

  • bisogna mappare con cura il proprio organigramma privacy, individuando tutti i soggetti interni o esterni alla propria organizzazione che trattano dati degli utenti per conto del titolare. Questi soggetti devono essere nominati responsabili o addetti al trattamento;
  • in alcuni casi รจ necessario nominare anche un Data Protection Officer (DPO), ovvero un soggetto con una conoscenza approfondita della legislazione privacy che si occupa del controllo della conformitร  interna al GDPR e della supervisione e attuazione della strategia di protezione dei dati dell’organizzazione;
  • predisporre un Registro del Trattamento contenente l’indicazione dei dati trattati dall’organizzazione, delle finalitร  del trattamento, dei soggetti che accedono ai dati, degli eventuali trasferimenti di dati all’estero, dei termini di cancellazione dei dati e delle misure di sicurezza adottate;
  • effettuare dei processi di Data Protection Impact Assessment (DPIA) per valutare l’impatto di nuove tecnologie o attivitร  di trattamento che l’organizzazione vuole porre in essere. Le DPIA devono essere documentate per iscritto;
  • adottare delle procedure aziendali, ad esempio per rispondere ad eventuali violazioni dei dati personali โ€“ data breach โ€“ secondo quanto previsto dal GDPR, o per rispondere ad eventuali richieste di esercizio dei propri diritti da parte degli utenti.

Naturalmente per la sua complessitร  il GDPR non puรฒ essere riassunto in modo esaustivo in poche righe. รˆ bene dunque chiarire che con queste risposte cerchiamo di fornire delle indicazioni pratiche e semplificate in merito ai requisiti di legge ed alle best practice ad essi connesse, ma senza la pretesa di avere natura conclusiva o di sostituire il rapporto diretto con un professionista legale.

Come puรฒ aiutarci iubenda?

iubenda offre delle soluzioni software per adeguare i propri siti, app e organizzazioni alle principali legislazioni internazionali, GDPR incluso.

Generatore di Privacy e Cookie Policy

Con il Generatore di Privacy e Cookie Policy di iubenda รจ possibile generare con una semplice procedura guidata una Privacy Policy personalizzata sulla base delle esigenze specifiche del proprio sito o app, in linea con il GDPR e tradotta fino a 8 lingue. Oltre alla Privacy Policy, รจ possibile generare anche una Cookie Policy in linea con i requisiti della Cookie Law europea.

iubenda Cookie Solution

La iubenda Cookie Solution permette di rispettare i requisiti tecnici imposti dalla Cookie Law occupandosi di:

  • mostrare un Cookie Banner alla prima visita di ogni utente;
  • bloccare i cookie di profilazione prima di aver raccolto il consenso;
  • rilevare le azioni dell’utente e registrarne il consenso;
  • far scomparire il Cookie Banner e rilasciare in modo asincrono (senza refresh della pagina) tutti i codici precedentemente bloccati non appena raccolto il consenso;
  • salvare le preferenze dell’utente per non erogare Cookie Banner e blocco preventivo alle successive visite.

Consent Solution

La iubenda Consent Solution permette di registrare e archiviare tutti i consensi prestati dai propri utenti compilando i vari form (contatto, registrazione, iscrizione alla newsletter etc.) presenti sul proprio sito o app, ma anche offline (es. moduli cartacei).

La Consent Solution segue le linee guida piรน rigide per l’archiviazione del consenso cosรฌ da permettere al titolare di disporre di una prova del consenso che, cosรฌ come richiesto dal GDPR, chiarisca in modo inequivocabile:

  • quando e come il consenso del singolo utente รจ stato acquisito;
  • ciรฒ che รจ stato detto allโ€™utente in fase di raccolta del consenso, insieme ad un riferimento alle condizioni in essere nel momento in cui il consenso stesso รจ stato acquisito.

In pratica, tramite API o mediante un semplice widget Javascript, รจ possibile inviare a iubenda una serie di informazioni ogni qual volta un utente compila uno dei form di contatto, registrazione o iscrizione alla newsletter tracciati attraverso la Consent Solution. Queste informazioni vanno a costituire delle prove che il titolare puรฒ utilizzare per dimostrare la validitร  dei consensi raccolti.

Internal Privacy Management

Il software di Internal Privacy Management di iubenda consente di gestire gli ulteriori requisiti introdotti dal GDPR sul piano della compliance aziendale interna.

Le funzionalitร  principali della soluzione di Internal Privacy Management includono:

  • la generazione e l’aggiornamento di un Registro del Trattamento;
  • la mappatura del proprio organigramma privacy mediante l’aggiunta dei membri della propria organizzazione e dei rispettivi ruoli;
  • la gestione semplificata dei processi di valutazione d’impatto (DPIA);
  • la modulistica necessaria ad esempio per nominare responsabili e addetti al trattamento.

Assistenza personalizzata

In aggiunta alle soluzioni software, รจ possibile inoltre richiedere il supporto diretto del team legale del TagliaErbe, composto da affermati Avvocati specializzati nel diritto del digitale. 

Inoltre io sono un consulente specializzato in adeguamenti al Gdpr. 
Puoi trovare la mia scheda su Federprivacy e se avessi necessitร  puoi contattarmi a questa pagina.

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle