[Articolo aggiornato da Legalblink in data 8/10/2020]

Come forse già sai, da Maggio 2018 è entrato in vigore un nuovo regolamento sul trattamento dei dati personali. Inoltre, il 16 luglio 2020 la Corte UE ha annullato il Privacy Shield.
In che modo ti riguarda e cosa devi fare per metterti in regola? In questo articolo ti spieghiamo passo passo come fare!

Il 16 luglio 2020 la Corte UE ha annullato il Privacy Shield.
Il Privacy Shield era un accordo che prevedeva un regime di favore per le aziende statunitensi nel caso di trasferimento di dati dei cittadini UE verso gli Stati Uniti.

Ratio della storica decisione è la necessità che anche gli Stati Uniti si conformino alla maggior tutela prevista dal GDPR per i cittadini dell’Unione Europea.

Infatti, il GDPR richiede una tutela effettiva del cittadino come si vedrà in seguito, mentre il Privacy Shield permetteva in ogni caso una eccessiva ingerenza del Governo americano nei dati personali degli utenti (anche europei).

Allo stato attuale, salvo eccezioni, il trasferimento del dato in zone Extra-UE risulta molto più limitato e circoscritto. Ciò tutela maggiormente il cittadino e i suoi dati che possono godere delle maggiori sicurezze derivanti dalla gestione dei dati dei cittadini secondo le norme UE e dall’applicazione del GDPR.

La decisione della Corte UE è quindi orientata a incentivare l’aumento della tutela del cittadino favorendo l’applicazione del GDPR o comunque il trattamento dei dati secondo quanto previsto da quest’ultimo, che ad oggi rappresenta il livello di sicurezza più elevato.

Una ragione in più per scegliere una piattaforma totalmente italiana come 1MinuteSite!

Il GDPR è, come vedremo, uno strumento fondamentale per la protezione del cittadino e affidare i propri dati online a chi li gestisce secondo le normative UE deve essere indice di sicurezza.

Cos’è il GDPR?

GDPR 01

 

Il GDPR o General Data Protection Regulation, è il nuovo regolamento europeo sulla privacy e dati personali che dal 25 maggio 2018 è operativo per tutti i paesi della UE.

Questo nuovo metodo inerente al trattamento dati costringe aziende, professionisti e cittadini a cambiare l’approccio verso i dati personali dei loro clienti o contatti. La nuova normativa riguarda tutti coloro che, per lavoro, utilizzano i dati personali di altre persone fisiche.

Questo regolamento ha le sue ripercussioni anche sul web. Ad esempio tutti i siti che richiedono dati all’utente dovranno adeguarsi a questa normativa al più presto.

Non ha importanza che la tua azienda abbia sede in Europa o meno, il regolamento si estende a tutti coloro che hanno a che fare, direttamente o indirettamente, con i dati di qualunque persona si trovi a risiedere sul territorio europeo.

I principi del GDPR

GDPR

Iniziamo col dire che i tre pilastri su cui si fonda il GDPR sono:

Passiamo a spiegarli!

Il principio di accountability

Il principio cardine del GDPR è il principio di accountability che viene sancito dal GDPR all’art. 24, comma 1, secondo cui: “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

Secondo il principio di accountabilityil titolare del trattamento dei dati (che spesso coincide con il titolare dell’Azienda) deve dimostrare, con adeguata documentazione, di essersi adeguato al Regolamento mediante l’adozione di misure tecniche (per la sicurezza dei dati) e organizzative adeguate.

In altre parole spetta al titolare del trattamento dimostrare di aver messo in atto tutte le misure tecniche e organizzative necessarie per conformare l’utilizzo dei dati al nuovo regolamento.

Questo significa anche che, in caso di perdita o furto dei dati, il responsabile è solo il titolare del trattamento e a lui toccano sanzioni molto pesanti (ci torniamo tra poco). Tuttavia il regolamento non dà indicazioni precise su quali siano le misure pratiche da adottare!

Lascia intendere che si dovrà valutare caso per caso, in base al tipo di organizzazione, alla natura e alle finalità dei dati raccolti.

