×

A causa dell'emergenza Coronavirus, stiamo lavorando in remoto e l'attività prosegue regolarmente, come prima, meglio di prima.
Per comunicazioni vi preghiamo di scrivere ad [email protected], lasciando i vostri recapiti. Vi ricontatteremo nel giro di poco.

News & Ideas

GDPR e siti web: il regolamento europeo sulla protezione dei dati personali

gdpr02

Il 25 Maggio 2018 entrerà in vigore il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali.

Le principali novità introdotta dalla normativa è il rafforzamento delle misure tecniche e organizzative per garantire la massima sicurezza dei dati, riducendo così il rischio di furto o dispersione accidentale.

Cos’è il GDPR?

Il nuovo Regolamento (UE) 2016/679 per la Protezione dei Dati o GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone Fisiche con riguardo al Trattamento dei Dati nonché alla libera circolazione di tali dati.
A questo indirizzo è disponibile il testo integrale del Regolamento GDPR in formato PDF (88 pagine): RGPD (Regolamento Generale Protezione Dati) UE 2016/679

Il GDPR avrà piena applicazione a partire dal 25 maggio 2018. Il suo obiettivo? Garantire un’adeguata sicurezza dei dati personali nel momento in cui essi vengono trattati, onde evitare situazioni che possano compromettere la privacy.

Si tratta dell’iniziativa più significativa in materia di protezione dei dati degli ultimi 20 anni.

A chi si applica il GDPR?

Il GDPR deve essere rispettato sia dalle organizzazioni con sede nell’Unione Europea sia da quelle che, pur avendo sede al di fuori dell’UE, elaborano, trattano e raccolgono i dati dei cittadini di uno dei 28 stati membri.
Qualsiasi organizzazione del mondo che si rivolge a soggetti dell’Unione europea deve rispettare il nuovo regolamento GDPR.

Regolamento ePrivacy

All’interno della riforma introdotta con il GDPR della Commissione Europea rientra anche il regolamento ePrivacy che concerne il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”.

Il regolamento ePrivacy comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Come si legge nel sito del Garante della Privacy, i punti di maggior rilievo della proposta di Regolamento e-Privacy sono i seguenti:

  • Applicazione delle norme: anche gli OTT (Over The Top, ovvero i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype) saranno tenuti al rispetto delle norme europee e dovranno garantire lo stesso livello di tutela degli operatori di telecomunicazione tradizionali.
  • Metadati: la protezione verrà applicata non solo ai dati, ma anche al contenuto delle comunicazioni e ai metadati, cioè gli elementi accessori o di contorno di un’informazione. Questo significa che i metadati dovranno essere anonimizzati, ove possibile, e cancellati nel caso in cui siano trattati senza consenso o non siano più necessari allo scopo per cui sono stati raccolti.
    Sarà obbligatorio richiedere il consenso degli utenti finali per poter fornire servizi accessori (come, ad esempio, gli antivirus o la ricerca di parole all’interno delle email) e per ulteriori finalità specifiche che non possono essere conseguite utilizzando dati anonimi.
    La proposta di regolamento prevede, inoltre, che ogni interferenza con il dispositivo utilizzato richieda il consenso dell’utente.
  • IOT (Internet of Things): nell’ambito dell’IOT (Internet of Things, cioè “Internet delle cose”), verrà esteso il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.
  • Cookies: tramite un settaggio preliminare del browser, l’utente potrà accettare o rifiutare in blocco l’installazione dei cookie.
  • Telemarketing: le linee telefoniche usate per effettuare chiamate a carattere promozionale dovranno essere contraddistinte da un prefisso identificativo unico che andrà obbligatoriamente mostrato in chiaro.
  • Informativa e acquisizione del consenso: l’informativa e l’acquisizione del consenso da parte dell’utente dovranno essere rese maggiormente user friendly, anche tramite l’impiego di icone standardizzate.

