GDPR 2018 – Cos’è e come adeguarsi al Regolamento entro il 25 maggio 2018

Indice:

Il 27 aprile 2016 è stato emanato il nuovo regolamento 2016/679 meglio conosciuto come GDPR, acronimo di General Data Protection Regulation, il quale verrà applicato a partire dal 25 maggio 2018 e che affronterà la preoccupazione sull’utilizzo dei dati personali e della loro riservatezza.

Il nuovo regolamento non si rivolge soltanto ai Paesi europei, ma anche a tutte quelle aziende ovvero organizzazioni, che utilizzano i dati personali di persone fisiche cittadine dell’Unione Europea.

È importante precisare che questo articolo non è finalizzato a sostituire la consulenza di una figura legale e del regolamento ufficiale, ma è stato scritto per riassumere i soli punti fondamentali racchiusi nel regolamento che chiunque può utilizzare come guida pratica per conformare la politica sulla privacy della propria organizzazione.

Cos’è il GDPR

Il GDPR – REGOLAMENTO (UE) 2016/679 – è il regolamento ufficiale emanato dal parlamento europeo e del consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ossia il regolamento generale sulla protezione dei dati.

Cosa sono i dati personali

I dati personali sono tutte quelle informazioni in grado di identificare direttamente o indirettamente una persona fisica come il nome, il numero di identificazione, i dati relativi all’ubicazione, un identificativo online, elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Chi è il titolare del trattamento dei dati personali?

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che determina perchè e come avviene il trattamento dei dati personali.

Nell’ambito di un sito web, il titolare del trattamento dei dati personali è il titolare dell’azienda che richiede il consenso per utilizzare i dati personali dei suoi utenti per inviare e-mail a scopo commerciale o pubblicitario.

Chi è il Responsabile del Trattamento dei dati personali

La persona fisica o giuridica, l’autorità pubblica, il servizio che utilizza i dati personali per conto del titolare del trattamento.

Il responsabile del trattamento potrebbe essere ad esempio l’agenzia di marketing che utilizza i dati personali per i quali ha stipulato un contratto con il titolare del trattamento per realizzare un piano di marketing aziendale.

Cosa deve fare il titolare del trattamento dei dati

Il titolare del trattamento dei dati personali di un’azienda ha l’obbligo di analizzare il tipo di dati raccolti e la modalità del loro trattamento in rapporto alla struttura aziendale.

Vediamo in sintesi un elenco di adempimenti che il titolare dovrebbe rispettare per conformarsi al GDPR:

  • Fare una valutazione completa dei trattamenti e dei rischi a essi connessi, riesaminando il vecchio Documento programmatico sulla sicurezza (c.d. DPS) originariamente previsto dal d.lgs. 196/2003 e, ove predisposto, il modello organizzativo ex d.lgs. 231/2001 e redigere il Registro dei trattamenti. Tutte le imprese con più di 250 dipendenti sono obbligate alla redazione del Registro dei trattamenti, a prescindere dalla tipologia di dati trattati e delle finalità del trattamento. Le imprese con meno di 250 dipendenti debbono redigere il Registro dei trattamenti solo se i trattamenti che effettuano presentino un rischio per i diritti e le libertà dell’interessato, non siano occasionali o includano il trattamento di dati c.d. “sensibili” o personali relativi a condanne penali e a reati di cui all’articolo 10
  • Verificare le informative e i consensi già utilizzati e, qualora necessario, aggiornarle e mandarle nuovamente ai soggetti di cui si conservano i dati
  • Definire le persone che si occupano dei dati: il Titolare, i Responsabili del trattamento, il Responsabile della protezione dei dati (Data Protection Officer), in caso sia necessario in rapporto alla tipologia dei dati ed alla metodologia di trattamento
  • Verificare e accertarsi di aver predisposto/predisporre misure di sicurezza adeguate sia fisiche (accessibilità ai locali e agli archivi ove sono conservati i dati, sistemi di allarme, vigilanza ecc.) che digitali (antivirus, firewall, criptazione dati, etc.)
  • Verificare i contratti sottoscritti con i Responsabili del trattamento e sottoscrivere il contratto con il Data Protection Officer, se nominato
  • Verificare l’estensione delle proprie coperture assicurative al caso di danni cagionati da perdita, sottrazione o manipolazione dei dati
  • Adottare procedure in caso di perdita dei dati, portabilità e di richieste di cancellazione da parte degli utenti interessati, che sono da soddisfare entro 30 giorni dall’arrivo della richiesta, nonché predisporre modelli per la notifica all’Autorità di controllo in caso di perdita o sottrazione di dati
  • Eseguire una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 quando il trattamento di dati, mediante l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone (trattamento di dati sensibili per sorveglianza su larga scala, per la profilazione ecc.).

Cosa deve fare il proprietario di un sito web

Il proprietario di un sito web deve garantire una navigazione semplice, sicura e trasparente che rispetti ogni diritto dei suoi visitatori.

Vediamo per punti gli adempimenti che il proprietario di un sito web dovrebbe eseguire:

  • Conoscere ogni tecnologia utilizzata per il trattamento dei dati personali all’interno del sito web
  • Chiedere ed ottenere il consenso volontario da parte dei propri utenti prima di elaborare qualsiasi dato fornito
  • Offrire agli utenti in modo semplice e trasparente tutte le informazioni che riguardano il fine della raccolta dei dati ed il tempo di custodia di tali dati
  • Offrire all’utente la possibilità di revocare ogni consenso precedentemente concesso
  • Essere a conoscenza di quali dati vengono forniti a terzi, dove vengono inviati e perchè
  • Garantire il diritto ai propri clienti di trasferire i loro dati personali. Ciò significa che è necessario, qualora venisse richiesto, inviare al destinatario i dati personali in formato leggibile (formato CSV) dandogli così la possibilità di trasferire i propri dati ad altri fornitori più agevolmente.