Privacy by design e Privacy by default

Queste due espressioni vogliono indirizzare i soggetti che raccolgono dati personali a adottare tutte le misure di protezione dei dati sin dalla fase di progettazione del trattamento e ad utilizzarli, per impostazione predefinita, al solo fine per cui sono stati raccolti.

Non è poi così chiaro, vero?

Facciamo un esempio in relazione ai due principi!

Privacy by design

L’espressione è da ricondurre ad Ann Cavoukian, Privacy Commissioner Canadese, ed esprime semplici ma fondamentali concetti in ambito privacy. Prevenzione dei rischi per la privacy, sicurezza e focus sull’utente sono gli obiettivi da non perdere di vista.

La tutela dell’utente deve essere effettiva e non solo di facciata, è importante che venga realizzato l’obiettivo posto dalle norme e non semplicemente che queste vengano formalmente rispettate. Così facendo l’utente sarà veramente tutelato da possibili abusi e il titolare del trattamento non sarà soggetto al rischio sanzioni.

Nella fase di “disegno” del tuo sito, dovrai già avere le idee chiarissime sul trattamento dei dati personali.

Se hai intenzione di aprire un e-commerce, prima di farlo dovrai stilare un documento con tutte le tipologie di dati personali che intendi raccogliere (es. nome, cognome, indirizzo, numero di telefono, email, ecc.).

Successivamente dovrai indicare in che modo intendi raccogliere e proteggere questi dati (es. dicendo che li terrai su un server sicuro oppure che li inserirai sul tuo gestionale e, in tal caso, dovrai scrivere chi accede a questi dati, come sono conservati e quali protezioni stai usando in caso di un eventuale attacco hacker).

Il GDPR prende in grande considerazione la valutazione del rischio. La valutazione del rischio deve essere effettuata dall’azienda a monte, nel momento della progettazione, e deve ovviamente essere parametrata al caso concreto non potendo esistere un modello unico applicabile indistintamente a tutti i destinatari.

L’art. 25 comma 1 prevede infatti: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, [..] a integrare nel trattamento le necessarie garanzie [..]”.

Privacy by default

L’impresa deve trattare solo i dati necessari, e solo per il tempo necessario, per le finalità per cui vengono raccolti, questo è quanto richiede il principio della Privacy by default.

Non è necessario richiedere all’utente una quantità di dati eccessiva e, tornando alla valutazione del rischio, fornire dati in eccesso espone l’utente ai rischi del caso e l’impresa a possibili sanzioni e problemi di gestione o tutela dei dati stessi.

Per la registrazione a un sito, per esempio, è sufficiente fornire dati e password.

Salvo casi in cui questo sia necessario all’utente non devono essere richiesti dati quali il sesso, la nazionalità, il nome e il cognome o altro.

La valutazione del rischio

La valutazione del rischio è fondamentale e obbligatoria.

Gli articoli di riferimento del GDPR sono molto chiari sull’argomento. Oltre ai già citati artt. 24 e 25 rilevano per questa importante operazione anche:

  • l’art. 75: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo.”;
  •  l’art. 32 comma 1: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” e comma 2: “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”

Vista la delicatezza e l’importanza dell’operazione è consigliabile eseguire o fare eseguire a valutazione del rischio con metodi ufficiali.

Da tenere distinta dalla valutazione del rischio è DPIA: la valuazione d’impatto sulla protezione dei dati disciplinata dall’art. 35.

La DPIA è obbligatoria solo quando previsto dalla norma , ovvero quando un tipo di trattamento “prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”

Le operazioni sopra citate hanno lo scopo di prevenire e preparare il titolare del trattamento ad un eventuale evento dannoso per la privacy senza mai perdere di vista la questione principale: l’effettiva tutela dell’utente.

In caso di un ipotetico data breach (rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità)come ci si comporta? Qual è la natura dei dati che potrebbero essere violati? Quanto gravi potrebbero essere i danni causati agli individui a cui i dati violati si riferivano?

Effettui una copia di backup almeno una volta al mese? Hai adottato protocolli di sicurezza (https) sul tuo sito web? Chi accede, oltre te ai dati che hai sul gestionale?
Queste potrebbero essere le prime domande da porsi.

In altre parole devi valutare un ipotetico rischio e individuare le possibili cause, conseguenze e mezzi di tutela.

