Come forse già sai, da Maggio 2018 è entrato in vigore un nuovo regolamento sul trattamento dei dati personali.

In che modo ti riguarda e cosa devi fare per metterti in regola?

In questo articolo ti spiego passo passo come fare!

Cos’è il GDPR?

GDPR 01

Il GDPR o General Data Protection Regulation, è il nuovo regolamento europeo sulla privacy e dati personali che dal 25 maggio 2018 è operativo per tutti i paesi della UE.

Questo nuovo metodo inerente al trattamento dati costringe aziende, professionisti e cittadini a cambiare l’approccio verso i dati personali dei loro clienti o contatti. La nuova normativa riguarda tutti coloro che, per lavoro, utilizzano i dati personali di altre persone fisiche.

Questo regolamento ovviamente ha le sue ripercussioni anche sul web!

Ad esempio tutti i siti che richiedono dati attraverso dei form devono adeguarsi a questa normativa al più presto.

Non ha importanza che la tua azienda abbia sete in Europa o meno, il regolamento si estende a tutti coloro che hanno a che fare, direttamente o indirettamente, con i dati di qualunque persona si trovi a risiedere sul territorio europeo.

I principi del GDPR

GDPR

Iniziamo col dire che i tre pilastri su cui si fonda il GDPR sono:

Passiamo a spiegarli!

Il principio di accountability

Questo è il principio cardine del GDPR.

Significa che il titolare del trattamento dei dati (che spesso coincide con il titolare dell’Azienda) deve dimostrare, con adeguata documentazione, di essersi adeguato al Regolamento mediante l’adozione di misure tecniche (per la sicurezza dei dati) e organizzative adeguate.

In altre parole spetta al titolare del trattamento dimostrare di aver messo in atto tutte le misure tecniche e organizzative necessarie per conformare l’utilizzo dei dati al nuovo regolamento.

Questo significa anche che, in caso di perdita o furto dei dati, il responsabile è solo il titolare del trattamento e a lui toccano sanzioni molto pesanti (ci torniamo tra poco). Tuttavia il regolamento non dà indicazioni precise su quali siano le misure pratiche da adottare!

Lascia intendere che si dovrà valutare caso per caso, in base al tipo di organizzazione, alla natura e alle finalità dei dati raccolti.

Privacy by design e Privacy by default

Questi due termini significano che bisogna adottare tutte le misure di protezione dei dati sin dalla fase di progettazione del trattamento e che i dati vanno utilizzati, per impostazione predefinita, al solo fine per cui sono stati raccolti.

Non è poi così chiaro, vero?

Facciamo un esempio in relazione ai due principi!

Privacy by design

Nella fase di “disegno” del tuo sito, dovrai già avere le idee chiarissime sul trattamento dei dati personali.

Se hai intenzione di aprire un e-commerce, prima di farlo dovrai stilare un documento in cui raccoglierai tutte le tipologie di dati personali che intendi raccogliere (es. nome, cognome, indirizzo, numero di telefono, email, ecc.).

Successivamente indicare in che modo intendi raccogliere e proteggere questi dati (es. dicendo che li terrai su un server sicuro oppure che li inserirai sul tuo gestionale e, in tal caso, dovrai scrivere chi accede a questi dati, come sono conservati e quali protezioni stai usando in caso di un eventuale attacco hacker).

Privacy by default

In questo caso dovrai creare un documento in cui dici che i dati che raccogli sono finalizzati solo per uno o più scopi per cui tu hai dato l’informativa all’utente.

Ad esempio, se l’utente ti contatta attraverso il form di contatto del tuo sito, dovrai scrivere che, di default, i dati che raccogli serviranno solo a ricontattare il cliente e a proporgli i tuoi prodotti/servizi!

Quindi non userai quei dati per mandargli newsletter, sempre se non ha espresso un esplicito consenso a questo tipo di trattamento.

Analogamente non userai i suoi dati per vendergli pubblicità di terze parti, sempre se non lo hai reso noto nell’informativa.

Insomma, dovrai standardizzare il processo e usare quei dati solo per le finalità che ti sei prefissato e per cui hai scritto un’informativa chiara.

La valutazione del rischio

Questa è un’altra operazione che dovrai fare per rispondere al principio di accountability.