A chi è rivolto il GDPR

Il regolamento è rivolto a tutte le aziende ovvero organizzazioni (appartenenti all’UE e non) che gestiscono, conservano o utilizzano i dati personali di persone fisiche cittadine dell’Unione Europea.

Il GDPR si rivolge sia ai titolari che ai responsabili del trattamento, è perciò importante ri-esaminare i contratti stipulati con i fornitori esterni che conservano, gestiscono o utilizzano i dati personali dei tuoi clienti prestando maggiore attenzione a quelli che risiedono fuori dall’Unione Europea.

Alcuni esempi di responsabili del trattamento in ambito web potrebbero essere gli hosting provider, le piattaforme di e-mail marketing oppure anche le agenzie di marketing e servizi pubblicitari.

A chi NON è rivolto il GDPR

Il regolamento non si rivolge alla persona fisica che utilizza i dati personali di un’altra persona fisica a scopo esclusivamente personale o domestico.

A quali sanzioni va incontro chi non si conforma al regolamento?

Questa volta le sanzioni per titolari e responsabili del trattamento sono assai cospicui.
Si parla, per violazioni ‘minori’, di multe fino a 10 milioni di €, o per le aziende, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se superiore, per violazioni ‘maggiori’ si parla invece di sanzioni fino a 20 milioni di € o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Conclusioni

Insomma, tirando un po’ le somme, il mio consiglio, che non sostituisce assolutamente quello di una figura legale, è quello di rivalutare tutti i sistemi che si utilizzano per la raccolta e la manipolazione dei dati personali, controllare i consensi ricevuti ed eliminare tutti quei dati che sono stati raccolti senza consenso e di conformare il sito web al nuovo regolamento entro il 25 maggio 2018.

Infine consiglio di scaricare da questo link il Regolamento ufficiale e di richiedere la consulenza di una figura legale competente in quanto ogni azienda è una realtà a sé stante che richiede una valutazione personalizzata.

Proteggere il tuo sito con il protocollo https

Mai sentito parlare di protocollo HTTPS e certificazione TLS/SSL?

Quando un browser tenta di accedere a un sito web, normalmente la connessione tra i due funziona in chiaro:
di conseguenza è tecnicamente possibile, per un utente terzo, effettuare una procedura di “sniffing” o spionaggio dei dati tramite un attacco man-in-the-middle.
Per arginare questi rischi, le transazioni online vengono solitamente protette con il protocollo SSL,
che garantisce protezioni da eventuali letture esterne non autorizzate.
Il certificato SSL/TLS serve a dimostrare che il browser è connesso con il sito reale e non con uno fasullo.
Solitamente i browser notificano l’abilitazione del protocollo cambiando colore della barra dell’indirizzo o con un’icona apposita fianco dell’indirizzo stesso.

Protocollo HTTPS perchè adeguarsi alla normativa 2017

Definiamo HTTPS ed SSL.
HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer) è un protocollo per la comunicazione sicura su internet che protegge la riservatezza dei dati scambiati tra computer e siti web.
I dati inviati utilizzando HTTPS vengono tutelati mediante il protocollo TLS che fornisce diversi livelli di protezione.
Li citiamo tutti in una lista:

  1. crittografia: HTTPS cripta i dati scambiati per proteggerli dalle intercettazioni da parte di ‘ospiti indesiderati’, questo significa che l’utente potrà visitare il sito web
    in tutta sicurezza senza il pericolo che qualcuno tenga traccia delle attività svolte su di esso.
  2. integrità dei dati: i dati scambiati non potranno essere modificati o danneggiati senza essere rilevati.
  3. autenticazione: gli utenti sono sicuri di comunicare con il sito web previsto. In parole povere, protegge da attacchi ‘man in the middle’ (in italiano ‘uomo nel mezzo’)
    cioè attacchi informatici in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro.
Le principali differenze con HTTPS

Le URL del protocollo HTTPS iniziano con https:// ed utilizzano una diversa porta di comunicazione, 443, mentre le URL HTTP iniziano con http:// ed utilizzano la porta 80.
HTTP non è criptato ed è quindi vulnerabile su ogni punto elencato in precedenza. HTTPS non è considerato come un protocollo separato da HTTP, ma si riferisce appunto all’utilizzo di HTTP
attraverso una connessione criptata SSL/TSL. Questo titpo di comunicazione criptata garantisce la sola conoscenza dei dati scambiati da parte del client e del server.

Implicazioni SEO

L’utilizzo di protocollo HTTPS ha impatto anche sulla SEO.
Matt Cutts di Google ha annunciato piani direzionati ad includere il protocollo SSL nell’algoritmo che determina il posizionamento dei siti web.
In sostanza Google premierà i siti web sicuri, posizionando probabilmente i contenuti sicuri più in alto rispetto a quelli non sicuri.

Come sapere se un sito utilizza un protocollo sicuro

Il browser stesso segnala se un sito è sicuro.
Osservando la barra della url del sito noteremo che sulla sinistra apparirà un iconcina con lucchetto verde in caso di navigazione su sito sicuro oppure un’iconcina di info nel caso di navigazione non sicura.