In altre parole devi indicare tutte le misure e le garanzie previste per una adeguata protezione dei dati personali trattati.

Se poi il data breach accade davvero, la norma impone che occorre comunicare la violazione all’autorità di controllo (il Garante della privacy) e agli interessati stessi, i soggetti che avevano fornito i loro dati personali.

Come adeguarsi in sintesi al GDPR?

L’adeguamento al GDPR ti porterà via si e no mezza giornata di lavoro!

Quello che dovrai fare è semplice:

  1. Fermati a pensare ai dati personali che tratti, clienti, fornitori, utenti del sito web, dipendenti.
  2. Poi pensa alla natura dei dati: nome e cognome? Indirizzo? Numero di telefono?
  3. Fai una lista della tipologia di dati che tratti e metti tutto per iscritto su un foglio excel (lo chiamano registro del trattamento, obbligatorio per aziende con più di 250 dipendenti, ma comodo per te da usare in quanto è un buon promemoria per adeguarti alla normativa).
  4. Poi su un foglio word scrivi come utilizzi quei dati 

Puoi utilizzare dei modelli che troverai facilmente online. Devi solo scrivere che, per esempio, i dati degli utenti che ti contattano per ricevere un preventivo saranno usati al solo scopo di inviare il preventivo.

E se posso ottenere dati in altri modi?

Se hai più mezzi per ottenere dei dati, dovrai indicare ogni singolo mezzo.

Scriverai, per esempio, che i dati degli utenti ti arriveranno da:

  • form di contatto
  • ordine sul sito web
  • acquisto telefonico
  • ordine da email
  • altri sistemi

Fatto ciò dovrai aggiornare il tuo foglio word in cui dirai quante volte effettui un backup dei datidove li salvi e chi può accedere a quei dati.
Specifica anche i sistemi che usi per conservarli.

Ad esempio scriverai che salvi i tuoi dati su un hard disk esterno e che lo conservi gelosamente nel cassetto della tua scrivania a cui tu solo puoi accedere.

Scriverai che in caso di potenziale attacco hacker o potenziale danneggiamento sul tuo sito web il rischio di perdita dei dati è minimo perché, in fondo, gestisci solo dati non sensibili, ma generici.

Ad ogni modo dovrai scrivere come prevedi di risolvere la faccenda in caso di perdita o furto dei dati degli utenti con cui interagisci.

Ed infine per ogni informativa dovrai rendere noto all’utente, attraverso la Privacy Policy da pubblicare obbligatoriamente sul tuo sito, che è suo diritto accedere ai dati, rettificarli, cancellarli, ecc.

Concludendo

Anche su One Minute Site ci preoccupiamo di fare ogni singola cosa a norma.

  1. Puoi scaricare il documento relativo alla normativa GDPR direttamente dalla nostra pagina FAQ>Categoria GDPR>Nuova Informativa sulla Privacy: Come Adeguare il Tuo Sito. Qui troverai tutte le informazioni che ti servono!
  2. In alternativa puoi anche generare i tuoi documenti legali con il servizio di Legalblink.  Registrati su LegalBlink e scegli il pacchetto Fast Legal. Genera in totale autonomia Condizioni Generali di VenditaPrivacy Policy & Cookie Policy, Modulo sul Recesso, Nomina a Responsabile, Accordi in Drop Shipping
  3. Una volta generati i documenti dovrai andare sul pannello di amministrazione del tuo sito, nella sezione Informativa Privacy Policy & Cookie e incollare il testo generato nella tua area utente.

Adesso che sai come fare corri a metterti in regola!

E se hai creato il tuo sito su One Minute Site potrai generare i tuoi documenti legali in, modo del tutto gratuito. Ogni cliente con abbonamento annuale ha infatti diritto a un coupon che sconta il costo del servizio Fast Legal del 100%. Se hai bisogno di una mano contatta l’assistenza LegalBlink. Ti spiegheremo come fare! Ma intanto scopri la nuova piattaforma per creare il tuo sito in completa autonomia, ma con il supporto di un grande team. Quello One Minute Site.

0

Lascia il tuo commento

Lascia qua la tua recensione.
Dicci cosa ne pensi dell’articolo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *