Perché è stato creato il GDPR?
La legislazione punta a dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando i “diritti e le libertà fondamentali delle persone fisiche”. Con questa finalità, il regolamento stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione e il consenso degli utenti per le organizzazioni che elaborano dati personali nell’Unione Europea.
Le organizzazioni devono tenere traccia, monitorare e avere una base legale valida per le attività di trattamento dei dati personali.
In quanto titolare del trattamento, ogni organizzazione deve tenere traccia,monitorare e avere base legale per le attività di trattamento dei dati personali. Ciò include i dati personali trattati non soltanto all’interno dell’organizzazione, ma anche dai responsabili del trattamento, ossia le terze parti che processano i dati personali per il titolare del trattamento dei dati.
Tra i responsabili del trattamento ci possono essere figure di diversa natura, dai fornitori di Software-as-a-Service (SaaS) ai servizi incorporati appartenenti a terze parti, che tracciano e profilano i visitatori del sito web dell’organizzazione.
Sia i titolari che i responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, così come dei paesi e delle terze parti a cui i dati vengono trasmessi.
Se i dati personali vengono inviati a organizzazioni o regioni del mondo che non rientrano nella giurisdizione del GDPR o che non vengono considerati “adeguati” per la privacy dei dati dal GDPR stesso, è necessario che gli utenti siano informati in modo specifico in merito a ciò e ai rischi connessi.
Tutti i consensi devono essere registrati e archiviati in modo sicuro come prova del fatto che il consenso è stato prestato.
Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida sul consenso valido ai sensi del GDPR.
Il consenso valido di un individuo deve essere un’indicazione libera, specifica, informata e inequivocabile delle intenzioni dell’utente, vale a dire un’azione chiara e affermativa da parte di quest’ultimo.
Le linee guida dell’EDPB chiariscono che lo scorrimento o la continuazione della navigazione su un sito web non costituisce un consenso valido e che i cookie banner non possono avere caselle preselezionate.
Anche i cookie wall (consenso forzato) sono stati giudicati non conformi.
L’EDPB è la massima autorità di controllo per l’applicazione del GDPR in tutta l’UE. È composto da rappresentanti delle autorità di protezione dei dati di ogni paese membro dell’UE. Le sue linee guida e le sue decisioni sono alla base dell’attuazione del GDPR a livello nazionale.
Per saperne di più sulle linee guida dell’EDPB sul consenso valido, leggi qui.
Ogni individuo ha una serie di diritti previsti dal GDPR, inclusi i diritti “alla portabilità dei dati”, “di accesso ai dati”, “all’oblio” e molti altri. Gli individui possono revocare il proprio consenso in qualsiasi momento e questo deve essere facile quanto fornirlo in prima battuta. In tali casi, il titolare del trattamento deve smettere di elaborare dati personali non appena viene ricevuta la richiesta e cancellare i dati personali dell’interessato se non sono più necessari allo scopo per il quale sono stati raccolti.
In caso di violazione dei dati, l’organizzazione deve informare le autorità di protezione dei dati e le persone interessate entro 72 ore.
Il GDPR prevede inoltre l’obbligo per le amministrazioni pubbliche, le organizzazioni con più di 250 dipendenti e le imprese che trattano dati personali sensibili su larga scala, di assumere o formare un responsabile della protezione dei dati (RPD). L’RPD deve adottare misure per garantire e mantenere la conformità al GDPR in tutta l’organizzazione.
Come faccio ad essere conforme al GDPR?
Se il tuo sito web ha visitatori o clienti dall’UE – o servizi incorporati di terze parti come Google e Facebook – e tu stai elaborando dati personali di qualsiasi genere, è necessario ottenere il consenso preventivo da parte del visitatore.
Per ottenere un consenso valido, prima di procedere al trattamento dei dati personali, sei tenuto a spiegare l’entità e le finalità di tale trattamento, utilizzando un linguaggio chiaro e accessibile.
Queste informazioni devono essere sempre consultabili dal visitatore, ad esempio come parte della tua informativa sulla privacy. Devi inoltre rendere facile ai visitatori modificare o rimuovere il consenso.
Non solo tutti i consensi devono essere conservati come prova, ma tutte le attività di tracciamento dei dati personali, anche da parte di servizi di terzi incorporati, devono essere documentate e archiviate in modo sicuro, indicando anche verso quali paesi vengono trasmessi i dati.
