GDPR: come adeguarsi al nuovo Regolamento per la Protezione dei Dati

Regolamento Generale per la Protezione dei Dati

Il nuovo Regolamento Generale per la Protezione dei Dati Personali entrerà in vigore in tutta l'UE il prossimo 25 maggio.

Ma cos'è il GDPR?

Il General Data Protection Regulation è una mezza rivoluzione per quanto riguarda il trattamento dei dati personali ricavati sul web.

Dopo gli scandali che hanno coinvolto Facebook sull'uso e abuso dei dati dei suoi utenti sembra proprio che il nuovo regolamento possa migliorare le cose, rimettendo al centro del discorso proprio l'utente e l'importanza dei suoi dati.

Per il GDPR infatti è fondamentale che i dati personali degli utenti:

  • Siano trattati in modo lecito, con correttezza e trasparenza
  • Siano protetti e limitati

Per far si che questi punti vengano rispettati, il GDPR istituisce delle linee guida da seguire, pena sanzioni pecuniare molto pesanti.

Se non sei ancora in regola e non sai cosa devi fare per adeguarti al nuovo regolamento, non farti prendere del panico.

In questo articolo vediamo infatti come attuare una strategia d'azione che porti ad una soluzione valida, applicabile nel breve periodo e da affinare nel medio/lungo periodo.

Prima però ecco una breve guida ai termini tecnici che dovranno diventarti familiari se ti occupi, a vario titolo, della gestione di grandi quantità di dati sensibili sul web.

  • Principio di Privacy by Design: già nella fase di progettazione del servizio devi identificare le misure per proteggere la privacy dell'utente. La Privacy by Design si occupa di prevenire e non di correggere
  • Principio di Privacy by Default: i dati dell'utente che vai a raccogliere devono essere commisurati alla finalità per cui li hai richiesti e tutelati per impostazione predefinita
  • Data Protection Officer: il DPO è una figura interna o esterna all'azienda che organizza e gestisce la protezione dei dati personali
  • Accountability: il processo di responsabilizzazione del Titolare e del Responsabile del Trattamento. Chi gestisce i dati ha un ruolo proattivo nella loro protezione e nel far si che vengano utilizzati in maniera corretta e trasparente
  • Trattamento dei dati: riportiamo una definizione precisa da Wikipedia: "Indica qualunque operazione o complesso di operazioni [...] concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati"
  • Data Breach: indica un eventuale violazione dei dati degli utenti. Il GDPR regola la procedura da seguire in questi casi, che vedremo meglio nel prosieguo dell'articolo

Ora vediamo cosa devi fare per seguire le linee guida del GDPR e iniziare a ragionare in modo proattivo riguardo al trattamento dei dati sensibili degli utenti.

1 - Istituisci un registro del trattamento e aggiorna la privacy policy

2 - Chiarisci le finalità d'uso di ogni trattamento

3 - Nomina un Data Protection Officer

4 - Fai valere il diritto alla cancellazione

5 - Proteggi i dati degli utenti

1. Istituisci un registro del trattamento e aggiorna la Privacy Policy

Crea il registro di trattamento, un documento dove vai a segnare tutti i trattamenti dei dati operati, le loro finalità, i dati personali raccolti e le misure di sicurezza prese per proteggerli.

Aggiorna la Privacy Policy, rendila di facile lettura utilizzando un linguaggio semplice e diretto. Aggiungi elementi visuali, come le icone, che aiutino la comprensione immediata di un concetto. Identifica ogni aspetto del trattamento dei dati in maniera corretta e trasparente. Suddividi in varie sezioni le diverse finalità d'uso dei dati.

Ti consigliamo a questo proposito di utilizzare il servizio professionale fornito da Iubenda.

Tutti i nostri lettori hanno uno sconto del 10% sulla creazione della privacy e cookie policy con Iubenda! Clicca sul link!

Si voglio subito lo sconto!


2. Chiarisci le finalità d'uso di ogni trattamento

Quando proponi all'utente la possibilità di inviarti i suoi dati personali devi sempre:

  • Specificare tutte le finalità. Gli utenti devono conoscere le finalità per cui verranno usati i loro dati
  • Richiedere i dati necessari e sufficienti. La richiesta di dati personali deve essere proporzionata allo scopo del servizio erogato
  • Indicare una temporalizzazione. Devi indicare per quanto tempo questi dati saranno a tua disposizione.

