Seleziona una pagina
  • Rating Lettori
  • Votato 4.3 stelle
    4.3 / 5 (19 )
  • Vota!


Cos’è il GDPR?

Il GDPR, acronimo inglese di  “Regolamento generale per la privacy dei dati”, è un regolamento comunitario che si occupa di tutelare la privacy dei cittadini europei. In particolar modo, questo regolamento mira a diminuire l’arbitrarietà nell’acquisizione e nell’utilizzo dei dati personali da parte di terzi. Per “dati personali” si intendono tutte le informazioni personali che consentirebbero di identificare una persona fisica. Per cui, oltre a nome, cognome, data e luogo di nascita, residenza, cittadinanza, professione etc vengono inclusi altri dati personali di cui tratteremo nel paragrafo successivo.

Questo regolamento UE sta seminando paura tra le imprese (piccole o grandi che siano), la pubblica amministrazione e i gestori dei siti aziendali. Sì, perché il GDPR, approvato il 25 marzo 2016 dal Parlamento UE, dovrebbe essere in pieno vigore dal 25 maggio 2018, ma in seguito alle vicende politico-istituzionali italiane e la mancanza di un Governo che potesse esercitare la delega ed armonizzare il GDPR nel sistema legislativo italiano, porta ad uno slittamento del termine ultimo di questa prassi legislativa al 21 agosto 2018.

Contrariamente a quanto si pensi la motivazione della deroga non è da dare alla grande mole di aziende (e anche la pubblica amministrazione, ndr) che non si è ancora adattata del tutto all’imminente cambiamento, inconsapevoli delle pericolose sanzioni che l’Unione Europea ha previsto per i trasgressori, ma è da dare al ritardo del legislatore italiano di esercitare la modalità di armonizzazione del GDPR che avrebbe dovuto fare entro il 21 maggio 2018.

UPDATE 26 Maggio: L’Organismo Congressuale Forense ha richiesto al Garante Privacy la sospensione delle sanzioni previste dal GDPR, almeno fino a quando non ci siano le condizioni minime e gli strumenti necessari per adeguarsi alla normativa, perché – ritiene – è di difficile applicazione, in quanto non è chiaro nella sua formulazione, e manca ancora il decreto attuativo che rende davvero complicato agire a norma.

 

parlamento europeo gdpr

Quali novità introduce?

Il General Data Protection Regulation va a modificare le linee guida sul trattamento dei dati personali su internet, stilate per la prima volta nel 1995 quando il web era ancora agli albori della sua diffusione. Immette, dunque, maggiori restrizioni nell’acquisizione e nell’utilizzo di tutti i dati che fanno riferimento a persone fisiche. Questo regolamento europeo è valido per qualsiasi azienda nel mondo che tratta i dati di cittadini dell’Unione Europea, e non è quindi ad esclusivo appannaggio delle imprese interne alla comunità europea.

Nello specifico, il nuovo regolamento impone:

  • Minimizzazione dell’acquisizione dei dati: questo significa che le aziende non possono più appropriarsi di qualsiasi dato personale. Da ora in poi devono limitarsi a registrare solo quelli necessari e indispensabili. In questo modo, non sarà possibile acquisire dati solo per farne scorta;
  • Richiesta di autorizzazione al trattamento dei dati: le aziende non possono più utilizzare i dati dei propri clienti o potenziali tali in modo arbitrario, bensì lo scopo della raccolta dei dati deve essere preformulato. Nel caso in cui si vogliano utilizzare, per esempio, a scopi pubblicitari o di marketing, il regolamento impone di farne richiesta esplicita al titolare dei dati;
  • Cancellazione dei dati su richiesta: se viene fatta richiesta di cancellazione dei dati personali da parte del titolare, le aziende non possono opporsi alla richiesta e sono obbligate a rimuovere le informazioni acquisite su quella persona;
  • Trasparenza sull’utilizzo dei dati: le aziende devono comunicare in modo chiaro come vengono utilizzati i dati registrati usando un linguaggio comprensibile a tutti. Inoltre, se ne viene fatta richiesta, le aziende devono comunicare agli interessati di quali dati sono in possesso. 
  • Documentazione dell’utilizzo dei dati: l’utilizzo delle informazioni da parte delle imprese deve poter essere tracciabile, e quindi facilmente documentabile nel caso in cui l’interessato ne faccia richiesta di documentazione;
  • Portabilità dei dati: i dati personali potranno essere liberamente spostati dal titolare del trattamento ad un altro, fatta eccezione per i dati registrati pubblicamente, cioè quelli anagrafici;
  • Riservatezza: il regolamento impone riservatezza, protezione e controllo delle informazioni personali registrate nei database delle aziende. Sebbene il testo non approfondisce questo aspetto e si limiti a quanto detto, si consiglia di porre attenzione al tema della riservatezza (così come a tutti gli altri) per non incorrere in sanzioni.

Tipi di dati

Non solo dati anagrafici, quindi, bensì anche tutte quelle informazioni che possono ricostruire l’identikit di una persona reale, violando così la privacy di quel cittadino. Il regolamento infatti, prevede che le aziende facciano attenzione a tutti i tipi di dati, da quelli più basilari a quelli molto più riservati. Vediamoli nello specifico:

  • Dati personali: questo tipo di dati fa riferimento ai dati anagrafici, ma anche alle informazioni fisiche e fisiologiche;
  • Dati biometrici: ovvero tutti quei dati che possono tracciare l’identificazione di una sola persona come l’immagine del viso, segni particolari etc;
  • Dati genetici: cioè tutti quei dati ottenuti da analisi biologiche, come DNA o RNA;
  • Dati sulla salute: tutti le informazioni personali relativi alla salute fisica o mentale, passata presente o futura.

Privacy by design e GDPR

La privacy by design è un concetto espresso per la prima volta nel 2010 e adottato fin da quell’anno in Canada e negli Stati Uniti. Il regolamento UE ha introdotto questo criterio per rafforzare la protezione dei dati dei cittadini europei. In particolar modo, la privacy by design afferma che se un’azienda avvia un qualsiasi progetto, il titolare del trattamento dei dati, a partire dal 25 maggio 2018, ha l’obbligo di prevenire gli strumenti a protezione dei dati personali. La prevenzione impone, quindi, che ci sia il controllo fin dalla fase di progettazione, piuttosto che la correzione in seguito. Quindi colui che si occupa di trattare i dati personali deve adottare delle misure preventive e misurate in base ai principi generali del GDPR stesso.

Inoltre, la privacy by design garantisce trasparenza, sicurezza durante tutta la progettazione e, ovviamente, tutela dei dati personali.

Privacy by default

Un altro criterio del GDPR è la privacy by default, concetto che mira ad obbligare le imprese ad impostare la privacy di default, cioè di base. Questo significa che le aziende devono trattare i dati personali che sono strettamente necessari e sufficienti, e trattarli solo nei casi in cui ce ne sia davvero bisogno. 

Ancora una volta, quindi, il titolare del trattamento dei dati dovrà porre la massima cautela nella cura delle informazioni personali. Minimizzarne il trattamento potrebbe essere una delle migliori soluzioni per non venire meno al regolamento. Inoltre, bisogna facilitare l’accesso ai reali titolari dei dati personali in modo tale da poter far godere loro dei diritti sanciti dal GDPR.

Il DPO

Con il GDPR nasce una anche una nuova figura professionale: il Data Protection Officer (DPO). Si tratta di un esperto in materie legali che ha il compito di controllare la corretta protezione e utilizzo dei dati da parte delle aziende. Questo professionista, infatti, non gestisce direttamente le informazioni, bensì si affianca a colui che, all’interno dell’azienda, li gestisce e li controlla, in modo tale da garantire che la privacy dei cittadini europei e quindi l’osservanza del regolamento.

Il DPO deve essere presente sia nelle imprese private che negli enti pubblici, ma soltanto per le aziende più grandi e in relazione ai tipi di dati trattati.

Sanzioni

Il GDPR porta quindi tante novità rispetto all’arbitrarietà che regnava fino a poco tempo fa. Nel caso in cui aziende ed enti non dovessero rispettare i principi del regolamento UE, potrebbero venire sanzionate con multe non proprio carezzevoli. In merito a questo tema, il regolamento ha dedicato alcuni Paragrafi per elencare le possibili sanzioni in cui si può incorrere:

  • multa fino a 10 milioni di euro o fino al 2% del fatturato annuo internazionale;
  • multa fino a 20 milioni di euro o fino al 4% del fatturato annuo internazionale.

La pena viene scelta in base alla gravità della trasgressione. Per i casi meno gravi, però, l’UE può inviare un’ammonizione per iscritto nel caso in cui si tratti di una prima violazione accidentale, oppure può sottoporre l’azienda a controlli periodici sulla corretta gestione e protezione dei dati.

Cosa cambia per i gestori dei siti WordPress?

I gestori dei siti aziendali sviluppati con WordPress non sono esenti da questo regolamento, anzi. Il GDPR ha stabilito particolari accorgimenti di cui i siti che trattano dati personali devono tenere in forte considerazione per evitare le pesanti sanzioni di cui sopra. In particolare, i cookie devono essere modificati, la privacy policy aggiornata e, di conseguenza, i dati personali degli utenti devono poter essere gestiti con facilità dagli stessi.

wordpress gdpr

Cookie

I cookie, solitamente, vengono installati sugli utenti di un sito web al momento del loro atterraggio su una pagina per consentire di “tracciare” alcuni dati di quell’utente. Con il GDPR, questo non sarà più possibile, o comunque non basterà la classica informazione di utilizzo dei cookie tramite il banner che appare nella parte alta o bassa della pagina. I siti web che finora hanno utilizzato i cookie, quindi, hanno due possibilità: eliminarne l’uso o adeguarlo al regolamento. Eliminando i cookie, un sito web rinuncia ad imbattersi nell’adeguare l’uso dei cookie per evitare ammende (ed è comprensibile); ma se non si vuole rinunciare ai cookie, il gestore dovrà modificare il banner di avviso agli utenti chiedendo esplicitamente il consenso e le finalità dell’utilizzo, e informando l’utente della possibilità di rimuovere i propri dati in qualsiasi momento. 

In sintesi:

  • Avviso preventivo: il banner che chiede il consenso all’utilizzo deve essere fornito in anticipo all’utente;
  • Autorizzo al consenso: l’utente può accettare o rifiutare l’utilizzo dei cookie, ma se rifiuta può comunque continuare a navigare nel sito;
  • Memorizzazione: il sito web deve registrare l’eventuale consenso del visitatore per averne la prova;
  • Reversibilità: gli utenti devono avere la possibilità di rimuovere i propri dati facilmente e in qualsiasi momento.

Un tool molto utile che aiuta il gestore di un sito a monitorare che tutto sia a norma è Cookiebot. Con questo software sarà più facile capire se il proprio sito è in regola con il GDPR o se bisogna apportare delle modifiche. Anche se nessun robot o software potrà sostituire l’efficacia di un esperto legale in materia.

Privacy Policy

Un altro fondamentale aspetto del GDPR in merito ai siti è l’informativa sulla privacy, chiamata anche privacy policy. Si tratta di un testo scritto in cui l’azienda informa i visitatori del proprio sito circa il trattamento dei dati personali. Ogni sito web aziendale ne possiede già una ma le direttive del nuovo regolamento UE impongono determinate caratteristiche. Per questo motivo, si suggerisce la consulenza legale di un esperto in materia di diritto alla privacy per evitare ammende.

La Privacy Policy, infatti, deve essere chiara, concisa, trasparente, facilmente accessibile e scritta con un linguaggio semplice per poter essere compresa da chiunque. WordPress, in un comunicato, suggerisce alcuni passaggi per creare una buona informativa sulla privacy, partendo innanzi tutto dal creare una pagina web esclusivamente dedicata. Inoltre, un tool che può essere utile allo sviluppo della privacy policy è Iubenda, software che facilita in generale la gestione dei dati personali in base al GDPR.

Ulteriori accorgimenti

Cookie e privacy policy sono in cima alla lista delle cose da modificare nel proprio sito WordPress per ordine di importanza. Una volta modificate queste, bisogna occuparsi di ulteriori aspetti del sito web che, comunque, non sono secondari:

Tutti questi singoli fattori devono essere analizzati e controllati per fare in modo che il tuo sito sia a norma con il GDPR. Per farlo, si consiglia la consulenza di un esperto in materie giuridiche o, ancora meglio, in diritto alla privacy. Le novità di questo regolamento UE sono numerose e delicate, per cui la supervisione di uno specialista sembra essere imprescindibile.

Dispute e controversie

Come si evince da quanto scritto finora, il GDPR costringe imprese, pubblica amministrazione e siti aziendali ad apportare sostanziali modifiche. Per questo motivo, erano inevitabili controversie e scontri su determinati punti del regolamento, per esempio:

  • Una grande fetta degli addetti ai lavori ritiene che il GDPR sia stato pensato principalmente per i dati trattati all’interno dei social network e per i server di servizi cloud;
  • Altrettanti sostengono che il regolamento non sia equo fra tutela dei dati dei cittadini europei e tutela dei dati dei dipendenti delle aziende;
  • Il carico amministrativo che questo regolamento comporta non è indifferente, ragione per cui sono state sollevate delle lamentele a riguardo;
  • Il regolamento sembra essere incompatibile con alcune delle leggi in materia di privacy per alcuni stati membri dell’UE;
  • Il GDPR obbliga per vie trasversali a modificare le strategie di marketing di un’azienda, il che richiede un carico lavorativo sostanzioso;
  • Gestire in modo professionale la privacy di clienti e potenziali tali ha un costo rilevante per l’ingaggio di esperti in materia.

Conclusioni

Quelle elencate nel paragrafo precedente sono solo alcune delle controversie e dispute che si sono verificate all’approvazione del GDPR. Era inevitabile che si verificassero vista la grande mole di lavoro che questo regolamento comporta.

Per la gestione dei siti, Digital Coach mette a disposizione dei corsi su WordPress ad hoc per creare siti web aziendali o blog, rispettando il nuovo regolamento UE, oltre che un corso dedicato alla normativa e-commerce.

Marco Tranchina on FacebookMarco Tranchina on GoogleMarco Tranchina on InstagramMarco Tranchina on Linkedin
Marco Tranchina
Scrittura e lettura sono le mie passioni primarie, per questo motivo nel marzo 2017, ho conseguito la laurea in Scienze della Comunicazione. Non contento, durante gli studi ho collaborato con un giornale online e ho lavorato come addetto stampa.
Faccio parte del team di content marketing di Digital Coach, motivo per cui scrivo articoli sul digital marketing.
Quando non scrivo, se mi rimane tempo, pratico sport e suono la chitarra.
[index]
[index]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[index]
[index]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[index]
[index]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[index]
[index]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[523.251,659.255,783.991]
[i]
[i]