La privacy non va in vacanza e prima di poterci tuffare nelle tanto agognate ferie estive, bisognerà fare i conti con la General Data Protection Regulation 2016/679 ossia, il nuovo regolamento europeo sulla protezione dei dati personali. Perfettamente due anni dopo la sua entrata in vigore, il GDPR è divenuto pienamente applicabile in tutta Europa pochi giorni fa, ovvero dal 25 maggio scorso, quando scadevano i termini fissati dal legislatore europeo per completare l’attività di compliance alla nuova normativa.
Indice
COS’È IL GDPR?
In quella che potremmo definire come l’era dei “dati”, il GDPR diviene il primo tentativo di fronteggiare la dispersione e il trattamento “illecito” delle informazioni personali.
Abbiamo ancora tutti davanti agli occhi lo scandalo Cambridge Analytica che ha travolto qualche settimana fa la piattaforma del primo social networkal mondo, ovvero quello controllato dallo statunitense Mark Zuckerberg. Gli strascichi del data-gate hanno costretto il leader di Facebook a precisare la propria posizione di fronte al Congresso degli Stati Uniti prima, e al Parlamento europeo, dopo.Non abbiamo intenzione in questa sede di ripercorrere le tappe del suddetto scandalo, ma l’esempio di quest’ultimo ci permette di sottolineare l’importanza della nuova disciplina rivolta alla protezione dei dati personali. Strutturato in 11 Capi e 99 articoli, il GDPR introduce o aggiorna principi e norme presenti già nel Codice privacy italiano. Nel tentativo di destreggiarci correttamente nel nuovo ecosistema privacycreatosi con l’entrata in vigore della nuova normativa europea, dovremmo fare attenzione, soprattutto, ai seguenti punti:
- accountability: ossia, la responsabilizzazione posta in capo al titolare del trattamento. A quest’ultimo è affidato il dovere di decidere le finalità e le modalità attraverso cui trattare e gestire i dati personali in suo possesso;
- dati personali: ossia qualsiasi informazione capace di identificare o rendere identificabile un determinato soggetto;
- privacy by design e privacy by default: concetti che esplicitano la rilevanza assunta dal fenomeno della privacye si innestano nel quadro delle misure di sicurezza, strumento col quale il legislatore europeo ha compiuto il primo passo per contrastare il fenomeno della cyberhackeraggio
Con i principi della privacy by design e privacy by default bisognerà prestare attenzione alla privacy dell’interessato fin dall’elaborazione del trattamento stesso, stabilendo le giuste modalità e, ancora, scegliendo i giusti applicativi attraverso cui svolgere la conservazione e il trattamento stesso dell’informazione.
- misure di sicurezza e notifica di data breach: negli anni in cui il fenomeno del data breach riempie le pagine di giornali e blog dedicati all’informatica e non, il GDPR impone al titolare del trattamento di scegliere le misure tecniche adeguate e proporzionate all’attività svolta dallo stesso (due esempi potrebbero essere la cifratura e la pseudonimizzazione dei dati conservati o, ancora, l’attività di monitoraggio e test delle misure tecniche utilizzate per la protezione delle informazioni).
Qualora si dovesse incorrere in un breach, il GDPR stabilisce un obbligo di notifica all’autorità Garante nel termine di 72 ore dal momento della scoperta della violazione e, qualora dalla falla di sicurezza potrebbe derivare un pericolo o un danno ai diritti e alle libertà del singolo, una comunicazione deve essere inviata anche all’interessato. Il GDPR consiglia, ancora, al titolare di tenere un registro delle violazioni subite.
- informativa: ossia la precisa e corretta indicazione delle finalità e modalità del trattamento, rilasciata dal titolare all’interessato. L’informativa, si ricordi, dovrà essere formulata con un linguaggio semplice, chiaro e accessibile a tutti.
- registro dei trattamenti: strumento obbligatorio solo per le imprese con più di 250, a meno che non vengano trattati dati particolari (ex dati sensibili del Codice privacy) oppure il trattamento comporti dei rischi per i diritti e le libertà dell’interessato. In questi casi il titolare del trattamento dovrà redigere il registro inserendovi tutte le informazioni riguardanti la policy, le procedure e gli strumenti di sicurezza da lui adottati al fine della protezione e la messa in sicurezza delle informazioni sensibili custodite.
- DPIA: ossia la data protection impact assessmentcon cui il titolare valuta i rischi derivanti dal trattamento svolto.
- DPO: ossia il responsabile per la protezione dati, nominato dal titolare del trattamento per verificare la conformità del trattamento alle regole imposte dal GDPR.
