Oggi sarà applicabile in Europa il GDPR, il Regolamento europeo sulla protezione dei dati personali: cosa cambia per le aziende e per gli utenti? Ecco una panoramica a cura di SwitchUp!

 

Ci siamo: oggi il GDPR diventa realtà. Per fare un po’ chiarezza su cos’è questo Regolamento europeo, sui cambiamenti ai quali le imprese dovranno adeguarsi e sulle novità per gli utenti del web, abbiamo redatto un testo che cerca di approfondire i punti fondamentali del GDPR.

Il post è abbastanza lungo, quindi abbiate pazienza! Abbiamo cercato di essere quanto più precisi possibili, ma in ogni caso è sempre bene informarsi leggendo i testi di legge e documenti autorevoli: nel testo troverete dei link di approfondimento e in fondo al post ci sono le fonti alle quali ci siamo ispirati per la stesura del testo.

 

GPDR: un’introduzione

Dopo la sua entrata in vigore il 24 maggio del 2016, oggi venerdì 25 maggio sarà applicabile in Europa il General Data Protection Regulation, meglio conosciuto come GDPR o Regolamento generale sulla protezione dei dati personali. Il Regolamento rappresenta un grande passo in avanti per le normative che disciplinano il trattamento dei dati personali sul web. In sostanza, il GDPR chiarisce come e in che misura i dati personali debbano essere trattati, raccolti, utilizzati, protetti e condivisi.

Il Regolamento riguarda sia i consumatori che le imprese, perché definisce in maniera più precisa e chiara quali sono i diritti già esistenti e come i singoli individui possono esercitarli per avere un maggiore controllo sulla diffusione dei propri dati personali sul web.

Conoscere il Regolamento è importante per capire quali sono le novità rispetto alla normativa vigente e per adottare le misure necessarie per non essere sanzionati (le multe sono salatissime: fino a 20 milioni di Euro o fino al 4% del fatturato mondiale annuo dell’organizzazione!). Le implicazioni del GDPR sono principalmente a livello aziendale e organizzativo, ma alcune riguardano il sito web e il trattamento dei dati che gli utenti lasciano (volutamente o meno) navigando sul sito.

 

Utente, titolare e responsabile del trattamento

Per capire un po’ più a fondo il GDPR, occorre fare chiarezza sui principali attori in scena: utente, titolare del trattamento e responsabile del trattamento.

  • per utente si intende la persona i cui dati sono trattati da un titolare o da un responsabile del trattamento
  • per titolare del trattamento si intende la persona fisica o giuridica coinvolta nell’identificazione delle finalità e delle modalità del trattamento dei dati dell’utente
  • per responsabile del trattamento si intende la persona fisica o giuridica che viene coinvolta nel trattamento dei dati dell’utente da parte del titolare del trattamento.

Esempio: una società raccoglie informazioni sugli utenti tramite il proprio sito web e le memorizza utilizzando un servizio in cloud di una terza parte. In questa situazione, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

 

GDPR: le principali novità per gli utenti

Entrando un po’ più nel merito della questione, con il nuovo Regolamento europeo si stabiliscono nuovi doveri per titolari e responsabili del trattamento e maggiori tutele per gli utenti.

Che diritti hanno gli utenti?

