GDPR e siti web in Italia: Sei a norma? Ecco cosa devi sapere.

Senza dubbio la GDPR 679/2016 è un cambiamento radicale su come vengono trattati i dati, ma in particolar modo su come questi dati vengono gestiti nella vista lavorativa di tutti i giorni.

Ma prima una premessa importante, non siamo dei legali specializzati in materia di gdpr, per avere delle informazioni precise e soprattutto corrette sulla vostra azienda, contattate un legale specializzato in gdpr, punto.

Detto questo, c’e’ da chiedersi… Perche’ ne parlo?

Perché mi riguarda direttamente come azienda ma sopratutto perché realizziamo siti web per aziende come la tua. Diamo consulenza e continuano a seguire il cliente anche dopo la pubblicazione del sito.

Infatti, il tuo sito web è una filiale, un punto di contatto tra l’ azienda e internet e quando ci sono punti di contatti, significa persone e telefonate, indirizzi ed email. Relazioni che sono normate dalla GDPR n. 679/2016.

Nell’ ultimo periodo c’e’ stato un fiorire di corsi, informative dalle associazioni e dai produttori di software. Pero’ se in tanti ne parlano non vi sono informazioni specifiche a riguardo ed a volte non sono proprio chiare. Anzi di chiaro c’e’ che ci sono delle sanzioni ed anche pesanti, quindi non si scherza. Di contro abbiamo indicazioni in “legalese” da parte del garante alla privacy Italiano. Per cui alla fine è necessario rivolgersi ad esperti nella Gdpr, avvocati specializzati in GDPR.

Ma cosa è la Privacy GDPR 679/2016 ?

E’ una nuova legge che entrera’ in vigore a partire dal 25 maggio 2018, ma è plausibile che, dopo tale data, si entrera’ in una fase o percorso di adeguamento per chi si vuole mettere in regola.

Questa normative server per regolamentare i dati dei cittadini secondo tre ambiti importanti:

• Tutela dei dati dei cittadini europei
• Rendere unico il regolamento delle diverse nazioni europee
• Dare consapevolezza agli utenti, sul web, del possibile utilizzo che le aziende possono farne (anche farci soldi).

La gdpr tenta di rendere Esplicito e Notificato il rilascio dei dati da parte degli utenti.

Certo anche prima esisteva il consenso alla privacy attraverso la spunta nei moduli di richiesta dei siti web, ma ora non è piu’ sufficiente. Quello che il GPDR chiede in piu’ è che bisogna spiegare a chi rilascia i dati che in qualunque momento devono essere in grado di poter cancellare i propri dati fiscali.

Come? si, chi ti lascia i suoi dati deve poter essere messo in condizione di poter cancellare i propri dati, quindi, nel caso in cui:

• Richiedi una registrazione (per accedere ai tuoi servizi online), l’ utente deve essere in grado di accedere e cancellare i dati inseriti.
• Se archivi o immagazzini i dati, ad esempio che ti sono stati inviati da un form del sito web aziendale, e poi li archivi, devi renderne possibile la cancellazione.

Altri punti importanti da valutare sono le definizioni relative ai “Dati Personali” e la “Elaborazione dei dati”, in un primo momento sembrano essere la stessa cosa ma vi sono delle differenze, vediamole:

• Dati personali: facile da intuire, sono informazioni che l’ utente ci fornisce attraverso la compilazione di moduli di richiesta informazioni sul sito web aziendale, sulle landing page, quindi Nome, Cognome, indirizzo, email e cosi via. A queste si possono anche aggiungere informazioni generate via codice come la provenienza geografica, l’ indirizzo IP e cosi via.
• Elaborazione dei dati: In pratica significa che, sulla base di informazioni gia’ presenti relative ad un certo utente, le stesse vengono integrate con altre informazioni raccolte su servizi differenti per ottenere un profilo utente piu’ completo.

In piu’ è possibile la Pseudonimizzazione dei dati personali, in modo che associandoli ad un id, l’ utente non sia direttamente associabile ad un determinato comportamento/dato.