Spazio fondamentale nella normativa è dedicato ai diritti degli interessati, in particolare, nel caso specifico del gestore di una piattaforma WordPress, potrebbero essere:
- il diritto all’accesso: ossia l’obbligo in capo al titolare del trattamento di garantire l’accesso alle informazioni custodite nella propria piattaforma. Questo diritto comporta, quindi, che all’interessato debba essere fornita la chiara informazione circa le metodologie attraverso cui i dati vengono elaborato e conservati.
- Il diritto all’oblio: ossia l’obbligo in capo al titolare del trattamento, in caso di richiesta dell’interessato, di cancellare qualsiasi informazione riguardante lo stesso raccolta e conservata nella propria piattaforma.
- Il diritto alla portabilità dei dati: ossia l’obbligo in capo al titolare del trattamento di consentire all’interessato di trasferire i propri dati personali verso altre piattaforme.
È fondamentale precisare che, qualora il titolare del trattamento fosse inadempiente nel conformarsi agli obblighi derivanti dal GDPR o non garantisca il corretto esercizio dei suoi diritti all’interessato, incorrerà in sanzioni amministrative fino a 20.000 di euro o, per le imprese, fino al 4% del fatturato annuo.
L’ADEGUAMENTO DEL TUO SITO AL GDPR
Andare alla ricerca di modelli generali di privacy o cookie policy è sbagliato, in quanto ogni sito è unico e prevede modalità di raccolta dei dati e finalità del trattamento differenti. Attraverso poche e semplici indicazioni riuscirai a capire la logica e i principi sottostanti alla nuova normativa europea e saprai procedere autonomamente all’adeguamento del tuo sito.
STEP N.1: Predisponi un’adeguata e aggiornata PRIVACY POLICY
Ogni sito deve obbligatoriamente mettere a disposizione degli utenti una privacy policy, detta anche informativa, ossia fornire una serie di informazioni al soggetto che rilascia i propri dati. Il contenuto dell’informativa è delineato dall’art. 13 del GDPR e prevede:
- Finalità del trattamento, ossia il motivo per cui raccogli determinati dati personali. Le finalità possono essere di marketing, profilazione, invio newsletter, gestione delle richieste inviate dagli utenti tramite il tuo sito, miglioramento della qualità dei servizi offerti, facilitare l’interazione e la comunicazione con gli utenti, pubblicizzare prodotti e servizi che offri, gestire il processo di selezione dei candidati in caso di candidatura e invio del curriculum vitae tramite il sito e così via.
- Tipologie di dati raccolti e quindi se si tratta di dati forniti volontariamente dall’utente (come l’email per l’invio della newsletter) o dati di navigazione.
- Eventuali destinatari dei dati, ad esempio nel caso in cui i dati personali vengono da te comunicati a terze parti che li utilizzeranno per finalità proprie.
- Conservazione dei dati per il tempo strettamente necessario al raggiungimento delle finalità per le quali i dati sono stati raccolti; decorso tale termine, i dati personali saranno cancellati o resi in forma anonima. Per quanto riguarda i dati personali raccolti con il consenso dell’utente, in caso di revoca dello stesso, dovrai provvedere tempestivamente alla cancellazione di tali dati.
- Diritti dell’interessato a cui abbiamo dedicato un paragrafo ad hoc.
L’informativa va inserita in una sezione apposita del sito, ma chiaramente visibile nella homepage. Nelle sezioni speciali dei siti come la sezione “Lavora con noi” o negli specifici form,come ad esempio quello di iscrizione alla newsletter o il formcontatti attraverso cui i visitatori del tuo sito possono chiederti informazioni circa i prodotti o servizi che offri, va inserita un’apposita informativa riferita al trattamento dei dati raccolti in quello specifico contesto o un link di rimando alla privacy policygenerale del sito. Nel caso in cui il tuo sito effettui un trattamento dei dati semplice ed ordinario potrai predisporre una privacy policy di quelle che si generano online, ad esempio tramite Iubenda. Diversamente ti consigliamo di rivolgerti ad un consulente legale esperto in materia di privacy.
STEP N.2: predisponi una dettagliata COOKIE POLICY
Il GDPR riguarda sia i dati personali identificativi di un singolo utente sia quei dati che, combinati tra loro, possono portare all’identificazione. Se il tuo sito installa nei browser degli utenti cookie in grado di identificarlo, occorre conformare al GDPR la raccolta dei dati attraverso tali cookie. I cookie possono svolgere diverse funzioni.
- I cookie tecnici sono essenziali e consentono agli utenti di navigare in modo efficace, di impostare e conservare le preferenze e più in generale di migliorare e ottimizzare la navigazione sul sito. È sempre possibile per l’utente disattivare i cookie o rimuoverli dal proprio browser, ma tali azioni potrebbero rendere non accessibili alcune sezioni del sito e meno funzionale la navigazione.