In caso di un ipotetico data breach (rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità) come fai a recuperare i dati o a contattare gli utenti per dire loro che i dati sono andati persi o sono stati rubati? Quest’evento, anche se ipotetico e molto remoto, dovrebbe essere preventivato e scritto su carta.

In altre parole devi indicare tutte le misure e le garanzie previste per una adeguata protezione dei dati personali trattati.

Come farlo?

Anche se sembra complicato è semplice.

Qual è la natura dei dati che potrebbero essere violati?

Quanto gravi potrebbero essere i danni  causati agli individui a cui i dati violati si riferivano?

Se effettui una copia di backup almeno una volta al mese, se hai adottato protocolli di sicurezza (https) sul tuo sito web, se ai dati che hai sul gestionale non accede nessuno tranne te, allora sei apposto.

Devi solo riportare su carta quello che già fai e valutare l’impatto di un eventuale (remoto) attacco nei tuoi confronti o di un’eventuale perdita di dati a seguito di un evento insolito.

In altre parole devi solo valutare un ipotetico rischio e scrivere quali possono essere le cause e quali le conseguenze.

Se poi il data breach accade davvero, la norma impone che occorre comunicare la violazione all’autorità di controllo (il Garante della privacy) entro 72 ore dal momento in cui ne sei venuto a conoscenza.

Come adeguarsi in sintesi al GDPR?

L’adeguamento al GDPR ti porterà via si e no mezza giornata di lavoro!

Quello che dovrai fare è semplice:

  1. Fermati a pensare ai dati personali che tratti, clienti, fornitori, utenti del sito web, dipendenti.
  2. Poi pensa alla natura dei dati: nome e cognome? Indirizzo? Numero di telefono?
  3. Fai una lista della tipologia di dati che tratti e metti tutto per iscritto su un foglio excel (lo chiamano registro del trattamento, obbligatorio per aziende con più di 250 dipendenti, ma comodo per te da usare in quanto è un buon promemoria per adeguarti alla normativa).
  4. Poi su un foglio word scrivi come utilizzi quei dati.

Devi solo scrivere che, per esempio, i dati degli utenti che ti contattano per ricevere un preventivo saranno usati al solo scopo di inviare il preventivo.

Nulla di più e nulla di meno.

E se posso ottenere dati in altri modi?

Se hai più mezzi per ottenere dei dati, lo metterai su carta.

Scriverai, per esempio, che i dati degli utenti ti arriveranno da:

  • form di contatto
  • ordine sul sito web
  • acquisto telefonico
  • ordine da email
  • altri sistemi

Fatto ciò dovrai scrivere sullo stesso foglio word in cui dirai ogni quante volte effettui un backup dei dati, dove li salvi e chi può accedere a quei dati.

Poi dirai i sistemi che usi per conservarli.

Ad esempio scriverai che salvi i tuoi dati su un hard disk esterno e che lo conservi gelosamente nel cassetto della tua scrivania a cui tu solo puoi accedere.

Scriverai che in caso di potenziale attacco hacker o potenziale danneggiamento sul tuo sito web il rischio di perdita dei dati è minimo perché, in fondo, gestisci solo dati non sensibili, ma generici.

Ad ogni modo dovrai scrivere come prevedi di risolvere la faccenda in caso di perdita o furto dei dati degli utenti con cui interagisci.

Ed infine per ogni informativa dovrai rendere noto all’utente che è suo diritto accedere ai dati, rettificarli, cancellarli, ecc.

Concludendo

Anche su One Minute Site ci preoccupiamo di fare ogni singola cosa a norma.

  1. Puoi scaricare il documento relativo alla normativa GDPR direttamente dalla nostra pagina FAQ>Categoria GDPR>Nuova Informativa sulla Privacy: Come Adeguare il Tuo Sito. Qui troverai tutte le informazioni che ti servono!
  2. Una volta modificato il documento scaricabile dovrai andare sul pannello di amministrazione del tuo sito One Minute Site, cliccare su Impostazioni Sito > Informativa Privacy Policy & Cookie e incollare il testo nel box.
  3. A quel punto dovrai spuntare la casella Attiva avviso privacy policy & cookie e salvare.

Adesso che sai come fare corri a metterti in regola!

Se hai qualche problema contatta la nostra assistenza!

0

Lascia il tuo commento

Lascia qua la tua recensione.
Dicci cosa ne pensi dell’articolo.

Leave a Reply

Your email address will not be published. Required fields are marked *