Il Regolamento ePrivacy completo in Pdf (per il momento disponibile solo in inglese) è disponibile a questo indirizzo: Article 29 Data Protection Working Party

GDPR e siti web: come comportarsi?

Descrivere in modo chiaro e dettagliato la finalità dei dati raccolti

Ogni utente deve comprendere in maniera chiara e inequivocabile per quali finalità vengono utilizzati i suoi dati personali e in quale modo essi vengono trattati.
Per questo motivo, sarà obbligatorio descrivere in modo chiaro e dettagliato i cookie in uso sul sito, elencando il tipo di dati raccolti, a chi vengono trasmessi, lo scopo del loro utilizzo, la scadenza dei cookie, ecc.
Oltre ai cookie, un sito web può raccogliere i dati anche tramite il modulo di contatto (come per esempio l’iscrizione alla newsletter, la registrazione nel caso di e-commerce, etc). Anche in questi casi bisognerà specificare la finalità dei dati raccolti.

Esempio
Se un indirizzo email è stato conferito per ricevere la newsletter, bisognerà specificare che esso sarà usato solo per l’invio delle newsletter e non trasmesso a terzi, per esempio, per finalità pubblicitarie.

Bloccare i cookie e chiedere il consenso esplicito dell’utente

L’acquisizione del consenso al trattamento dei dati è un punto nodale del regolamento.

Il GDPR stabilisce infatti che ogni sito web che raccoglie dati personali, per qualsivoglia ragione, è tenuto a ottenere dall’utente un esplicito consenso (opt-in) per il loro utilizzo.

È possibile installare prima del consenso dell’utente solo i cookie strettamente necessari, mentre gli altri dovranno essere obbligatoriamente bloccati.

Dare agli utenti la possibilità di revocare il consenso

Il Regolamento Generale Protezione Dati prevede che l’utente abbia il diritto di accedere ai propri dati personali e correggerli, eliminarli o limitarne l’elaborazione.

Nel caso di un sito web, questo significa che l’utente deve avere la possibilità di revocare il consenso in modo semplice anche in un secondo momento, accedendo alle impostazioni dei cookie del sito web e modificando la propria scelta di accettarli o rifiutarli. Il sito deve comunque funzionare, anche se l’utente rifiuta tutti i cookie tranne quelli strettamente necessari per il funzionamento del sito.

È inoltre obbligatorio garantire alle persone il “diritto all’oblio”, eliminando cioè i dati personali a chi ne fa richiesta.

Registrare i consensi ricevuti

Il GDPR prevede che venga mantenuto un registro con tutti i consensi ricevuti, da utilizzare come prova che l’utente abbia effettivamente dato il proprio consenso al trattamento dei dati.

Proteggere i dati raccolti

Inoltre, qualunque dato sensibile inviato su un sito web deve essere cifrato per adeguarsi al GDPR: l’utilizzo di un certificato digitale valido e il protocollo HTTPS sono considerabili misure sufficienti per adeguarsi alle disposizioni del GDPR.
È importante ricordare che, come si legge nel blog di Chromium, anche il browser Chrome a partire dalla versione 68 segnalerà come “non sicuri” i siti web senza certificato SSL (i classici HTTP).

Informare l’utente sui suoi diritti e avvisarlo di eventuali infrazioni

Il visitatore deve essere informato circa il suo diritto di inviare un reclamo presso l’autorità di vigilanza. Inoltre, nel caso di un’infrazione, è obbligatorio dare segnalazione entro 72 ore alle autorità di sicurezza locale e agli utenti interessati.

Multe e sanzioni GDPR

Le organizzazioni non conformi rischiano pesanti ammende fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’organizzazione.

Condividi
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInShare on TumblrEmail this to someone
Ti è piaciuto l'articolo? Lascia un "Mi piace" sulla nostra pagina Facebook.

Iscriviti alla nostra newsletter

Acconsento al trattamento dei miei dati in accordo alla vostra informativa privacy *