Lo so, quella data l’hai già sentita, e anche quell’acronimo.
Però ti è ancora tutto un po’ enigmatico, oppure no ma non hai ancora fatto niente per essere pronto a questo cambiamento.
Se è così questo post è stato scritto proprio per te.
Un passo indietro:
di cosa stiamo parlando?
Fino ad oggi le norme che regolavano il trattamento dei dati dei cittadini europei non erano uniformi. Ogni nazione legiferava singolarmente creando situazioni disomogenee o talvolta anacronistiche, perché basate su leggi redatte 15 o 20 anni fa e in un contesto radicalmente diverso rispetto a quello attuale in cui i dati sono un bene economico da inquadrare in un corretto quadro normativo.
Per questo motivo l’Unione Europea ha emanato il Regolamento Generale sulla tutela dei dati personali.
Vale anche per me?
Quasi sicuramente sì.
Si tratta di una serie di norme relative ai cittadini europei e non alla provenienza del servizio. Per cui se i tuoi utenti sono europei il GDPR ti riguarda, anche se la tua azienda è in Cile, il tuo server in Australia.
Uniformarsi è obbligatorio. Il legislatore ci tiene parecchio e ce lo fa capire con un rischio sanzionatorio piuttosto alto.
Inizi ad avere caldo?
Niente panico, il GDPR non è niente di terribile. Anzi, è l’occasione giusta per fare un po’ di ordine del trattamento dei dati e per prendere un po’ più di coscienza del loro traffico.
Facciamo un po’ di chiarezza su cosa si nasconde dietro a questo acronimo e come farsi trovare pronti all’appuntamento.
Mappatura dei dati
Avere un quadro chiaro e completo è sempre il primo passo per affrontare qualunque situazione.
E quindi: quali dati raccogli? Perché (nel senso, che uso ne fai? Quali sono le sue finalità? Come e dove li conservi? Li trasferisci a terzi? In questo caso dire quali dati trasferisci e a chi non solo è un nuovo obbligo di legge ma in fondo una regola di buonsenso e rispetto dei tuoi utenti.
Un’informativa chiara
Da utente hai mai letto una privacy policy? E quando hai lavorato al tuo sito ti sei chiesto quanti avrebbero letto la tua privacy policy?
Probabilmente le risposte che ti stai dando sono rispettivamente: no e zero.
Il legislatore queste cose le sa e per questo motivo con il GDPR è stato normato un nuovo modo di veicolare l’informativa sul trattamento dei dati ai propri utenti. Che deve essere sintetica, facilmente comprensibile e corredata di icone. In poche parole chiunque deve poter capire in poco tempo quali dati su di lui vengono raccolti e che uso se ne fa. Ovviamente l’informativa estesa rimane e necessita un aggiornamento legata alla nuova normativa, ma non è più l’unico luogo in cui attingere informazioni.
Acquisizione del consenso
Fino ad oggi hai raccolto il consenso sul tuo sito con una casella da spuntare. Va bene così, con il GDPR il consenso viene acquisito tramite un’azione positiva dell’utente e lo spuntare una casella certamente lo è. Ma lo è anche la navigazione della pagina, quindi puoi acquisire il consenso al trattamento dei dati allo stesso identico modo di come stai facendo da 3 anni a questa parte con i cookies.
Cose che invece non si possono fare:
- Caselle pre-spuntate: già di per sé non sono molto eleganti e dal punto di vista legale non darebbero luogo ad un’azione positiva.
- Pacchetto di consensi: ogni finalità di trattamento dei dati richiesti deve essere specificatamente accettata dall’utente. Non è possibile dire ad esempio: “proseguendo la navigazione acconsenti all’uso dei tuoi dati per finalità statistiche, promozionali, di marketing e per il trasferimento a terzi”. Ognuno di questi deve essere accettato singolarmente dall’utente.
- Vincolo tra consenso e servizi non pertinenti: Ogni dato raccolto deve avere una finalità specifica e non è possibile vincolare la raccolta di un dato non rilevante ai fini del servizio offerto al servizio stesso.
Un’attenzione maggiore va infine dedicata ad eventuali dati di minori. Per chi ha meno di 16 anni è necessario il consenso di chi ne esercita la potestà.
Oblio, portabilità e conservazione dei dati.
Non dimenticarti mai: i dati non sono tuoi, sono dell’utente e te li sta prestando. Può capitare che un giorno non voglia più farlo e allora è necessario che possa richiedere la cancellazione dei suoi dati in maniera rapida ed immediata (oblio), oppure che voglia entrare in possesso di tutti i dati che ti ha trasmesso per trasferirli ad altri (portabilità) oppure ancora che sia passato il tempo per i quali i dati raccolti erano necessari (conservazione).
Ripercorriamo con calma questi tre concetti:
L’utente esercita diritto di oblio comunicando in maniera semplice e diretta con il responsabile del trattamento dei dati. Questi deve quanto prima provvedere alla loro cancellazione. Ovviamente il responsabile del trattamento ha il diritto / dovere di mantenere i dati necessari ai propri adempimenti legali (ad esempio i dati trasmessi per la formulazione di un contratto di servizio non possono essere revocati o cancellati andando contro ai termini di legge).
L’utente esercita il diritto di portabilità richiedendo al responsabile del trattamento di avere tutti i dati di cui siamo in possesso. Lo fa perché potenzialmente potrebbe trasferire tutti questi dati ad un’altra impresa, magari ad un concorrente.
La conservazione dei dati è prescritta per il tempo necessario alla finalità per cui è raccolto. E qui i tempi sono ovviamente variabili caso per caso.
Sicurezza e intrusioni
C’è sempre un modo per capire come è giusto trattare i dati dei tuoi utenti, ed è: “come vorresti che fossero trattati i tuoi?” Sicuramente non vorresti che fossero alla mercé di hacker o malintenzionati ma protetti e ben al sicuro. Ecco, è quello che il legislatore chiede di fare con i dati dei tuoi utenti. Quindi verifica che il server in cui conservi i dati sia ben protetto da firewall o cifrature.
Tuttavia la storia ci insegna che anche le città meglio murate potevano subire invasioni. In caso di anomalie o sospetti di intrusioni è disposto che il fatto venga comunicato all’autorità competente entro 72 ore. Per questo motivo è necessario dotarsi di un software sentinella, che avvisa immediatamente se succede qualcosa e che ci permette di comunicare la cosa in maniera tempestiva.
DPO
È una nuova figura che nasce proprio con il GDPR. E il Data Privacy Officier, ovvero il Responsabile della protezione dei dati. Attenzione, non è la stessa persona del responsabile del trattamento! Si tratta di un professionista specificatamente dedicato ai temi di protezione nel trattamento dei dati interni alla tua azienda. Può essere nominato internamente o esternamente. Al momento non necessita di nessuna certificazione / patentino.
Ricapitolando, per farti trovare pronto:
- Fai una mappatura dei dati che raccogli e tratti.
- Organizza i processi aziendali relativi al trattamento di dati.
- Redigi e pubblica una nuova informativa secondo le nuove disposizioni.
- Crea un punto di contatto per richiedere oblio e portabilità e cerca di capire come farvi fronte in caso di richiesta.
- Controlla che le acquisizioni del consenso siano a norma.
- Verifica che le infrastrutture diano adeguata sicurezza.
- Approcciati ai dati dei tuoi utenti come se fossero i tuoi.
