Lo scorso 25 maggio è entrato in vigore il GDPR (General Data Protection Regulation) e ancora oggi, a giugno, continui ad avere la casella di posta elettronica piena di mail arrivate da tutti i siti a cui ti sei registrato: ma perché? Per uniformare la normativa privacy a livello europeo e avere tutto in regola. E tu, hai adeguato la tua policy privacy? Per aiutarti a controllare che tutto sia al posto giusto, abbiamo schematizzato i punti salienti del GDPR in una breve guida. Buona lettura!

Cos’è il GDPR

Il GDPR si applica a tutti coloro, professionisti ed imprese, che vengono in contatto con i dati personali dei cittadini europei. Ci sono alcuni soggetti che sono destinatari di misure più stringenti – come le Pubbliche Amministrazioni – ed altri che lo sono meno – come i Professionisti. Di fatto, qualsiasi soggetto che tratta dati personali di altre persone deve adeguarsi al Regolamento UE 2016/679.

Il Regolamento è una normativa europea immediatamente applicabile agli Stati membri dell’Unione Europea, indipendentemente dalla presenza di una legge nazionale di attuazione. È ciò che sta accadendo in Italia dove quest’ultima non è ancora stata promulgata.

Oltre al principio di responsabilizzazione, il GDPR prevede altri macro principi che orientano le attività da svolgere per adeguarsi al regolamento:

  1. Principio di liceità, correttezza e trasparenza: i dati personali vanno trattati dal Titolare in modo lecito, corretto e chiaro nei confronti dell’interessato. Devi essere trasparente nelle modalità e per le finalità per le quali richiedi i dati dell’interessato.
  2. Principio di limitazione delle finalità: i dati personali vanno richiesti limitatamente ad attività determinate ed esplicite. Se acquisisci i dati per una determinata finalità devi mantenerli circoscritti a quello scopo.
  3. Principio di minimizzazione dei dati: i dati richiesti devono essere utilizzati per un tempo predefinito e limitatamente alle specifiche finalità per le quali sono trattati. Richiedi i dati minimi necessari per perseguire gli obiettivi richiesti.
  4. Principio di esattezza: l’interessato ha il diritto di tenere aggiornati i dati trattati dal Titolare chiedendone la rettifica o la cancellazione ove necessario, di bloccare i dati trattati in violazione di legge, ha diritto alla portabilità dei dati e all’aggiornamento, rettifica e limitazione ovvero, qualora lo richieda, deve poterli integrare o ricevere una copia dei dati oggetto di trattamento. Devi dare all’interessato la possibilità di mantenere aggiornati i propri dati.
  5. Principio di limitazione della conservazione: i dati personali vanno conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali gli stessi sono trattati. Non conservare i dati più a lungo di quanto serva.
  6. Principio di integrità e riservatezza: i dati personali vanno trattati in maniera da garantirne un’adeguata sicurezza. Devi conservare i dati degli interessati in maniera corretta e garantendo riservatezza.
  7. Principio di responsabilizzazione: il Titolare del trattamento è responsabile di tutto quanto concerne il trattamento dei dati e deve assicurare di fare tutto il possibile affinché i principi del GDPR siano applicati al meglio. Devi essere tu a dimostrare che stai facendo tutto il possibile per rispettare le regole del GDPR. 

Cosa fare in concreto?

Dopo aver riassunto i principi del GDPR, passiamo alla pratica. Ogni azienda o professionista che si trova a trattare dati personali di persone fisiche deve:

  • Individuare i ruoli e le responsabilità dei soggetti che effettuano il trattamento dei dati. Se necessario,nominare un responsabile della protezione dei dati (DPO).
  • Conservare un Registro dei Trattamenti con l’indicazione dei soggetti e delle attività di trattamento effettuate sotto la responsabilità del Titolare del Trattamento e del Responsabile del Trattamento.
  • Redigere o adeguare la documentazione in materia di trattamento dei dati personali, provvedendo a individuare i diversi ruoli e le responsabilità dei soggetti all’interno dell’azienda che effettuano il trattamento dei dati degli interessati.
  • Implementare i processi per l’esercizio dei diritti dell’interessato: il GDPR pone in capo agli interessati dei nuovi diritti in merito ai propri dati personali come il diritto all’accesso, alla rettifica, alla portabilità, all’opposizione e alla cancellazione dei propri dati personali. Per rendere esercitabile questi diritti, chi detiene il dato personale deve conservare i dati degli interessati e renderli accessibili qualora gli venga richiesto. 

