La privacy è importante!

Il 25 maggio è alle porte, ed è arrivato il momento di adeguarsi al nuovo GDPR che tutela la privacy degli utenti nel web. Per cominciare, è bene sapere che il nuovo regolamento Privacy applica due principi:

  • Privacy by Design
  • Privacy By Default

Tali principi base stabiliscono che il consenso al trattamento dei dati personali debba essere sempre valido, revocabile ed esplicito. Di fatto, si impone una salvaguardia costante relativa ai dati custoditi da ciascuna impresa fin dalle fasi iniziali di ciascun processo.

Inoltre, si introduce la necessità di una nuova figura aziendale (non sempre obbligatoria): il Data Protection Officer (DPO).

Quali tutele introduce a favore degli utenti?

  • Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda
  • Diritto alla trasferibilità dei dati tra diversi fornitori di servizi
  • Diritto all’oblio, se un individuo non desidera più che i propri dati vengano trattati
  • Forti tutele sui dati personali dei minori
  • Diritto alla conoscenza nel momento in cui i propri dati siano stati violati

Come adeguarsi al GDPR?

In questo articolo vediamo quali sono i 10 step fondamentali per adeguarsi al nuovo regolamento. Risponderemo poi ai dubbi più frequenti su come regolare le attività web. È comunque fondamentale avvalersi di una consulenza legale specifica.

Per approfondire consigliamo di consultare il sito del Garante Privacy

Vediamo quindi quali sono i 10 principali adempimenti previsti dal GDPR a carico delle aziende:

  1. Verbale di documentazione della scelta di designare o meno il DPO per precostituire prova scritta del fatto che vi è stata una procedura decisionale ragionata dietro la scelta (accountability);
  2. Comunicazione DPO tramite un form telematico che sarà caricato sul sito del Garante nei prossimi giorni;
  3. Valutazione d’impatto DPIA per i trattamenti che prevedono l’uso di nuove tecnologie (ad es. profilazione); per farlo esiste anche un software sul sito del garante;
  4. Registro dei trattamenti dove andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati e le misure di sicurezza applicate;
  5. Atto di designazione del responsabile del trattamento: tutti i soggetti che trattano dati per conto della vostra azienda (ad esempio le web agency) devono essere designati responsabili del trattamento dei, con specifica relativa ad ogni tipologia di dati (ad es. gestione pagine web, pagine social, newsletter…)
  6. Disciplinare interno per il trattamento dei dati dei dipendenti che utilizzano dispositivi (pc, tablet, smartphone) aziendali;
  7. Aggiornamento informativa privacy e cookie policy nelle pagine web;
  8. Revisione privacy policy e consenso cartacei;
  9. Notificare al garante eventuali data breach entro 72 ore dalla scoperta;
  10. Adozione misure tecniche ed organizzative adeguate.

Quali sono le multe per chi viola il regolamento Privacy GDPR?

Le sanzioni sono salatissime: dal 2% al 4% del fatturato mondiale annuo dell’azienda che violasse il regolamento o, in alternativa, un corrispettivo che va dai 10 ai 20 milioni di euro.

Riportiamo di seguito i dubbi più frequenti relativi all’applicabilità del regolamento alle attività web.

Per quanto tempo possiamo conservare i dati?

La durata di conservazione del dato trattato: per finalità di marketing è di due anni dalla raccolta mentre per finalità di profilazione è di un anno dalla raccolta (provvedimento generale garante privacy 24.02.05); in alternativa alla distruzione del dato decorso il termine predetto, si può provvedere alla sua anonimizzazione irreversibile e permanente.

Per quanto è possibile conservare gli indirizzi mail in database?

Per quanto riguarda la conservazione di indirizzi email derivanti da iscrizione a newsletter, in alternativa alla cancellazione automatica del dato decorsi i 24 mesi previsti come termine di conservazione dei dati trattati a fini marketing, è ritenuto un trattamento lecito quello di invitare l’utente alla disiscrizione dalla newsletter con ogni e-mail inviata in un periodo di 6 mesi, e prevedere questa dicitura: “L’iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell’utente, possibile tramite link presente in ogni email. Qualora la frequenza di invio sia minore, almeno ogni sei mesi verrà inviata a tutti gli utenti una comunicazione di verifica, contenente il link di disiscrizione”.

E i cookies di profilazione propria?

Se si rilasciano cookies di profilazione propria (non di terze parti) è ancora obbligatoria la notifica al garante fino al 25 maggio.

Quanti consensi sono necessari per i form?

Per quanto riguarda i form di iscrizione/registrazione/richiesta informazioni nel sito web sono necessari 3 consensi, oltre all’informativa Privacy:

  1. marketing diretto (es: newsletter)
  2. profilazione di prima parte
  3. profilazione di terza parte

 

Disclaimer: Vi ricordiamo che Super Agency non fa consulenza legale, ma può supportarvi in tutti gli aspetti tecnici, collaborando insieme ai consulenti da voi designati. Per evitare rischi, rivolgiti a qualcuno che possa fornirti consulenza sul GDPR e sulle tematiche Privacy, ad esempio uno studio legale o servizi online sicuri e garantiti.