GDPR: il diritto alla privacy
Premessa, maggio 2018: il regolamento europeo della protezione dei dati personale (GDPR, General Data Protection Regulation) non riguarda solo i siti internet ma qualsiasi acquisizione di dati personali.
GDPR: regolamento europeo sul trattamento dei dati personali
Il GDPR è una normativa europea per “tutelare i diritti alla privacy delle persone fisiche”. Stabilisce le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell’utente. L’elaborazione di dati personali non è consentita senza un consenso preventivo. Il consenso sarà valido se manifestato in modo non equivoco.
Cosa si intende per consenso
Al punto 32) del GDPR leggiamo: il consenso viene espresso mediante un atto inequivocabile con il quale l’interessato manifesta l’intenzione libera e informata di accettare il trattamento dei dati personali. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web o la chiusura di un evidente banner informativo. Non è consenso il “non fare”, o la preselezione di caselle.
Cosa implica il GDPR nella gestione di un sito internet?
Occorre chiedersi se con il sito internet si acquisiscono “dati personali“. Il GDPR definisce dato personale “qualsiasi informazione riguardante una persona fisica identificabile; si considera identificabile la persona fisica che può essere individuata con nome, ubicazione, un identificativo online o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
Cambia qualcosa per la norma sui Cookies?
La “cookie policy” stabilita nel 2015 resta perfettamente valida. Con tutti i dubbi per la disattivazione preventiva di eventuali cookie.
Come deve essere scritta la pagina web della Privacy?
Il GDPR richiede una semplificazione valida per tutta la documentazione pubblica: “Le informazioni destinate al pubblico devono essere concise, facilmente accessibili e di facile comprensione” GDPR, punto 58). Quindi vanno rimosse le incomprensibili pagine lunghe e illeggibili.
I tre casi dell’applicazione del regolamento (GDPR – CAPO I – Articolo 3)
“Il presente regolamento si applica al trattamento dei dati personali … quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi, indipendentemente dall’obbligatorietà di un pagamento; oppure riguardano il monitoraggio del comportamento di una persona fisica”.
Acquisiamo dati per una Newsletter o con l’E-commerce?
Bisognerebbe:
– Conservare la dimostrazione del consenso all’acquisizione dati, programmare il tempo di conservazione degli stessi
– Gli interessati hanno il diritto di rettifica dei dati personali e il diritto di cancellazione degli stessi
– Occorre avere procedure di salvaguardia dati e saper gestire l’obbligo di notifica delle violazioni
– Occorre nominare un responsabile della sicurezza e della privacy in azienda (DPO – Data Protection Officer). Il responsabile è comunque il titolare dell’azienda.
– Limitare il flusso extraeuropeo dei dati se si usano servizi cloud (Mailchimp, Google, Microsoft, …)
Ma senza analisi chiare, sui singoli casi, diventa difficile regolarizzarsi. Certamente la legge è indirizzata alle grandi aziende. Al punto 13) del GDPR, leggiamo: “Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento”.
Dati personali o dati aziendali?
Le informazioni aziendali non sono un dato personale. Acquisire mail tipo info@nomeazienda.com non ha riferimenti con il trattamento della privacy (salvo casi particolari). Da interpretare è la gestione di mail del tipo mario.rossi@nomeazienda.it, in questo caso potremmo avere a disposizione dei dati personali. Il punto 44) nel GDPR specifica però che il trattamento dei dati è considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto. Per estensione credo che possiamo stare tranquilli con le mail aziendali utilizzate per lavoro.
Sulle sanzioni in merito al mancato rispetto del regolamento
Online si leggono multe dalle cifre iperboliche, ma sono tetti massimi stabiliti. Il regolamento raccomanda una sanzione pecuniaria proporzionale alla colpa con criteri stabiliti in autonomia dai singoli Stati tenendo conto di tutte le circostanze, in particolare della gravità e durata dell’infrazione, delle conseguenze e dell’effettivo dolo – GDPR, punti 149) e 150).
In pratica la Legge Italiana dovrà fare le norme attuative e stabilire i criteri per le sanzioni.
Cose da fare, per tutti
Questo non dipende dal sito internet, chiunque viene in possesso di dati personali, deve anche garantire la protezione degli stessi
- Fate un elenco dei dati personali che avete, risalendo a come sono stati acquisiti e verificando che gli interessati ne siano a conoscenza
- Fate un’analisi dei rischi. Chiedetevi se e come possono esservi sottratti i dati personali che possedete.
Non potete semplicemente pensare che non ci sono rischi, basatevi su: https://it.wikipedia.org/wiki/ISO_31000 - Scrivete la procedura che adotterete in caso di furto dei dati
- Proteggete i dati memorizzati sui computer mantenendo il vostro sistema aggiornato e protetto.
ALTRI OBBLIGHI DI LEGGE
PARTITA IVA
sulla HOME PAGE di ogni sito deve essere presente la Partita Iva dell’azienda proprietaria.
Obbligo di pubblicazione di INFORMAZIONI LEGALI
Ogni sito deve riportare i dati identificativi dell’azienda proprietaria. La legge riguarda qualsiasi spazio su cui un’azienda ottiene visibilità online, anche sui social network.
Informazioni da pubblicare per Società di capitali:
– ragione sociale e sede legale
– l’ufficio del registro delle imprese ove è iscritta e il numero di iscrizione
– codice fiscale, partita iva e numero R.E.A.
– indirizzo di posta elettronica certificata
– eventuale stato di liquidazione della società a seguito dello scioglimento
– il capitale effettivamente versato e quale risulta esistente dall’ultimo bilancio
– lo stato di società con unico socio (per le s.p.a e le s.r.l. “unipersonali”)
Informazioni da pubblicare per Ditte individuali:
– ragione sociale e sede legale
– codice fiscale e partita iva
– numero di iscrizione REA
– indirizzo di posta elettronica certificata
Newsletter pubblicitarie
E’ contro la legge spedire newsletter promozionali senza un CHIARO ed ESPLICITO consenso.
Da una comunicazione del Garante, luglio 2016.
“No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall’indirizzo di posta elettronica di una società che opera nell’e-commerce… La comunicazione, giunta all’utente dopo l’acquisto on line di alcuni prodotti sul sito della società, era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall’Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.
Dalle verifiche effettuate dall’Autorità sul sito dell’azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all’acquisto di un prodotto senza aver prima fornito un generico consenso al “trattamento dei dati personali”. Inoltre, dai riscontri è risultato che anche l’informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.
Il Garante ha quindi vietato alla società l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l’integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l’adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell’acquisto tramite sito web…”