Un pensiero che mi viene spontaneo, ma per le associazioni? E le informazioni legate ai minori, come devono essere gestite? (lo vediamo successivamente) In alcuni ambiti associativi la gestione è quantomeno lacunosa per non dire totalmente casuale. Pero’ in questo caso se sei una comunita’ religiosa, una chiesa o una associazione ci sono dei vantaggi nel trattare i dati personali (Rif. 165 – Reg. UE 2016/679.

Devi gestire la Gdpr anche sul sito oltre che in azienda:

Alla fine riguarda sopratutto le aziende. se il trattamento dei dati personali viene effettuato da persona fisica e non vi siano attivita’ commerciali e/o professionali correlate, allora la normativa non vi riguarda.

Un aspetto da comprendere riguarda anche le varie associazioni non a scopo di lucro, dovranno gestire oppure no la Gdpr? Alla fine le associazioni “vendono” quote e/o servizi correlati di valore sociale per far quadrare il bilancio e per sostentare le attivita’. Ma sempre piu’ associazioni effettuano piani di web marketing per promuovere le attivita’.

Si, come proprietario del sito devi controllare e vigilare nel tempo per rispondere dei dati raccolti nei confronti dei sui clienti e utenti ed anche per rispondere di eventuali provvedimenti disciplinari. In ogni caso è necessaria la collaborazione con il “webmaster” o la Web Agency che dovranno intervenire per attuare quelle attivita’ tecniche per mettere a norma il sito web aziendale.

Sanzioni Gdpr e multe (anche penali)

Anticipo subito questa sezione, perchè alla fine piu’ che delle belle parole, quello che ci interessa è metterci a norma ed al sicuro da sanzioni. Sanzioni che arrivano e sono particolarmente onerose, infatti con il GDPR il nuovo sistema avra’ sanzioni piu’ rigide del precedente.

Ad oggi, prima del 25 maggio 2018, le sanzioni sono indicativamente di poche centinaia di euro. Ma con il nuovo regolamento UE, le sanzioni sono molto piu’ alte: Dal 4% del fatturato sino a 20 milioni di euro.

Gli organi competenti emettono sanzioni, come per il caso della ditta di costruzioni che ha omesso di inserire l’ informativa sulla privacy all’ interno della pagina di richiesta informazioni. qui il link http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3745362

Per fare due conti, costa di meno una web agency, sul territorio da anni, oppure tuo nipote, cugino, amico o freelance che mettono insieme qualche pagina senza curarsi di quali sono i TUOI OBBLIGHI GDPR di informazione al tuo cliente?

In piu’ queste multe verranno emesse anche a chi, pur essendo in obbligo, non mantiene un corretto registro del trattamento dei dati.

Da Europrivacy, nell’ approfondimento riguardo “Le sanzioni del GDPR” di Giancarlo Butti, si evince anche un quadro ben piu’ complesso ed articolato: il GDPR riflette le normative europee ma le autorita vigenti dispongono di poteri correttivi (art.58) che le mettono in condizione di poter limitare o vietare il trattamento dei dati, con la conseguente possibilita’ di azioni legali da parte dei clienti che si vedono il servizio sospeso o non erogato.

In ogni caso sembra che siano previsti dei percorsi prima di arrivare alle sanzioni come si evince dall’ immagine sottostante presente sul sito: http://ec.europa.eu/justice/smedataprotect/index_it.htm

Non vorrei aggiungere altro “sale sulla ferita”, ma qui si parla solo di sanzioni pecuniarie e se ricordo bene (ma sentite un legale!) l’ europa non puo’ legiferare riguardo il diritto penale. Quindi se la violazione è rilevante a tal punto da essere realmente grave, resta alla singola nazione eventualmente decide se applicare ANCHE E IN PIU’ sanzioni aggiuntive, anche penali.

