Mappa Via Marconi 20, Bussolengo (VR)
Email info@devinterface.com
Phone 045 5702228
Mobile Phone 366 4871479

GDPR 2021: cosa fare per mettersi in regola

Cristina - 23 Febbraio 2021

 Mano clicca su cellulare con simbolo GDPR EU

Indice

Anche per quest'anno è prevista una crescita delle attività online, specialmente in ambito e-commerce. Ti abbiamo già accenato del boom di questo settore nel nostro articolo dedicato ai trend di digital marketing 2021, oggi invece vogliamo parlarti di un argomento attuale già da un bel po' di tempo.
Sebbene infatti siano molti gli aspetti a cui prestare attenzione quando si decide di portare online un'attività, ce n'è uno in particolare che da un paio di anni a questa parte non può più essere ignorato: l'adeguamento della propria attività al GDPR, ovvero il Regolamento generale sulla protezione dei dati

 

GDPR: che cos'è, a chi si rivolge e quando si applica

computer con simbolo GDPR

 

Il GDPR è un Regolamento europeo entrato in vigore il 24 maggio 2018 con lo scopo di garantire una migliore protezione dei dati e della privacy dei cittadini dell'Unione Europea. Non importa se la società che raccoglie i dati ha sede al di fuori dell'UE o se la maggior parte degli utenti di un sito web non è residente nell'UE. Il GDPR è progettato per proteggere i diritti e la privacy dei suoi residenti indipendentemente da chi gestisce le loro informazioni personali. 

Un cambiamento fondamentale avvenuto con il GDPR è stata l'introduzione dell'obbligo di rendicontazione: secondo questo principio, infatti, le aziende sono tenute a dimostrare la loro conformità con il GDPR. Ciò si è tradotto nella necessità di una maggiore documentazione a cui si aggiungono anche gli obblighi di prova (elenchi delle attività di elaborazione, valutazioni dell'impatto sulla protezione dei dati e documentazioni sugli incidenti di protezione dei dati). Inoltre, i rischi dovuti alla non conformità con le normative sulla protezione dei dati sono aumentati in modo significativo: le violazioni possono essere punite con multe fino a 20 milioni di euro o fino al 4% del fatturato annuo totale realizzato a livello mondiale. Sono cresciuti anche gli obblighi di informazione nei confronti degli interessati (come la dichiarazione sulla protezione dei dati), l'uso di cookie e strumenti pubblicitari è stato reso giustificabile attraverso appositi banner che devono comparire sulla homepage del sito permettendo all'utente di fornire le proprie preferenze; i contratti con i fornitori di servizi per l'elaborazione degli ordini devono soddisfare requisiti più severi; infine, devono essere rispettati il ​​diritto alla portabilità dei dati e le scadenze per il trattamento delle domande per esercitare i diritti degli interessati.

Pur essendo un Regolamento approvato dal Parlamento europeo le modifiche al GDPR si applicano tanto alle organizzazioni in altri paesi quanto a quelle all'interno dell'UE. Se un'organizzazione o attività, in UE o meno, offre beni o servizi o monitora il comportamento degli interessati dell'UE, è tenuta a rispettare il GDPR. Restano escluse invece tutte quelle attività a carattere esclusivamente personale o domestico.

 

Quali sono le sanzioni

Ad oggi si ha una violazione del GDPR quando un'azienda o un libero professionista non mette in atto tutte le misure necessarie per tutelare i cittadini.
A seconda della gravità delle violazioni gli importi possono aggirarsi attorno ai 10 milioni di euro o al 2% del fatturato annuale mondiale precedente se non addirittura a 20 milioni di euro o il 4% del fatturato annuale mondiale precedente.
Purtroppo pare che in Italia non ci sia ancora molta consapevolezza sull'importanza che ha il rispetto della protezione dati. Infatti il 2020 ha visto l'Italia al primo posto dei paesi multati per violazioni al GDPR, le stime delle sanzioni pecuniare sono circa 45.609.000 euro, dati che certamente non ci fanno onore, specialmente se collegati ad un atteggiamento di sufficienza sulla protezione dei dati emerso a seguito di queste violazioni. A controbilanciare questo trend negativo è l'atteggiamento dei cittadini che invece si mostrano sempre più attenti al rispetto della loro privacy e pronti ad assumere atteggiamenti attivi nei confronti delle istituzioni di competenza in caso di violazioni. 
Come puoi ben capire da questo quadro, anche se magari la tua azienda rientra tra le PMI, i costi di violazione del GDPR possono essere molto alti, non solo in termini economici, ma soprattutto nell'immagine che dai della tua attività: rispetta il GDPR e soprattutto i tuoi consumatori. 

 

Come adeguare il proprio sito al GDPR

piccole persone proteggono i dati aziendali e le informazioni legali

Immagine via Freepik.com

 

Sei arrivato al punto centrale di tutta la questione: come posso mettere in regola il mio sito web?