Di seguito vediamo un esempio pratico di come si applicano queste azioni. Prendiamo in esame un form di contatto per chi vuole avere informazioni sulla tua attività.

In questo caso nel form devi richiedere i dati strettamente necessari a ricontattare l'utente: nome, (cognome), (telefono) e mail.

Nel form deve essere presente il link all'informativa della privacy e l'utente deve flaggare la casella apposita per confermare l'avvenuta visione e accettazione dei termini di servizio. Attenzione: la casella non deve essere precompilata.

Se i dati che vai a richiedere vengono usati anche per altre finalità diverse da quella originale bisogna avere il consenso esplicito dell'utente. Il form che hai creato ha finalità di trattamento dati per contatto. Se vuoi usare i dati personali anche per attività di marketing (newsletter, remarketing ecc.) è necessario inserire un'altra casella da flaggare all'interno del form, con esplicitata la finalità del trattamento dei dati a scopo di marketing.

Da sottolineare: l'utente può non barrare la casella per il trattamento di dati a scopo di marketing (e quindi non dare il suo consenso) ed inviarti comunque i suoi dati per essere ricontattato. Questo perché la finalità "principale" del trattamento dei dati in questo caso è di contatto e non di marketing.

Nell'informativa della privacy (a cui si deve poter accedere tramite un link all'interno del form) deve essere indicato anche per quanto tempo i dati che hai raccolto rimarranno a tua disposizione. Questo dipende dalle finalità: a finalità diverse possono coincidere tempistiche diverse.

Contattaci se vuoi creare form che rispettino le linee guida del GDPR!

3. Nomina un Data Protection Officer

Chi è il DPO? Una figura adibita al controllo e alla tutela dei dati personali che hai raccolto. Il Responsabile della Protezione dei Dati viene nominato dal Titolare o dal Responsabile del Trattamento dei Dati.

Può essere un dipendente della tua azienda o un consulente esterno, preferibilmente specializzato in materia di protezione dati.

Il DPO è una figura chiave, che incarna perfettamente i principi di chiarezza, liceità e trasparenza di cui si fa portatore il nuovo regolamento.

4. Fai valere il diritto alla cancellazione

Gli utenti devono avere la possibilità di accesso ai loro dati e di poterli aggiornare o cancellare in qualsiasi momento.

Crea un database dove gli utenti entrano nel proprio profilo, aggiornano i loro dati, li modificano e, se vogliono, li cancellano.

Da sottolineare: la portabilità dei dati personali. Cosa significa? Che un utente può decidere di spostare i dati che abbiamo raccolto su di lui e trasferirli ad un altro servizio, concorrenziale o no.

Niente più possibilità di subire un block-in quindi, quella brutta disavventura di rimanere bloccati all'interno di un servizio a cui ci si è registrati.

Se sei interessato a costruire un database sicuro per i tuoi utenti contattaci, ti possiamo fornire questo servizio!

5. Proteggi i dati degli utenti

Per prevenire i Data Breach, il livello di protezione deve essere massimo: crittografare i dati degli utenti è fondamentale per essere in linea con gli obiettivi di sicurezza fissati dal GDPR. Conduci regolarmente dei test per verificare l'efficacia delle misure di sicurezza prese.

In seguito a una violazione dei dati la tua comunicazione di avviso all'autorità preposta deve avvenire entro 72 ore da quando si accerta che il Data Breach sia avvenuto. Inoltre nello stesso periodo di tempo devi avvertire con una comunicazione personale, dove possibile, gli utenti presenti nel database violato.

Per questo devi utilizzare tecnologie che ti permettano di scoprire e risolvere i Data Breach velocemente e predisporre un piano per gestire al meglio la situazione, specificando i compiti e le azioni da fare.

Conclusione

L'adeguamento al DGPR è un processo in divenire, con alcuni punti ancora da chiarire. È necessario quindi mantenersi informati sull'argomento. In questi mesi aggiorneremo l'articolo ogni qual volta ci saranno delle novità in materia.

Crea subito la privacy policy e la cookie policy per il tuo sito web grazie al servizio professionale di Iubenda!

Tutti i nostri lettori hanno uno sconto del 10% sulla creazione della privacy e cookie policy con Iubenda! Clicca sul link!

Si voglio subito lo sconto!

Se sei interessato a soluzioni web che ti permettano di proteggere efficacemente i dati dei tuoi utenti contattaci per parlarne insieme!


 Infografica GDPR