Cosa fare sul sito web?

  • Aggiornare l’informativa privacy ex art 13 del GDPR in modo che sia coerente con le attività del sito inserendo: le finalità e le modalità del trattamento dei dati, i soggetti ai quali i dati personali possono essere comunicati (es: terze parti come Google o Facebook), la durata del trattamento, i diritti degli interessati e i dati del titolare del trattamento a cui gli interessati possono fare riferimento per far valere i propri diritti.
  • Inserire il link all’informativa privacy in una sezione del sito facilmente consultabile dall’utente (es: footer).
  • Aggiornare la Cookie Policy laddove necessario.
  • Aggiornare le modalità di richiesta del consenso per varie attività (es. newsletter): secondo il GDPR il consenso deve essere libero (volontario), specifico (va richiesto un consenso per ogni finalità), informato (l’interessato deve conoscere per quale finalità il Titolare acquisisce il dato personale) e revocabile (in ogni momento l’interessato deve poter revocare il consenso).

Vediamo più nel dettaglio cosa fare in precisi casi.

Form di contatti

Se il tuo sito ha un form di contatto, nell’informativa privacy va dichiarato quali sono i dati acquisiti tramite il form e quali le finalità del trattamento di questi dati (es: dati utilizzati al solo fine di rispondere alla richiesta di contatto).

Statistiche

Se utilizzi un sistema di monitoraggio delle attività degli utenti sul tuo sito (come Google Analytics) dovrai adeguarti al nuovo GDPR. In particolare, la politica dei servizi pubblicitari Google prevede che sia responsabilità dei proprietari dei siti/inserzionisti ottenere il consenso degli utenti per la raccolta di dati per annunci personalizzati (ad esempio tag di remarketing per creare elenchi di pubblico) e per l’uso di cookie laddove richiesto dalla legge (ad esempio tag di conversione). In base al tipo di informazioni che tracci con Google Analytics devi:

  • Non inviare dati personali a Google (es: email, nomi, etc..);
  • Attivare la funzione di anonimizzazione IP in Google Analytics;
  • Assicurarti che i dati raccolti tramite il tuo sito web siano chiaramente indicati nella tua informativa privacy e all’interno delle Cookie Policy;
  • Assicurarti che l’utente esprima il suo consenso esplicito nell’utilizzo di sistemi di tracciamento a fini pubblicitari e di marketing.

Newsletter

Se sul tuo sito hai un modulo per raccogliere iscrizioni alla Newsletter devi predisporre un sistema per richiedere l’esplicito consenso agli utenti per riceverla secondo le modalità specificate dal GDPR (volontario, specifico, informato).

I consensi ottenuti prima del 25 maggio restano validi se sei in grado di dimostrare di averli raccolti in ottemperanza alla legislazione privacy in vigore prima del GDPR.

Cookies

Nel GDPR non viene espressamente trattato il tema cookies, restano dunque valide le attuali disposizioni previste dal D.lgs 196/2003 e dalle linee Guida dettate dal Garante Privacy.

Tali disposizioni prevedono che l’interessato debba essere informato sul tipo di cookies utilizzati dal sito e debba prestare il proprio consenso informato. Nel banner della cosiddetta Informativa Breve che appare appena si accede al sito deve essere presente un link alla cosiddetta Informativa Estesa che deve contenere le informazioni sulle tipologie di cookies presenti, le modalità di disabilitazione dei cookies e, nel caso di cookies di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.

Per approfondire il tema, consulta il testo del Regolamento Europeo in materia.

Stefano Salustri
Digital Sales Trainer axélero