La chiave è il consenso da parte degli utenti che deve essere:

1) Antecedente all'elaborazione dei dati: Il consenso deve essere prestato prima del primo trattamento dei dati. Nel caso dei cookie essi devono essere bloccati fino all'ottenimento del consenso da parte dell'utente.

2) Trasparente e leggibile, fornito in risposta a informazioni precise e specifiche su come, perché e da dove viene utilizzato il trattamento dei dati. Questo deve essere fatto in una forma comprensibile e accessibile e in un linguaggio semplice.

3) Approvazione volontaria. Il consenso deve essere prestato liberamente e mai come presupposto per la fruizione di un servizio o l'esecuzione di un contratto per il quale i dati trattati non sono richiesti.

4) Documentazione. Ogni consenso fornito deve essere conservato come prova in modo che il consenso possa essere dimostrato in caso di controllo.

5) Reversibile: l'utente deve poter accedere al proprio consenso in qualsiasi momento nel modo più semplice possibile al fine di poter cancellare il consenso.

6) Rinnovabile: L'approvazione deve essere rinnovata annualmente. Tuttavia, alcune linee guida nazionali sulla protezione dei dati raccomandano rinnovi più frequenti, ad esempio 6 mesi. .

Inoltre, il tuo sito deve disporre di:

1) Privacy Policy: la Privacy Policy è il documento con cui si viene a spiegare il trattamento dei dati personali. In particolare, per essere completa dovrà contenere:

  • la tipologia di dati raccolti dal sito e la ragione per cui vengono raccolti;
  • da chi e in che modo i dati vengono raccolti;
  • come e per quanto tempo saranno conservati;
  • se e in che modo verranno ceduti a terzi;

2) Cookie e Tracking: per avere un sito web conforme al GDPR in materia di Cookie e Tracking è necessario attuare: 

  • un banner conforme per acconsentire ai cookie;
  • una informativa sui cookie aggiornata e specifica;
  • un'archiviazione sicura di tutti i consensi concessi;
  • la possibile revoca del consenso.

3) Moduli e Form di raccolta dati: I moduli e form presenti in un sito web, come ad esempio quelli per le newsletter, dovranno essere provvisti di spunta per il consenso al trattamento dei dati personali.   

4) Plug-in e CMS: non è possibile adottare una soluzione unica per ogni sito web in quanto ognuno presenta le proprie peculiarità e tratta i dati personali diversamente. Generalmente CMS e plugin di vario tipo (e-commerce, form di contatti, newsletter) devono essere adattati al GDPR. È sempre possibile verificare sui siti web dei produttori di plugin informazioni e funzionalità relative alle ultime versioni rilasciate. 

 

Ultime novità

La scorsa estate la Corte di Giustizia dell’Unione Europea (CGUE) ha invalidato il Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico. Di fatto la normativa degli Stati Uniti non è stata ritenuta adeguata per garantire un livello di protezione equivalente a quello previsto dal GDPR. Di conseguenza, aziende europee che utilizzano servizi di aziende statunitensi dovrebbero ricorrere a provider di servizi che siano conformi al GDPR, assicurandosi di non avere a loro volta server localizzati oltre oceano. Resta comunque possibile trasferire dati verso paesi extra europei purché l’azienda europea, titolare del trattamento, stipuli un contratto idoneo con l’azienda destinataria ubicata nel paese terzo extra-UE. Tale contratto dovrà rispettare gli standard europei di protezione dei dati.

 

Questo articolo ti è stato d'aiuto? Tieniti informato su tutte le ultime novità del mondo web seguendo i nostri canali social e il nostro blog

Marketing Marketing
Potrebbe interessarti anche
ecommerce psicologia
Psicologia delle vendite nell'ecommerce

Esplora il potente impatto della psicologia nell'ecommerce e scopri come influisce sulle decisioni di acquisto online. Approfondisci le strategie psicologich...

Influencer Marketing parte 1

In questa prima parte dedicata all'influencer marketing analizziamo il suo funzionamento e collocamento nel marketing

Categorie

Articoli più visti

I 10 linguaggi di programmazione più utilizzati

I 10 linguaggi di programmazione più utilizzati al momento

cms headless strapi

Strapi e il mondo degli headless CMS

framework frontend

Svelte, Solid e Qwik: l'ascesa dei nuovi framework front-end

Astro js framework

Astro: tutto quello che ti serve sapere su questo framework sempre più popolare

Codici

Node JS: pro e contro 

outsourcing vs offshoring

Outsourcing vs offshoring

3 screens DA Mobile App

Caso studio: "DA App" per la gestione della dermatite atopica

team augmentation copertina

Team augmentation: che cos'è e a cosa serve

Shopify headless commerce copertina

Hydrogen e Oxygen: l'headless commerce di Shopify

Google ads copertina errori da evitare

Google ads: 6 errori da evitare