Ultimamente basta bazzicare un po’ sulla rete per sentir parlare di GDPR e delle nuove normative che entreranno in vigore dal 25 maggio. Ma cosa sia questo GDPR e cosa dobbiamo fare con il nostro sito per rimanere aggiornati, ai più può sembrare un argomento oscuro e fumoso. È venuto quindi il momento di dare una ventata e disperdere quella coltre di fumo per scoprire nel dettaglio di cosa stiamo parlando e cosa fare!
Cosa è il GDPR
Il GDPR, acronimo di “Regolamento Generale della Protezione dei Dati” è costituito da diverse norme che vanno a sostituire nella sua interezza quella che era la direttiva 95/46/EC sulla Protezione dei Dati dell’ormai lontano 1995, tenendo conto degli incredibili passi in avanti fatti dalla tacnologia negli ultimi 23 anni. Si è reso necessario principalmente per far fronte ai sistemi di profilazione dei social, dando al cittadino un controllo completo di quelli che sono i suoi dati online. Oltre a questo, è anche uno strumento per semplificare il quadro normativo per le imprese che gestiscono tali dati.
Il regolamento entrerà in vigore su tutto il territorio europeo il 25 maggio e avrà tre aspetti più innovativi:
- Extraterritorialità: coinvolgerà tutte le società che gestiscono i dati o che offrono beni e servizi, indipendentemente dalla sede legale.
- Sanzioni: verranno sanzionate tutte quelle aziende che non saranno trovate in regola, con multe che vanno dal 4% del fatturato annuale, fino a 20 milioni di euro.
- Nuove norme sul trattamento dei dati: ogni società che tratta o gestisce dati dovrà spiegare in linguaggio semplice, non equivoco, tutti i termini e condizioni di utilizzo di quei dati. È anche obbligatorio dichiarare come verranno elaborati i dati forniti dall’utente.
Cosa fare per aggiornarsi
Tutte le aziende che gestiscono dati degli utenti (anche semplici form di consenso) o offrono beni e servizi online, sono costrette ad adeguarsi alle nuove normative del GDPR, rivedendo le proprie policy, pena la sanzione.
- Violazione: per prima cosa le aziende ora hanno l’obbligo di notificare alle autorità competenti e ai soggetti interessati le violazioni di dati che possono mettere a rischio “i diritti e le libertà degli individui”. La notifica deve avvenire entro 72 ore dalla presa d’atto della violazione.
- Accesso ai dati: è necessario garantire agli utenti il diritto di sapere se i loro dati vengono elaborati, dove e per quale motivo. Su richiesta si devono fornire i dati personali al soggetto interessato, in modo gratuito ed elettronico.
- Diritto all’oblio: tra i diritti vi è quello della cancellazione di tutti i dati del soggetto richiedente. Il diritto si applica anche quando l’utente non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.
- Portabilità dei dati: tutti gli utenti hanno diritto di ricevere i propri dati personali e trasmetterli a un altro ente. Per agevolare il trasferimento, i dati devono essere resi disponibili in un “formato leggibile da una macchina”.
- Cifratura: la cifratura dei dati sarà obbligatoria, per permettere solo a chi ha i permessi necessari di leggerli. A questa è affiancata anche la pseudonimizzazione, che consiste nel sostituire campi identificativi di un set di dati, con uno o più identificatori artificiali.
- Privacy by design: con questo regolamento diventa ufficiale un procedimento già largamente diffuso. La protezione dei dati deve essere inglobata in prodotti e servizi a partire dalla loro fase di progettazione, e non essere considerata solo in fasi successive.
- Data Protection Officer: il responsabile della protezione dei dati è una figura che verrà nominata da aziende ed enti pubblici e avrà il compito di garantire la conformità al GDPR. Questo però solo per chi effettua un monitoraggio dei dati in larga scala.
Come aggiornarsi
Bene, abbiamo capito cosa fare, ma adesso ci dovremmo chiedere: come fare? Alla fine tutto consiste nel mettere mano alle policy sulla privacy del nostro sito e riscriverle affinché siano conformi. Anche se, nei casi più eclatanti, potremmo addirittura dover modificare il nostro sistema. Se non sappiamo cosa fare, sicuramente nel corso delle prossime settimane gli esperti del settore redigeranno dei testi standard conformi al GDPR che potremo inserire gratuitamente nel nostro sito. È vero che il regolamento entra in vigore il 25 maggio, ma non c’è da entrare in paranoia, perché per cambi come questi è sempre previsto un periodo di assestamento in cui le aziende hanno il tempo materiale di mettersi in regola, che sia il dover aggiornare la policy sulla privacy o il dover aggiungere altre funzioni al sistema. Volendo leggere il regolamento completo, lo troviamo sul sito dell’unione europea a questo link (la prima colonna è in italiano).