- I cookie di profilazione sono invece utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc.; per tale tipologia di cookie è richiesto uno specifico consenso che, se non prestato, non deve comunque impedire un’efficace navigazione.
Verifica che il banner dei cookie compaia al momento della visita al sito e che preveda la raccolta del consenso attraverso una chiara azione affermativa dell’utente; ricorda che qualora l’utente rifiuti quei cookie che non siano meramente tecnici, deve essergli ad ogni modo garantita la continuazione della navigazione sul sito.
STEP N.3: verifica in che modo raccogli il CONSENSO
Il consenso deve essere rilasciato per ogni singola finalità di raccolta dati perseguita dal tuo sito e a tal fine devono essere predisposte delle caselle obbligatoriamente non pre-flaggate. Non basta un’unica casella e quindi raccogliere un unico consenso per scopi diversi e tra loro non compatibili.
In particolare, per le finalità di marketing e l’invio della newsletter è sempre opportuno chiedere un consenso separato. L’interessato deve rilasciare il proprio consenso al trattamento sia dei dati che inserisce volontariamente nel sito, sia di quelli forniti in modo indiretto, ad esempio attraverso la profilazione, avendo la possibilità di scegliere per quali dati prestare il consenso e per quali negarlo e non essendo prevista un’accettazione in blocco. Deve avere inoltre avere la possibilità di revocare facilmente (opt out) il consenso precedentemente prestato.
Se proprio vuoi utilizzare pluginche memorizzano dati degli utenti, raccogli solo i dati necessari e proteggili salvandoli in maniera crittografata in un database esterno.
Se possiedi una mailing list non consensata, alla luce del GDPR, non puoi più conservare ed utilizzare queste mail, in quanto costituiscono dati raccolti senza un valido consenso; di conseguenza potrai decidere di eliminarli. Alcuni gestori hanno optato, invece, per una campagna di recupero consensi, inviando una mailin cui si richiede l’aggiornamento dei dati e il consenso al trattamento degli stessi per finalità di marketing. Negli ultimi giorni ti sarai accorto di ricevere diverse mailcon questa finalità; tuttavia non siamo sicuri che tale espediente sia del tutto compatibile col GDPR, soprattutto quando le mail di recupero consenso sono inviate a soggetti che non avevano mai prestato in precedenza il loro consenso. La mail inviate, invece, per confermare un consenso già validamente prestato in precedenza sono legittime e per certi versi anche superflue, trattandosi appunto di un consenso già valido.
Con la nuova normativa il consenso deve essere informato, preventivo, esplicito e revocabile in ogni momento dall’interessato; inoltre il gestore del sito, nonché titolare del trattamento, deve essere in grado di dimostrare di averlo ottenuto.
HAI UNA NEWSLETTER?
Principio generale del GDPR è quello di raccogliere solo quei dati necessari al raggiungimento della finalità prestabilita. Di conseguenza l’iscrizione alla newsletterrichiede la raccolta delle sole mail. Inoltre, come già detto, è necessaria un’informativa che spieghi in modo semplice e chiaro le finalità del trattamento e i diritti che l’interessato può esercitare. A tal fine il boxdi iscrizione alla newsletter deve contenere un linkdi reindirizzamento alla privacy policydel sito. È fondamentale poi che l’utente del sito manifesti il suo consenso e l’accettazione della privacy policy flaggando un’apposita casella non pre-flaggata. La mail attraverso cui è inviata la newsletter deve sempre prevedere la possibilità di annullare l’iscrizione e quindi revocare il consenso alla ricezione di ulteriori mail di quel tipo.
STEP N.5: assicurati di garantire l’esercizio dei DIRITTI degli utenti
Abbiamo già esaminato nel primo paragrafo alcuni dei diritti che il GDPR riconosce agli interessati. Assicurati di poterne garantire l’effettività. Ciò comporta, in particolare, che tu sia consapevole di come e dove vengono conservati i dati che raccogli e che sia in grado di cancellarli appena l’interessato ne faccia richiesta. Non solo: devi disporre anche di strumenti che ti consentano, sempre su richiesta dell’interessato, di garantirgli copia dei dati raccolti, nonché il trasferimento degli stessi presso un’altra piattaforma, qualora egli eserciti il suo diritto alla portabilità. Allora, senza lasciarti prendere dal panico, adegua il tuo sito e non avrai nulla da temere, ma solo da guadagnare: le accortezze che seguirai in merito alla privacy dei tuoi utenti, ti garantiranno la loro fiducia.