Protezione dei dati – Norme migliori per le piccole imprese.
In che modo Cookiebot CMP ti può aiutare
Utilizzando la CMP Cookiebot™, puoi automatizzare la conformità al GDPR del tuo sito web per quanto riguarda i requisiti di consenso relativi ai tracker e ai cookie.
Cookiebot CMP ti permette di monitorare e documentare qualsiasi tipo di cookie e altre tecnologie di tracciamento sul tuo sito web, di presentare informazioni rilevanti ai visitatori del tuo sito, di ottenere e documentare automaticamente tutti i consensi degli utenti e registrarli in modo sicuro.
Cosa sono i dati personali?
Il GDPR definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Anche gli identificativi online come gli indirizzi IP vengono ora considerati dati personali, a meno che non vengano anonimizzati.
Anche i dati personali pseudonimizzati sono soggetti al GDPR se, tramite la cosiddetta ingegneria inversa, è possibile identificare a chi appartengono.
Data di applicazione del GDPR: 25 maggio 2018
La riforma della protezione dei dati dell’UE è stata adottata dal Parlamento europeo e dal Consiglio europeo il 27 aprile 2016. Il Regolamento generale sulla protezione dei dati è stato pubblicamente in vigore dal 25 maggio 2018, sostituendo la Direttiva sulla protezione dei dati.
GDPR: multe e sanzioni
Le organizzazioni che non sono conformi al GDPR rischiano di incorrere in pesanti sanzioni fino a un massimo di 20 milioni di euro, o al 4% del fatturato annuo globale dell’organizzazione, a seconda di quale dei due importi è più alto, per gravi o ripetute violazioni.
Checklist GDPR: 6 cose da fare
1. Preparare l’organizzazione
Far conoscere alle parti interessate in tutta la tua organizzazione i requisiti del GDPR. Formare i dipendenti in materia di sicurezza informatica, di “privacy by design” e “privacy by default”. Designare un Responsabile della Protezione dei Dati (o DPO, dall’inglese Data Protection Officer) ove richiesto, ad esempio se si impiegano più di 250 persone.
2. Effettuare l’audit dei dati
Assicurarsi di sapere dove sono custoditi tutti i dati che la tua azienda ha raccolto ed elaborato, chi ne ha accesso e su quali piattaforme o dispositivi. Identificare dove e per quali scopi vengono elaborati i dati personali, anche in presenza di responsabili del trattamento riconducibili a terze parti. Documentare i criteri di liceità del trattamento e mantenere aggiornate le informative sulla privacy.
3. Controllare i partner di servizi
Accertarsi che i partner di servizi, ad esempio i servizi di terze parti incorporati sul tuo sito o i fornitori di Software-as-a-Service, siano a loro volta conformi al GDPR o dipendano da un’altra giurisdizione riconosciuta ufficialmente come “adeguata”. Esamina e mappa i flussi di dati internazionali.
4. Ottenere il consenso
Implementare metodi finalizzati a richiedere, ottenere e documentare in modo sicuro il consenso per raggiungere e mantenere la conformità alla privacy. Mantenere un registro preciso di ciò a cui ogni interessato ha acconsentito e fornire a ciascuno di loro la possibilità di modificare o revocare il consenso in qualsiasi momento.
5. Rispondere alle richieste degli interessati ai dati (DSRs)
Mettere in atto procedure che consentano alla tua organizzazione di rispondere tempestivamente alle richieste degli interessati ai dati,, ovvero l’accesso ai dati, la loro rettifica e la loro cancellazione. Documentare come tali diritti saranno esercitabili dalla prospettiva sia dei clienti che dei dipendenti.
6. Prepararsi ai data breach
Assicurarsi dell’esistenza di procedure per proteggersi da una violazione dei dati, ma anche per individuare, investigare e segnalare qualsiasi violazione dei dati personali rispettando la tempistica massima di 72 ore prevista dal GDPR per la notifica.
Risorse
Il Regolamento generale sulla protezione dei dati (GDPR) in formato PDF
Commissione europea: Protezione dei dati personali
Paesi “adeguati” secondo il GDPR
Privacy by Design: i 7 principi fondamentali (in inglese)
Infografica “Protezione dei dati – Norme migliori per le piccole imprese