Alla fine, credo che il non adeguamento della propria azienda alla GDPR si traduca in un maggior costo

In piu’ è molto plausibile che oltre ai controlli relativi alla GDPR si inneschi un circolo virtuoso di controllo che da un organismo governativo passi ad un altro organismo governativo che possa controllare anche altri aspetti.

Insomma, il Gdpr è una occasione per ricontrollare tutta l’ azienda, aggiornare, organizzare ed ottimizzare.

Cosa serve fare per mettersi in regola con la privacy GDPR 679/2016

Vi sono alcuni passi fondamentali riguardo le attivita’ necessarie:

• Richiedere il consenso esplicito a tutti i clienti (si anche quelli gia’ registrati), questo è un aspetto che deve essere gia’ in regola (anche perche’ gia’ in vigore da anni). A livello pratico serve che il vostro potenziale cliente flagghi la casellina relativa all’ informativa sulla privacy con a fianco una voce, per esempio: “Si, Ho letto e compreso la normativa sulla privacy e l’ accetto”. E nel caso in cui il cliente non venga selezionata la casellina sull’ informativa, allora i dati non possono essere inviati. Ricapitolando: Nei moduli di richiesta informazioni l’ informativa aggiornata non deve avere la casellina gia’ selezionata, se il cliente la seleziona allora puo’ inviare i dati con il modulo, altrimenti anche se clicca invia i dati non vengono inviati.
• Aggiornare la policy privacy sul sito internet che deve essere presente sul sito e che deve contenere queste informazioni, che vengono riprese dal GDPR 679/2016 ed evidenziate, quindi se sei una azienda e non le avete siete gia’ non in regola:
• Indicare chi è il responsabile dei dati personali raccolti e dove vengono immagazzinati
• quale è lo scopo e la finalita’ dei dati che raccogliete e che la finalita’ stessa sia legittima, cioè se ti fornisco i miei dati per ricevere informazioni da un mailing sui miei interessi, non devo ricevere altre informazioni su interessi diversi. (aggiungo io: questa è la base del web marketing!)
• Il fatto che dopo un periodo di tempo determinato i dati vengono cancellati e deve essere specificato. Solitamente si indica “lasso temporale non piu’ lungo del necessario”
• Che i dati inesatti devono poter essere modificati e/o cancellati in autonomia dall’ utente
• Che gli stessi dati personali sono protetti dal furto (e aggiungo io, questo vuol dire innalzare la sicurezza generale del tuo sito web aziendale)
• Specificare a chi eventualmente i dati personali sono ceduti a terzi
• Se i dati vengono registrati, l’ interessato possa accedere per eventuali modifiche in forma gratuita, solo dopo una verifica dell’ identita’ reale dell’ interessato.
• Diritto all’ oblio e quindi cancellazione di fatto dei dati, in particolar modo se si parla di persone che hanno prestato il consenso quando erano minori
• Se i dati vengono utilizzati ai fini di marketing, l’ interessato del trattamento possa opporre in qualsiasi momento ed in forma gratuita. Importante: Queste informazioni DEVONO essere presentate chiaramente ed in modo separato da tutte le altre informazioni, meglio se con una voce supplementare con una casellina da spuntare /flaggare
• Se i dati che raccogliete riguardano i minori di anni 16 è necessario che vi sia il consenso dell’ autorita’ genitoriale (rif. art 8, 1 punto)
• Attuare piani di sicurezza per prevenire eventuali rischi di fuga dei dati e di furto dei dati, sia in azienda che sul sito web
• nel caso i dati vengano rubati, serve fare una comunicazione per avvisare del furto ed avere una copia degli stessi
• Cercare di capire sei la tipologia di dati trattati richiedano che venga messa in atto una valutazione d’ impatto sulla protezione dei dati, prima del trattamento stesso (rif. punto 90 del reg. UE 2016/679)
• Se i dati vengono inviati a soggetti terzi in paesi extraeuropei vi sono molteplici e attivita’ particolari da compiere che rendono particolarmente oneroso il compito (ad esempio ecommerce con formula in dropshipping oppure utilizzo di server in strutture dove il rispetto del dato e la sicurezza dei sistemi non sono al primo posto, quindi con un rischio concreto di fuga dei dati. In questo caso devi anonimizzarli per fare in modo che non siano direttamente riconducibili al soggetto.
• Modificare la gestione sulla normativa sui cookies. Si l’ attuale gestione dei cookies non basta piu’ deve essere piu’ articolata ed esaustiva. Ora, abbiamo visto che è necessario richiedere una conferma esplicita per l’ utilizzo dei dati personali. Questo utilizzo dei dati non riguarda solo i moduli di contatto, ma anch altra attivita’ tecniche, come per esempio la tracciatura dell’ indirizzo ip dell’ utente. In breve, se utilizzate sistemi statistici degli accessi sul vostro sito (come google analytics) è necessario fare accettare all’ utente questo aspetto. Quindi dal 25 maggio 2018 la normativa sui cookies dovra’ prevedere anche la spiegazione di questo concetto. Concetto che come abbiamo appena visto non dovranno risiedere solo nella pagina delle condizioni della informativa privacy). in breve, un cliente entra nel sito, gli viene proposta una informativa cookies adeguata secondo le indicazioni del gdpr. Se il cliente accetta i cookies allora puoi fare il tracciamento delle statistiche ( o altre attivita’) altrimenti non puoi attivare le statistiche anche se il cliente visita il sito.

