cookiesQuesto sito e gli strumenti di terze parti da esso utilizzati si avvalgono di cookies.
Continuando a navigare accetti il loro uso.

 

L'angolo della grafica       P.I. 06242230487

Il GDPR, questo sconosciuto...

Il GDPR, questo sconosciuto...

elaborazione grafica sul GDPR Credits: sfondo TheDigitalArtist, stelle EU Clker-Free-Vector-Images, elaborazione L'angolo della grafica.

Contattami per mettere in regola il tuo sito
e leggi la nuova informativa sulla privacy!

Premesse utili

Tutti i riferimenti normativi

  • Decreto legislativo 30 giugno 2003, n. 196 (o D.lgs. n.196/2003 - in seguito, Codice Privacy) leggilo sul sito del Garante
  • Regolamento UE 2016/679 del 27 aprile 2016 il cosiddetto GDPR (General Data Protection Regulation, ossia Regolamento relativo alla Protezione dei Dati Personali - in seguito, GDPR) entrato in vigore dal 25 maggio 2018 leggilo sul sito ufficiale del Diritto nell'Unione Europea o così come è apparso sulla Gazzetta Ufficiale Europea, edizione in lingua italiana)
  • EU Cookies Law entrata in vigore dal 3 giugno 2015 leggila sul sito della Commissione Europea (sito in inglese)
  • L'Italia ha recepito la EU Cookies Law con il Provvedimento del Garante per la Privacy n. 229/2014 pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014 (Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie dell'8 maggio 2014, pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014) leggilo sul sito del Garante

Qualche definizione

 GDPR: il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento UE n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.
Con questo regolamento, la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).
Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha iniziato ad avere definitivamente efficacia il 25 maggio 20181.
Il GDPR è stato applicato a partire dal 25 maggio 2018, senza normativa di attuazione da parte dello Stato (a differenza di quanto avvenne per la EU Cookies Law – Direttiva 2002/58/CE...).

 Dati personali: i dati personali (art. 4 c. 1 lett b del D. lgs. 196 / 2003) identificano le informazioni relative alla persona fisica, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale.
Il decreto legge 6 dicembre 2011 n. 201, convertito con modifiche dalla L. 22 dicembre 2011 n. 214, ha eliminato l'inclusione delle persone giuridiche nel concetto di dato personale, limitandolo quindi alle sole persone fisiche.
Esempi di dati personali: nome e cognome della persona, l'indirizzo o i numeri di telefono o di cellulare, codice fiscale e partita IVA.2
La novità risiede proprio nel criterio di identificazione, dove con “identificativo” si intendono nome, caratteristiche di tipo fisiche o fisiologiche, identificativo on line.1.
 ...insomma, il dato personale è un dato che, da solo o combinato, permette di risalire all’identità di un individuo.

 Dati sensibili: secondo il Codice sulla protezione dei dati personali (D. Lgs. n. 196/2003, art. 4), sono considerati dati sensibili i dati personali idonei a rivelare: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.3
 ...insomma, il dato sensibile è un dato relativo alla salute, alle inclinazioni religiose, politiche, sessuali, dati giudiziari,... di un individuo

 ...quindi dato sensibile ≠ dato personale!

Tratto da Wikipedia, L'enciclopedia libera: 1 Regolamento generale sulla protezione dei dati, 2 Dati personali, 3 Dati sensibili il 4 giugno 2018


Introduzione

Il 25 maggio è ormai passato e ancora le idee sul GDPR sono confuse e poco chiare: cerchiamo di fare chiarezza su cosa bisogna fare per mettersi a norma con il nuovo regolamento europeo in ambito di siti Web, mailinglist e servizi internet.

Personalmente, dopo ore e ore di studio del GDPR (che fatica terribile!), se sono riuscita a fare un po' di luce nel mio povero cervello (!), lo devo a Francesco Reitano di Pirosoft che ha organizzato e presentato un utilissimo webinar su YouTube (scontato dire che lo consiglio!); relatore dell'evento è stata l'avvocato Camilla Mantelli di LegaleFacile.com (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).
 Grazie!

Precisazione importante: il GDPR riguarda l’azienda nel suo insieme, qui noi ci occuperemo degli aspetti legati al web (siti internet, e-commerce, newsletter, cookies).

Di seguito una sintesi del webinar, delle relative slides e dei miei appunti: spero possano esservi utili!

Dal TU Privacy (L. 675/96) al Codice Privacy (D.Lgs.196/03) al GDPR (Reg. UE 679/16)

Si parte dal presupposto che non esistere a livello “digitale” ormai è impossibile: ora si parla del fatto che si deve avere un consenso circostanziato per trattare i dati.

da Privacy = riservatezza del dato
a Privacy = tutela del dato, di come è trattato

I nuovi principi

 Accountability: la responsabilizzazione di ciascun titolare di trattamento dei dati nel rendere conto di come lo fa tramite tracce scritte: il consenso di ciascun interessato deve essere conservato (=> Registro) e anche “come” si è arrivati a definire la policy. In altre parole, il titolare del trattamento dei dati deve essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.

 Risk based approach : approccio basato sul rischio, ossia tenere sempre conto del rischio che un determinato trattamento può comportare.

 Privacy by design: la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.

 Privacy by default: la necessità della tutela della vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita.

Insomma... non c’è più una regola valida per tutti, ma bisogna adattarsi alle singole realtà!

Tenuta dei registri del trattamento

Il Regolamento introduce l’obbligo per titolare e responsabile del trattamento di registrare e conservare, anche su formato elettronico, la documentazione relativa ai trattamenti effettuati. Tale adempimento sostituisce la figura della notifica al Garante previsto dalla normativa italiana fino ad oggi in vigore.

Devono tenere il registro i titolari ed i responsabili:

  1. che effettuano il trattamento nell’ambito di imprese o organizzazioni con più di 250 dipendenti
  2. che effettuano trattamenti che possano presentare rischi per i diritti e le libertà degli interessati
  3. che effettuano trattamenti non occasionali di categorie particolari di dati (sensibili, biometrici, ecc.)

Il registro deve indicare:

  • nome e dati di contatto del titolare
  • finalità del trattamento
  • categorie di interessati e di dati trattati
  • categorie di terzi a cui i dati possono essere comunicati
  • trasferimenti di dati verso paesi terzi ed indicazione delle adeguate garanzie
  • termini ultimi per la cancellazione
  • descrizione generale delle misure di sicurezza.

...ricordando il principio di accountability, ossia che il titolare del trattamento è tenuto a porre in essere misure tecniche ed organizzative idonee a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto previsto dal regolamento.

In parole povere, tenuta dei registri del trattamento = conservare i consensi e i trattamenti che verranno effettuati. Nel nostro caso (webmasters/webdesigners) va tenuto obbligatoriamente

Data breach notification

Il Regolamento prevede obblighi informativi in capo al titolare del trattamento in caso di personal data breach sia nei confronti della competente Autorità di controllo senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è giunto a conoscenza, sia nei confronti dell’interessato, nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà dell’individuo.

Data breach: accesso non autorizzato ai dati personali, distruzione accidentale o perdita dei dati, divulgazione, modificazione, copia o rimozione in assenza di autorizzazione.

Il responsabile deve documentare la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
La notificazione deve contenere:

  1. natura della violazione dei dati
  2. identità e coordinate di contatto del Data Protection Officer
  3. conseguenze della violazione
  4. misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti.

La notificazione non è richiesta nel caso in cui:

  • siano state adottate misure tecniche ed organizzative tali da rendere i dati incomprensibili per i non autorizzati
  • siano adottate misure idonee ad evitare il sopraggiungere di un rischio elevato per gli interessati
  • la comunicazione implicherebbe sforzi sproporzionati.

Privacy impact assesment (PIA)

Il Privacy impact assesment è un report sulla nostra situazione, su come il trattamento dei dati impatti la nostra azienda. (Io so che questo mio processo comporta un certo grado di rischio e ho attivato certe misure di sicurezza per il trattamento dei dati... sempre previo consenso!)
Detto meglio: quando il trattamento, in particolare se effettuato per mezzo delle nuove tecnologie, per la sua natura, il suo oggetto, o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati.

Contiene:

  • descrizione generale del trattamento
  • assessment (cioè valutazione) della necessità e proporzionalità del trattamento in relazione alle finalità
  • valutazione dei rischi e le misure previste per affrontarli
  • le misure di sicurezza e i meccanismi per garantire la protezione dei dati

 il trattamento presenta / non presenta un alto grado di rischi specifici
 il responsabile prima di procedere al trattamento consulta l’autorità di controllo, la quale deve pronunciarsi entro un termine predeterminato

Le autorità di controllo dovranno rendere pubblico un elenco delle tipologie di trattamento che richiedono un privacy impact assessment, nonché un elenco di trattamenti che, al contrario, non richiedono tale verifica.
Al momento qualunque tipo di formulazione circa i trattamenti che potrebbero ricadere nell’ambito di applicazione è prematura.

Per la valutazione d’impatto sulla privacy può essere d’aiuto PIA un software gratuito francese (ma c’è anche la traduzione in italiano...)

Data protection officer (DPO)

Il titolare e il responsabile del trattamento sono tenuti a nominare un DPO (Data Protection Officer = Responsabile per la Protezione dei Dati) se:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico
  2. il trattamento, per la sua natura, il suo scopo o le sue finalità, implica il regolare o sistematico monitoraggio degli interessati su larga scala
  3. l’attività del titolare ha prevalentemente ad oggetto il trattamento, su larga scala, di dati sensibili (i.e. relativi alla salute o alla vita sessuale, genetici, giudiziari, biometrici)

Il DPO è incaricato delle seguenti funzioni:

  • informare il Titolare o il Responsabile del Trattamento sugli adempimenti richiesti dalla normativa
  • verificare la conformità del trattamento con le disposizioni del Regolamento
  • fornire supporto per l’impact assessment
  • cooperare con l’Autorità di controllo

Il DPO dovrà avere le seguenti caratteristiche:

  • essere designato in funzione delle sue qualità professionali (i.e. conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e della capacità di adempiere ai compiti di cui esso è responsabile)
  • agire in totale indipendenza 1
  • avere accesso a risorse umane e finanziarie necessarie ad adempiere ai propri compiti
  • riportare direttamente ai superiori gerarchici del titolare o del responsabile del trattamento (i.e. il CEO)

1 Nelle ditte individuali la nomina di DPO andrebbe data all’esterno per evitare conflitti d’interesse ...in teoria, non posso essere io!

Sanzioni ai sensi del GDPR

Le sanzioni sono spaventose!!: fino a 20.000.000 di euro o, se superiore, il 4% del fatturato annuo di gruppo!

 Condizioni generali per infliggere sanzioni amministrative pecuniarie (art. 83, paragrafo 2, GDPR)
Interpretazioni dell’Article 29 Data Protection Working Party

  1. natura, gravità e durata della violazione tenendo in considerazione la natura, oggetto, o finalità del trattamento, nonché il numero di interessati lesi dal danno e il livello del danno subito
  2. carattere doloso o colposo della violazione
  3. misure adottate dal titolare per attenuare il danno subito dagli interessati
  4. grado di responsabilità del titolare, tenuto conto delle misure tecniche ed organizzative adottate ai sensi degli articoli 25 e 32
  5. precedenti violazioni pertinenti commesse
  6. grado di cooperazione con il Garante al fine di porre rimedio alla violazione e attenuare i danni
  7. categorie di dati personali interessate dalla violazione
  8. maniera in cui l’autorità di controllo ha preso conoscenza della violazione e, in particolare, se è stata notificata dal titolare
  9. precedente disposizioni di provvedimenti ex articolo 58, par. 2, GDPR relativamente allo stesso oggetto e il loro rispetto da parte del titolare
  10. adesione ai codici di condotta o ai meccanismi di certificazione.

Per farla breve: l'attenzione deve essere altissima!! Non è più consentito fregarsene!!

...sicuro di voler rischiare? Contattami per adeguare il tuo sito!

Varie ed eventuali

Consenso, informative privacy e form

Io ho un database di contatti a cui mando le informazioni. Questi contatti li ho perché li ho “conosciuti” negli anni e/o perché gli ho venduto qualcosa. Posso ancora mandare loro materiale promozionale/informativo come prima?
No, se non c’è un consenso espresso dell’interessato! Per essere veramente in regola, dopo il 25 maggio, dovrei addirittura chiedere loro il consenso “di persona”, perché mandare un’e-mail è già trattare un dato! Volendo, avrei potuto usare un escamotage: prima del 25 maggio (quando ancora si poteva...) potevo inviare a tutti i miei clienti una mail in cui chiedevo loro di darmi il consenso esplicito a continuare a usare i loro dati!.
Nota bene: dovrò dare sempre loro la possibilità di cancellarsi (OptOut/Unsubscribe) e dovrò anche tenere traccia di ogni contatto, newsletter...

 Riepilogando:

  • bisogna ottenere sempre il consenso e dare ogni volta l’opt out.
     quindi andranno riscritte tutte le privacy policies, i moduli di contatto,...!
  • Tutti i siti devono avere una normativa privacy!
  • Ok Informativa Privacy e Cookies nello stesso documento1. [1 Attenzione! Info privacy ≠ Terms of use!. I terms of use illustrano all’utente le cose che “gli accadono” navigando sul sito, per es. a livello di copyright delle immagini...]

Tutti i nostri form dovranno contenere un’accettazione per ciascuna finalità per cui i dati saranno trattati (per es. tramite checkbox ).
Se il form in uso fino ad ora non ha queste informazioni (es. il link alla privacy policy) il consenso andrebbe richiesto come indicato sopra!

Cookies

La prossima e-privacy verrà emanata verso giugno e conterrà direttive specifiche per i cookies: fino a quel momento resterà in vigore la “vecchia” EU Cookies Policy!
Non serve l’accettazione di ogni singolo cookie, basta quella generale, l’importante è che il banner per la loro accettazione richieda un’azione da parte dell’utente (premere un pulsante, chiuderlo cliccando su ) e non il semplice scroll-down!

Newsletter

Per evitare problemi, potrebbe essere una buona idea quella di non usare form/componenti all’interno del sito, ma usare servizi esterne come Mailchimp che, facendo parte di una grande struttura, ha già implementato tutte le misure necessarie (in inglese, ma si può tradurre...)

CMS

Ci sono già estensione gratuite (poche, a dire il vero) o a pagamento, ma il consiglio è di aspettare a comprare perché sia Joomla! che Wordpress hanno già annunciato che nelle prossime versioni implementeranno funzioni aggiuntive per rendere i siti conformi.

E-commerce

  • I dati relativi alla fatturazione non possono essere cancellati!!
  • I dati personali usati per l’esecuzione di un contatto (sia online sul web che offline nella vita!) prevedono l’accettazione di un consenso... senza il quale il contratto non può esistere!
  • E in seguito tale consenso non potrà essere revocato, mentre quello che il cliente avrà eventualmente dato per finalità di marketing potrà essere revocto in qualunque momento.

Domande e risposte

A chi si applica il GDPR?
La normativa si applica a chiunque tratti i dati dei cittadini europei sia che essi siano in Europa che al di fuori del territorio europeo. Quindi società come Google o Facebook ad esempio, che raccolgono dati, saranno soggette al GDPR a prescindere dal fatto che la loro sede sia in territorio Europeo.

Come cambia l'informativa sulla privacy?
L'informativa della privacy che viene fornita all'utente nel momento in cui i dati vengono raccolti dovrà essere molto semplice e comprensibile, non dovrà quindi avere ad esempio riferimenti normativi. La persona dovrà poter comprendere il testo subito e senza problemi così da poter decidere se aderire al trattamento dei dati. Dovendo quindi capire cosa si sta sottoscrivendo, il consenso dovrà essere riferito a ogni trattamento specifico, indicando bene ogni finalità.

Cosa si intende con Accountability?
Con il termine "Accountability" si intende che bisogna attribuire la responsabilità nel trattamento dei dati a tutti i soggetti che collaborano nella gestione degli stessi, quindi si dovrà documentare che cosa viene fatto quando si trattano i dati per conto dell'azienda nella quale si lavora, le aziende dovranno quindi impostare delle procedure interne ben definite per capire e verificare ogni azione sui dati.

Cos'è il PIA?
Sul piano organizzativo si dovrà realizzare un documento chiamato "Privacy Import Assessment" (PIA) cioè "documento di valutazione di impatto", che consiste in un'analisi del rischio: si analizza quali dati vengono trattati e quali sono i rischi possibili nella loro gestione, si valuta quindi cosa si può fare per prevenire qualsiasi problema creando una lista di possibili rischi e definendo come poterli risolvere qualora si presentino.

Si dovrà notificare al garante?
Non si dovrà più notificare al garante che una determinata società tratta dei dati personali, adempimento che era obbligatorio fino ad ora, ma bisognerà documentare le tipologie di dati trattati tramite un registro dei trattamenti e il PIA.

Cos'è il DPO?
È stata creata una nuova figura: il "Data Privacy Officer" (DPO), è il responsabile per la protezione del trattamento dei dati, sottolineiamo che non ha a che fare con il responsabile del trattamento dei dati, è invece una figura interna all'azienda che ha il compito di verificare che il trattamento dei dati sia effettuato in modo corretto, deve predisporre il PIA e deve essere autonomo.
Il DPO viene nominato dal titolare del trattamento e resta in carica per quattro anni, è il referente al quale si può rivolgere il garante quando ha delle informazioni da chiedere sul trattamento dei dati personali svolto dall'azienda.

Chi si deve dotare del DPO?
Articolo 37 del GDPR: Designazione del responsabile della protezione dei dati.

  1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
    • Il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali
    • Le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure
    • Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili) o di dati relativi a condanne penali e a reati (dati giudiziari).
  2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.
  3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Ci sono nuovi diritti per le persone?
Sono stati introdotti nuovi diritti a favore delle persone legate ai dati trattati:

  • il diritto all'oblio (l'interessato ha diritto a essere "dimenticato" dall'azienda che detiene i suoi dati) differisce dal tradizionale diritto alla cancellazione dei dati in quanto se viene richiesto, bisognerà eliminare qualsiasi traccia delle informazioni raccolte
  • il diritto di portabilità (i dati personali affidati a un'azienda potranno essere trasferiti ad un altro soggetto, un esempio calzante è il numero di telefono che noi possiamo trasferire da un azienda telefonica ad un'altra.

Come ci si comporta con i dati aziendali?
Per il GDPR i dati personali sono differenti dai dati aziendali, quindi ad esempio l'email nomepersona@pirosoft.it è differente da amministrazione@pirosoft.it, la prima è un dato personale, la seconda no e quindi non ha le restrizioni dei dati personali.

Se si subisce un attacco come ci si deve comportare?
Se vi è una violazione dei dati (Data Breach Notification) c'è l'obbligo di informare subito le autorità, questa regola che non era prevista in Italia renderà quindi obbligatorio, entro 72 ore da una violazione dei dati, avvertire formalmente il garante e allo stesso tempo informare tutte le persone i cui dati sono presenti nel database. L'azienda si dovrà dotare di meccanismi di monitoraggio e di controllo del database che permettano di rilevare queste violazioni.

I dati hanno una scadenza?
Non proprio, non è stata definito un periodo preciso per detenere i dati, ma il GDPR stabilisce che i dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento e quindi dovranno essere mantenuti il minimo necessario, pertanto va definito nell'informativa privacy per quanto saranno memorizzati.

Cosa si rischia violare il GDPR?
Le multe previste per ora hanno delle sanzioni massime, ma non minime che verranno definite dal Garante per la protezione dei dati e i giudici.
Le sanzioni massime sono:

  • se il soggetto alla sanzione è un’azienda singola, la sanzione massima è di 20 milioni di euro
  • se il soggetto della sanzione fa parte di un gruppo come una multinazionale, la sanzione viene calcolata in base percentuale sul fatturato e arriva fino al 4% del fatturato mondiale

Link utili

Tutte le slides

Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12

Ti è piaciuta questa pagina? Allora condividila! (Grazie...!)

 

 

L'angolo della grafica
Web & Graphic Design

+39 327 9846599
info@langolodellagrafica.it
Modulo di contatto

P.I. 06242230487

Licenza Creative Commons Ove non diversamente specificato, quest'opera è distribuita con Licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 3.0 Unported.
Il permesso per altri utilizzi può essere richiesto a info@langolodellagrafica.it.
Per ulteriori dettagli visitare la pagina dei credits.