GDPR SITO WEB: l’incidenza del nuovo Regolamento Privacy

 

GDPR

cos’è il trattamento dei dati personali, cosa si intende per informativa privacy e in che modo può essere prestato il consenso da parte dell’interessato.

 

 

GDPR SITO WEB: l’incidenza del nuovo Regolamento Privacy sulla gestione dei siti internet ( aggiornamento 2019 )

 

Il nuovo Regolamento Privacy dell’Unione Europea comunemente chiamato con l’ acronimo GDPR, entrato in vigore il 25 maggio 2018, prevede una serie di adempimenti per le aziende e le pubbliche amministrazioni.

Ad esserne interessate sono soprattutto tutte quelle aziende o privati che possiedono un sito web, inclusi i blog personali e gli e-commerce.

Se ti riconosci in uno di questi profili avresti già dovuto adeguare il tuo sito web alle nuove normative onde evitare sanzioni.

Viceversa se ancora non lo hai fatto o hai in previsione di aprire il tuo nuovo sito web Aziendale in questo articolo ti spieghiamo quali sono gli interventi da fare per adeguarsi al GDPR.

 

 

GDPR regolamento 679/2016

 

 

Il GDPR è un Regolamento dell’Unione Europea (il numero 679/2016) in materia di protezione dei dati personali e tutela della privacy (dall’inglese General Data Protection Regulation). Si tratta di un atto normativo vincolante per tutti i Paesi Membri (e, quindi, anche per l’Italia), con cui le istituzioni comunitarie hanno posto l’obiettivo di rafforzare e rendere omogenea la protezione dei dati personali di tutti i residenti nel territorio comunitario.

Come anticipato, questo complesso normativo, adottato il 4 maggio 2016, è entrato ufficialmente in vigore dal 25 maggio del 2018. Dal punto di vista legislativo, l’adozione del GDPR ha comportato l’abrogazione delle norme relative alla protezione dei dati personali contenute nel D.Lgs. 196/2003 (il cd. Codice della Privacy) divenute incompatibili.

Tra gli aspetti più importanti della nuova regolazione c’è sia la previsione di una serie di norme puntuali per il trattamento dei dati da parte degli enti pubblici e delle aziende, che la previsione di una serie di sanzioni, anche particolarmente salate, per tutti i privati che non adempiono ad una serie di obblighi in materia.

Come fare per mettersi in regola con GDPR per chi gestisce un sito web?

Di seguito spieghiamo le norme che riguardano nello specifico il portale web e le cose da fare per adempiere agli obblighi di cui al nuovo regolamento.

 

Nuovo Regolamento Privacy cosa cambia?

 

 

Le norme riportate dal nuovo regolamento sono valide per tutti i siti web compresi i social.

Ci indicano tutta una serie di interventi da effettuare ogni qual volta il nostro portale fa una raccolta dati (anche automatica ad Es. Google Analytics) riguardante gli utenti.

I CAMBIAMENTI :

  • l’introduzione di un obbligo di documentazione rispetto ai dati che vengono acquisiti e conservati dal sito web;
  • una revisione complessiva delle autorizzazioni con conseguente obbligo di fornire le informazioni relative alle modalità e agli scopi del trattamento (la cd. Privacy policy);
  • la previsione dei diritti di accesso e dei diritti all’oblio rispetto alle informazioni concernenti i dati personali;
  • la subordinazione del consenso specifico alla possibilità di applicare cookie o richiedere l’utilizzo per finalità promozionali dei dati personali;
  • la previsione di multe nel caso di mancato adempimento a queste regole.

 

 

Il trattamento dei dati personali

 

 

Nel GDPR sulla gestione del sito web sono considerati dati personali anche le informazioni che riguardano l’indirizzo e-mail, l’indirizzo IP e i cookie.

La maggioranza dei siti web acquisisce queste informazioni quando un utente lo visita, oppure quando un utente si iscrive ad una newsletter o all’area riservata come ad esempio nel caso di un e-commerce.

Possiamo quindi affermare che questa raccolta dati è solo l’inizio di quello che poi possiamo definire trattamento dei dati personali.

il trattamento dei dati personali avviene quando il sito web acquisisce:

  • dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o più foto, l’indirizzo e-mail e quello di residenza fisica, oppure l’indirizzo IP);
  • dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
  • dati relativi alla profilazione, e cioè idonei a determinare le abitudini di consumo o le modalità di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
  • dati bancari, tra cui IBAN, domiciliazione fiscale, e così via.

 

 

Gli adempimenti sui dati personali

 


Secondo quanto riportato dall’art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (tratto da: 
www.privacy-regulation.eu/it/12.html).

 

Ti starai chiedendo come si traduce tutto questo nella gestione del tuo sito web: ebbene, secondo il GDPR le informazioni fornite all’utente che immette i propri dati sul portale devono contenere:

  • la descrizione del trattamento cui verranno sottoposti i dati raccolti, con l’indicazione dei dati che vengono raccolti, delle modalità con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
  • le finalità specifiche per ciascun singolo trattamento (ciò significa che per ogni finalità occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dell’interessato per l’iscrizione al sito o alla newsletter o per effettuare l’acquisto sulle store online non può valere anche per la profilazione commerciale);
  • l’elenco dei diritti degli interessati rispetto al trattamento e le modalità con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per l’accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso già prestato.

 

 

Consenso dell’interessato

 

 

Dopo aver chiarito cosa si intende per trattamento dei dati personali e aver descritto l’informativa privacy, dobbiamo chiederci a cosa servono questi adempimenti.

La risposta è semplice: grazie all’informativa miriamo a raccogliere il consenso dell’utente alle operazioni di trattamento. Quest’ultimo, infatti, è il requisito necessario per dimostrare che l’interessato ha letto ed è d’accordo con l’informativa privacy proposta dal sito web.

Il Regolamento GDPR precisa che il consenso si traduce in un atto di assenso dell’interessato, mediante una propria dichiarazione o altra azione equipollente, rispetto alla proposta di trattamento dei suoi dati da parte del sito: normalmente, questo si traduce nella predisposizione di un box nel quale all’utente verrà richiesto di confermare (premendo il tasto “Accetto” e simili) il trattamento dei dati.

 

Occorre precisare che il GDPR pone anche due ulteriori regole circa il consenso al trattamento dei dati personali:

l’interessato può negare il proprio consenso e, se lo concede, può ritirarlo in ogni momento;- il gestore del sito web non può abbinare più consensi al medesimo atto di accettazione: tornando all’esempio dell’e-commerce, la prestazione del consenso relativamente alla finalità del trattamento necessaria a perfezionare l’acquisto non può essere utilizzata anche per l’iscrizione ad una newsletter; per quest’ultima o per qualsiasi altra finalità occorre predisporre un’autonoma informativa e richiedere un autonomo atto di consenso da parte dell’interessato.

 

 

La Privacy Policy e i moduli di contatto

 

 

Nello specifico, una prima modifica dovrà riguardare i moduli di contatto (solitamente i form HTML con cui avviene l’accesso al sito web da parte dell’utente): in questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, così costringendo il titolare ad adeguare il modulo al GDPR.

 

 

La protezione dei dati

 

 

Uno degli aspetti più importanti e che determina il maggior carico di aggiornamento a carico del gestore del sito web è la predisposizione di procedure che assicurino la sicurezza online dei dati.

Dal momento che il GDPR pone a carico del soggetto che effettua il trattamento dei dati anche la responsabilità sulla loro sicurezza, ne deriva che dovrai dotarti di strumenti in grado di mettere in sicurezza il tuo sito.

Ovviamente, non esiste un unico criterio di sicurezza valido per tutti i siti web; inoltre, le soglie di protezione dovrebbero essere tanto più forti quanto più sensibili sono i dati trattati (e, in particolare, se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone). In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

  • predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterà chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
  • aggiornare il server (per tale intendendosi l’aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
  • se si tratta di un e-commerce è obbligatorio già da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto all’inserimento dei dati bancari o di altri dati particolarmente sensibili.

 

 

La gestione dei cookie

 

 

Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sull’uso dei cookie. Infatti, i gestori dei siti web devono mostrare un’informativa (solitamente in forma breve, all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le più diverse finalità e chiedendo uno specifico assenso per questa pratica.

In altri termini, dovrai permettere agli utenti di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza poter vietare l’accesso al sito (come avveniva prima del GDPR) agli utenti che negano l’installazione dei cookie non indispensabili al funzionamento del sito.Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.

 

 

GDPR sito web e WordPress

 

 

Alle indicazioni che abbiamo finora fornito bisogna aggiungerne alcune specifiche per i siti che utilizzano WordPress come architettura di base (che, secondo quanto riportato dal sito w3techs.com sono oltre il 30% del totale). Se non sai esattamente di cosa stiamo parlando, forse potresti essere interessato a capire in quali casi l’utilizzo di WordPress coinvolge l’applicazione delle norme sulla Privacy. Schematizzando, ciò avviene in tutti i casi in cui:

  • per gestire il sito e le sue funzionalità è necessario chiedere dei dati agli utenti;
  • è necessario consentire l’accesso di tali dati ad altre persone che lavorano sul tuo sito;
  • in alternativa, utilizzi dei plugin che comportano il trattamento dei dati personali come sopra descritto.

 

Quando si verifica una o più delle condizioni citate, sei obbligato a rispettare le norme e gli accorgimenti relativi all’aggiornamento del tuo sito agli standard richiesti dalla GDPR.

In questo caso soccorrono le recenti modifiche operate dallo stesso team WordPress, che prima del 25 maggio 2018, è intervenuto per aggiornare il codice del CMS alle normative richieste dal GDPR.

A tal proposito, il servizio WordPress ha inserito una serie di filtri che permettono di indicare il modo di gestione e archiviazione da parte dei plugin dei dati personali degli utenti: in questo caso, tutto quello che devi fare è aggiornare il programma alla sua più recente versione, che già include tutti i protocolli adeguati alla privacy policy e alla gestione dei dati.

Tra le novità più importanti segnaliamo:

  • l’inserimento di un apposito form per consentire agli utenti il salvataggio dei propri dati tramite cookie ogni volta che si commenta un articolo (tramite l’opzione “Salva il mio nome, email e sito web per la prossima volta”);
  • la previsione, per il proprietario del sito, di un’apposita pagina in cui inserire la Privacy Policy, che verrà visualizzata dagli utenti nelle pagine di accesso e di registrazione;
  • l’implementazione di un sistema di esportazione dei dati personali degli utenti, da parte del gestore del sito, in un apposito file zip;
  • l’implementazione di un sistema che permette al gestore di cancellare i dati personali raccolti, inclusi quelli trattati dai plugin.

 

 

Le sanzioni

 

 

Il quadro sanzionatorio del GDPR è piuttosto complesso ed articolato, con parti che ancora oggi lasciano dubbi interpretativi.L’ autorità di controllo è il Garante della Privacy, che si avvarrà delle forze dell’ ordine per le verifiche sulle segnalazioni giunte dai privati cittadini o rilevate dai siti internet.

Le sanzioni, secondo l’ articolo 83 del GDPR, si dividono in due gruppi.

1 ) Violazioni di minore gravitàPer le quali sono previste sanzioni amministrative fino a 10 milioni di euro per le imprese o fino al 2% del fatturato mondiale dell’ anno precedente.

Viene irrorata la sanzione nei seguenti casi:

violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;- trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;- mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;- violazione dell’obbligo di nomina del DPO;- mancata applicazione di misure di sicurezza.

2) Violazioni di maggiore gravitàPer le quali sono previste sanzioni amministrative fino a 20 milioni di euro per le imprese o fino al 4% del fatturato mondiale dell’ anno precedente.

Viene irrorata la sanzione nei seguenti casi:

inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;- trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

L’ importo delle sanzioni è stabilito dal Garante della Privacy che, in ottemperanza a quanto stabilito dall’ Art. 83 del Gdpr, deve valutare, caso per caso ed irrorare sanzioni che siano effettive, proporzionate e dissuasive.

Recentemente è stato emesso il Decreto 101/2018 dell’ 8 Agosto, che stabilisce, secondo quanto richiesto dal GDPR,  le sanzioni penali da applicarsi nei casi previsti.

Il decreto chiarifica i casi in cui saranno emesse sanzioni penali che sono:

– Trattamento illecito dei dati– Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala– Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala- Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante- Inosservanza dei provvedimenti del Garante

Vale la pena ricordare inoltre, che oltre le sanzioni qui sopra indicate, ogni persona che si vede ledere la propria privacy, ai sensi dell’ Art. 82 del GDPR, può richiedere un risarcimento danno al titolare del trattamento, commisurata alla violazione dei suoi dati.

 

 

SERVIZI / ABILITA'