  • diritto all’informazione: hanno maggiori informazioni su come i propri dati vengono trattati. Queste informazioni devono essere presentate in modo chiaro e comprensibile a tutti attraverso una privacy policy facilmente accessibile e scritta in maniera semplice
  • diritto di accesso: gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità attraverso le quali essi vengono trattati. Se l’utente ne fa richiesta al titolare, questo ha l’obbligo di fornire all’utente una panoramica della tipologia di dati trattati, una copia dei dati raccolti e una descrizione delle modalità del trattamento
  • diritto di rettifica: se i dati sono errati o incompleti, gli utenti possono richiederne la rettifica; questa deve essere comunicata dal titolare anche a tutti i soggetti terzi coinvolti nel trattamento dei dati
  • diritto di opporsi: gli utenti possono opporsi ad alcune attività di trattamento dei dati effettuate dal titolare del trattamento. Ad esempio, l’utente può opporsi al trattamento dei dati se esso è effettuato a fini di marketing diretto: in questo caso, non è necessario addurre nessuna motivazione all’opposizione
  • diritto alla portabilità dei dati: gli utenti hanno il diritto di ottenere (in un formato elettronico leggibile) i propri dati personali dal titolare, e potranno trasferirli fra diversi titolari di servizi più facilmente, senza che il titolare che li detiene possa opporsi
  • se gli individui non desiderano più che i loro dati vengano trattati e ritengono che non ci sia motivo per conservarli, possono richiederne la cancellazione in maniera più semplice. Il diritto alla cancellazione potrebbe essere negato se i dati sono trattati per un interesse pubblico, come la ricerca scientifica o per adempiere a un obbligo di legge
  • l’utente ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se, ad esempio, ne ha contestato l’esattezza o se il trattamento è illecito ma l’utente richiede una limitazione anziché la cancellazione. La limitazione deve essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o molto difficile
  • gli utenti hanno il diritto di non essere sottoposti a processi decisionali che si basano su un trattamento o una profilazione automatizzati e che producono un effetto legale. Solo per lacune categorie speciali di dati è possibile prendere decisioni automatizzate senza il consenso esplicito dell’utente

 

Nuove regole per le aziende con il GDPR

I titolari del trattamento dei dati e in generale le organizzazioni che raccolgono dati degli utenti devono rispettare delle regole stringenti per essere conformi al GDPR.

Ecco le principali novità introdotte:

  • il Regolamento è unico per tutti gli Stati UE e prevede una sola autorità di vigilanza: ciò significa che i principi e le norme a tutela dei dati personali saranno finalmente uguali per tutti i cittadini Europei e che tutte le organizzazioni saranno soggette a un’unica legge
  • le imprese fuori dall’UE sono obbligate ad applicare il GDPR quando offrono servizi all’interno dell’UE o quando monitorano il comportamento delle persone che vi risiedono
  • il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo, se il Paese in cui i dati vengono trasferiti possiede un livello di protezione dei dati personali che sia al pari degli standard europei. Il trasferimento dei dati verso gli Stati Uniti è consentito a patto che il responsabile del trattamento aderisca al Privacy Shield, o a patto che l’utente abbia espresso il proprio consenso informato
  • Privacy by design e Privacy by default: il regolamento garantisce che la salvaguardia della protezione dei dati personali sia integrata in prodotti e servizi sin dalla fase iniziale della progettazione e dello sviluppo dei processi e delle infrastrutture aziendali. Le regole sulla privacy devono essere pensate di default per garantire agli utenti un livello di protezione elevato, e devono essere messe in atto misure idonee a garantire che il ciclo di vita dei dati trattati sia conforme ai requisiti del Regolamento europeo
  • Data breach: il titolare del trattamento dei dati deve notificare l’eventuale violazione dei dati degli utenti all’autorità nazionale di vigilanza entro 72 ore dal momento in cui ne viene a conoscenza. Il titolare del trattamento è obbligato a tenere un registro delle violazioni, per poter dimostrare all’autorità di vigilanza il rispetto delle disposizioni previste dal GDPR. Gli utenti devono essere informati della violazione (entro lo stesso termine di 72 ore) a meno che i dati violati non siano stati protetti mediante cifratura (e quindi resi illeggibili per l’intruso) o se la violazione non comporta un rischio elevato per i diritti e le libertà delle persone
  • Data Protection Officer: alcune tipologie di aziende sono obbligate a nominare un DPO, un responsabile con una conoscenza approfondita della legislazione in materia di protezione dei dati, che assista il titolare o il responsabile del trattamento nelle operazioni di controllo alla conformità al GDPR. La nomina è obbligatoria quando il trattamento è effettuato da autorità o organismo pubblico, quando le attività principali del titolare o del responsabile consistono in trattamenti che richiedono “il monitoraggio regolare e sistematico degli interessati su larga scala” o quando le attività principali del titolare o del responsabile consistono nel trattamento di dati sensibili o giudiziari

 

Trattamento dei dati, consenso e privacy policy

Il nuovo Regolamento europeo stabilisce che i dati degli utenti possono essere trattati se sussiste almeno una delle basi giuridiche elencate qui sotto:

  • l’utente presta il proprio consenso
  • il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito o ha intenzione di aderire
  • il trattamento è necessario per adempiere a un obbligo di legge al quale il titolare è soggetto
  • il trattamento è necessario per tutelare interessi vitali dell’utente o di terzi, o per l’esecuzione di un’attività di interesse pubblico o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento
  • il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore

Particolare attenzione nel tema del trattamento dei dati riveste il consenso da parte dell’utente al trattamento stesso. Quali sono, dunque, gli aspetti da tenere in considerazione per avere un consenso veramente libero al trattamento dei dati?

Per trattare i dati dell’utente, una qualsiasi organizzazione operante nell’UE deve ottenere un consenso inequivocabile da parte dell’utente stesso. Se si tratta di un minore, l’organizzazione deve ottenere un consenso verificabile da parte di un genitore o tutore del minore.

L’aspetto più importante è che l’organizzazione non può utilizzare termini complicati o indecifrabili per ottenere il consenso al trattamento dei dati: è escluso, quindi, anche il linguaggio giuridico o troppo tecnico! Per questo motivo, le privacy policy dei siti web devono essere scritte in maniera chiara, semplice, leggibile, in modo che gli utenti possano esprimere il consenso al trattamento dei propri dati in completa autonomia, con coscienza, sulla base di un’informazione oggettiva ed esplicita.

La modalità di acquisizione del consenso deve essere inequivocabile e prevedere un’azione di opt-in (come la compilazione di un modulo, ad esempio); l’utente deve avere anche il diritto alla revoca del consenso, e l’operazione di revoca deve poter essere facile quanto lo è stato concedere il consenso.

 

Il Registro del Trattamento

Le organizzazioni hanno l’obbligo di registrare i consensi ottenuti per essere in grado di dimostrare che l’utente ha effettivamente prestato liberamente il consenso, dal momento che l’onere della prova spetta proprio al titolare del trattamento!

Il Registro rappresenta un obbligo per le organizzazioni con oltre 250 dipendenti o per quelle che raccolgono dati sensibili o di categorie speciali e in maniera non occasionale. Il Registro deve essere tenuto per iscritto, possibilmente in formato elettronico, e deve includere alcune importanti informazioni come, ad esempio:

  • il nome e le informazioni di contatto del titolare del trattamento e, se presenti, dei responsabili del trattamento e del DPO
  • le finalità del trattamento e una descrizione delle diverse tipologie di utenti e di dati trattati
  • le categorie dei soggetti terzi che accedono ai dati, specificando l’eventuale Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti (in caso di trasferimento di dati verso un Paese extra UE)
  • l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile)
  • i termini previsti per la cancellazione delle varie categorie di dati (ove possibile)
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile)

 

Cookie Law e rispetto del GDPR

Sappiamo bene quanto sia importante per il cliente che promuove la sua attività sul web, e che raccoglie i dati dei visitatori del sito attraverso i cookie, avere tutte le carte in regola per farlo.

La Cookie Law (o Direttiva ePrivacy) è una legge ancora applicabile poiché non abrogata dal GDPR. La Cookie Law in futuro verrà sostituita dal Regolamento ePrivacy, che dovrebbe comunque mantenere invariate le disposizioni della direttiva precedente e lavorare in sintonia con il GDPR. La Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento.

Per questo è necessario rispettarla: l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, come i cookie di Google Analytics e quelli per le campagne di remarketing utilizzati da Google AdWords, o i pixel di Facebook per il retargeting. Il rispetto della legge sui cookie rappresenta quindi un fattore importantissimo nell’ambito della protezione dei dati personali che il GDPR si promette di tutelare.

 

Speriamo di aver chiarito qualche dubbio in merito al GDPR. In ogni caso, elenchiamo qui sotto le fonti utilizzate per la stesura dell’articolo e vi invitiamo a contattarci per sapere di più!

https://www.iubenda.com/it/help/5424-guida-gdpr

https://www.iubenda.com/it/help

https://www.iubenda.com/blog/regolamento-generale-protezione-dati/