GDPR: il regolamento sulla privacy

Il 25 maggio 2018 entrerà in vigore il regolamento n. 2016/679 del 27 aprile 2016 noto come GDPR (General Data Protection Regulation).
L’argomento “tutela della privacy” presente nella normativa europea affronta aspetti che mirano a proteggere i dati personali.

Per dati personali si intende:
• dati comuni (nome, cognome, email, …)
• dati sensibili (credo politico, religioso, …)
• dati giudiziari (fedina penale, …)

Come gestisci i dati dei tuoi clienti?

Il GDPR chiede a ciascuna azienda di regolare il trattamento dei dati personali dei soggetti con cui hanno a che fare: come vengono acquisiti, trattati e tutelati i dati.

I diritti dei cittadini in merito alla tutela dei dati personali sono:  diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di oggetto al trattamento dei dati personali

La responsabilità dell’azienda è:

  1. CENSIRE I PROCESSI INTERNI CHE GESTISCONO DATI PERSONALI
    – quanti e quali sono i trattamenti (processi) che gestiscono dati personali
    – stabilire per ogni trattamento che tipi di dati vengono gestiti
    – a chi sono riferiti i dati personali (cliente, fornitore, …)
    – descrivere dove si trovano i dati e in che formato vengono registrati (digitale, cartaceo, …)

  2. FARE UN’ANALISI RISCHI (DPIA)

  3. ADOTTARE SOLUZIONI TECNICHE E PROCEDURALI PER ADEGUARSI

  4. DEVE POTER DOCUMENTARE CHE STA APPLICANDO CORRETTAMENTE IL REGOLAMENTO

    – Registro trattamenti con analisi del rischio per ciascun trattamento
    – Informativa sulla Privacy
    – Lettera di incarico (ciascun dipendente o collaboratore che acquisisce dati per conto dell’azienda deve sapere come trattare i dati)

Cosa indica il regolamento europeo in materia di protezione dei dati?

Il GDPR indica le linee guida per tutelare la protezione dei dati personali degli utenti che visitano e interagiscono con il sito web, sia nuovi dati che dati precedentemente acquisiti, in particolare:

  1. Fornisce regole chiare sull’informativa della privacy e sul suo consenso (non è previsto il tacito assenso, l’informativa sull’utilizzo dei dati deve essere stilata in modo semplice).
  2. Vengono stabilite le linee guida per trasferire i dati verso Paesi al di fuori dell’Unione Europea e verso altre aziende all’interno dell’UE.
  3. Responsabilità del trattamento dei dati e misure di sicurezza per la protezione dei dati.
  4. Diritto degli interessati a eliminare i propri dati, di accedere e consultare i propri dati, di limitare il trattamento degli stessi e il diritto alla portabilità dei dati (trasferirli da un’azienda all’altra).

Cosa è necessario avere per essere in regola con la GDPR:

1. Informativa sulla Privacy dove delineare tutti gli usi che vengono fatti dei dati acquisiti (da form, Google Analytics, newsletter, e-commerce, …). Questa deve essere fornita prima di iniziare a raccogliere i dati.

2. Deve essere nominato un responsabile della protezione dei dati personali (DPO – Data Protection Officer), deve essere redatto un registro dei trattamenti contenente anche delle linee guida sul Data Breach ovvero sulla gestione di una possibile violazione dei dati personali. Entrambi hanno lo scopo adottare misure tecniche/organizzative per garantire la sicurezza dei dati

3. È necessario specificare il periodo di conservazione dei dati.

Cosa rischia un’azienda che non si adegua al GDPR

multe fino al 4% fatturato a seconda della violazione, valutate in base alla natura, alla gravità e alla durata della violazione. Verrà valutata se la violazione è dolosa o colposa, le misure adottate per correggere il danno subito dagli interessati, se titolare del trattamento ha già commesso altre violazioni in precedenza e il grado di cooperazione con l’autorità di controllo.

• reputazione

costi per modificare i propri processi interni per adeguarli alla GDPR

I dati dei nostri clienti e quelli degli utenti che visitano i loro siti sono protetti attraverso varie misure di sicurezza (password complesse, continui backup, utilizzo di sistemi di pagamento sicuri, aggiornati e verificati). 
Supportiamo l’azienda in tutte le procedure di adeguamento, che vanno però redatte in primis dall’azienda stessa che deve avvalersi di un legale o una persona qualificata in materia.
Omega 2000 può, in mancanza di un riferimento, fornire alcuni partner che sono certificati per l’adeguamento delle aziende al GDPR.

Ecco una breve checklist delle attività che un’azienda deve compiere sul proprio sito web per essere compliant con il GDPR:

  • Aggiornare l’informativa sulla privacy e sui cookies
  • Far approvare gli avvisi dei cookie con un’azione (es. una spunta, il clic su un bottone, … ), in modo che sia esplicito e attivo il consenso dell’utente
  • Aggiornare le Privacy Policy per le e-mail
  • Tutte le spunte della privacy nei form di contatto non devono essere già “flaggati” di default. L’utente deve un consenso esplicito prima dell’invio delle informazioni
  • Mettere in sicurezza il sito tramite: certificato SSL, plugin di sicurezza in WordPress, password sicure (alfanumeriche), backup periodico del database, aggiornamento temi e plugin
  • Descrivere una procedura per l’eliminazione dei dati
  • Descrivere una procedura per la portabilità dei dati
  • Anonimizzazione dell’IP in Google Analytics

Vuoi saperne di più sulla GDPR?
Vuoi conoscere come vengono utilizzati i tuoi dati e quelli dei visitatori del tuo sito?

Contatta Omega 2000 per info e supporto.

CONTATTACI PER INFO E SUPPORTO