Data Breach gdpr: Se rubano i dati cosa si deve fare?

Se i dati personali che avete raccolti vengono rubati, dovete immediatamente notificare il furto, cioè fare denuncia del furto, entro 72 ore dal momento in cui venite a conoscenza del furto, come da indicazione del punto 85. In modo immediato dovete rendere una comunicazione agli interessati, punto 86, in modo che siano a conoscenza.

Si apre uno scenario, se mi rubano i dati come faccio ad avvisare i diretti interessati? Devi avere una copia aggiornata dei dati.

Ecco che uno scenario di implementazione di backup strutturati, quindi non solo in azienda, ma sui vari pc di rete, server, siti web ed anche sistemi mobile sono PRIORITARI. Una soluzione che consiglio particolarmente è quella di Acronis Backup Cloud che è conforme al regolamento della GDPR e gestisce backup incrementali. E’ un servizio innovativo perche’:

• i tuoi dati sono in Italia e sono sempre in doppia copia in automatico
• Fai il backup di tutto quello che ti serve: dal pc, ai dati della contabilita’, ai portatili, agli smartphones e tablet
• Hai la granularita’ dell’ informazione (come richiesto dal GDPR) per recuperare fino al singolo file
• Funziona con qualunque dispositivo e Sistema operativo: Linux, Mac Os e Windows

Maggiori dettagli su Acronis Backup in Cloud

Previsione dei rischi e messa in sicurezza

Non basta mettere un paio di spunte da selezionare, ma deve essere implementato anche un piano di sicurezza che per la prevenzione dei rischi. E’ necessario quindi:

• Chiama un avvocato o un legale specializzato in Gdpr. Se siete associati a Confartigianato o Cna, queste associazioni stano istituendo uffici specializzati per il supporto alla corretta implementazione della gdpr. Sentiteli subito!
• Chiama chi gestisce il sito internet, per farvi dire come effettuare le modifiche necessarie per la messa in sicurezza e la messa a norma del sito alla gdpr
• Chiama chi gestisce assistenza informatica aziendale, in modo da far controllare se i sistemi attualmente in uso sono a norma e quali sono le procedure migliori.
• Nessun fai da te, nessun copia e incolla: Non si scherza le sanzioni economiche ci sono (lo hai letto poco sopra) ed potenzialmente anche a livello penale.

GDPR Approfondimenti e riferimenti esterni:

• http://ec.europa.eu/justice/smedataprotect/index_it.htm
• http://www.garanteprivacy.it/regolamentoue
• http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT
• https://www.bigmarker.com/iubenda/20180314-gdpr-it

Contattaci e parliamo del Progetto web per la tua Azienda !