Cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

La legislazione punta a dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”: con questa finalità, stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.

Ogni organizzazione deve documentare e monitorare le attività di trattamento dei dati personali.

In quanto titolare del trattamento, ogni organizzazione deve registrare e monitorare le attività di trattamento dei dati personali. Ciò include i dati personali trattati non soltanto all’interno dell’organizzazione, ma anche da terzi – i cosiddetti responsabili del trattamento.

Tra i responsabili del trattamento ci possono essere figure di diversa natura, dai fornitori di Software-as-a-Service ai servizi incorporati appartenenti a terzi parte, che tracciano e profilano i visitatori del sito web dell’organizzazione.

Sia i titolari che i responsabili del trattamento devono essere in grado di rendere conto delle tipologie di dati trattati, dello scopo della loro elaborazione, così come dei paesi e delle terze parti a cui i dati vengono trasmessi.

Se i dati personali sono inviati a organizzazioni o giurisdizioni che non rientrano nel campo di applicazione del GDPR o che non vengono considerati “adeguati” dal GDPR stesso, è necessario che l’utente sia informato in modo specifico su di questo e sui rischi a ciò connessi.  

Tutti i consensi devono essere registrati come prova del fatto che il consenso è stato prestato.

Il 4 maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida sul consenso valido ai sensi del GDPR.

Il consenso valido deve essere un’indicazione libera, specifica, informata e inequivocabile delle intenzioni dell’utente, vale a dire un’azione chiara e affermativa da parte di quest’ultimo.

Le linee guida dell’EDPB chiariscono che lo scorrimento o la continuazione della navigazione su un sito web non costituisce un consenso valido e che i cookie banner non possono avere caselle preselezionate.

Anche i cookie wall (consenso forzato) sono giudicati non conformi. 

L’EDPB, massima autorità di controllo responsabile dell’applicazione del GDPR in tutta l’UE, è composto dai rappresentanti delle autorità di protezione dei dati di ogni paese membro dell’UE. Le sue linee guida e le sue decisioni sono alla base dell’attuazione del GDPR a livello nazionale.

Per saperne di più sulle linee guida dell’EDPB sul consenso valido, leggi qui.

Ogni individuo ha ora il “diritto alla portabilità dei dati”, il “diritto a un migliore accesso ai propri dati”, insieme al “diritto all’oblio”, e può revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento deve cancellare i dati personali dell’interessato se non sono più necessari allo scopo per il quale sono stati raccolti.

In caso di violazione dei dati, l’azienda deve essere in grado di informare le autorità di protezione dei dati e le persone interessate entro 72 ore.

Inoltre, il GDPR prevede l’obbligo per le amministrazioni pubbliche, le organizzazioni con più di 250 dipendenti e le imprese che trattano dati personali sensibili su larga scala, di assumere o formare un responsabile della protezione dei dati (RPD). L’RPD deve adottare misure per garantire la conformità al GDPR in tutta l’organizzazione.

Per quanto riguarda la Brexit, il governo britannico, dopo il periodo di transizione in cui le leggi dell’UE sono ancora in vigore, prevede di introdurre una legislazione equivalente che ricalchi sostanzialmente il GDPR europeo e che prenderà il nome di UK-GDPR.

Non sei sicuro che il tuo sito web sia conforme al GDPR? Verificalo gratuitamente con Cookiebot™.

Cosa comporta il GDPR per il mio sito web?

Se il tuo sito web è rivolto a cittadini dell’UE e tu – o servizi incorporati di terze parti come Google e Facebook – state elaborando dati personali di qualsiasi genere, è necessario ottenere il consenso preventivo da parte del visitatore.

Per ottenere un consenso valido, prima di procedere al trattamento dei dati personali, sei tenuto ad indicare al visitatore l’entità e le finalità di tale trattamento, utilizzando un linguaggio chiaro e accessibile.

Queste informazioni devono essere sempre consultabili dal visitatore, ad esempio come parte della tua informativa sulla privacy. Devi inoltre fornire al visitatore la possibilità di modificare o ritirare il consenso in modo semplice.

Non solo tutti i consensi devono essere conservati come prova, ma tutte le attività di tracciamento dei dati personali, anche da parte di servizi di terzi incorporati, devono essere documentate, indicando verso quali paesi vengono trasmessi i dati.

Visita la pagina informativa dell’UE sulla riforma delle leggi sulla protezione dei dati.

Dai un’occhiata anche alla loro infografica Protezione dei dati – Norme migliori per le piccole imprese.

In che modo Cookiebot™ ti può aiutare

Utilizzando la CMP Cookiebot™, è possibile automatizzare la conformità al GDPR del tuo sito web per quanto riguarda i criteri relativi al tracking e al consenso.

Cookiebot™ ti permette di monitorare e documentare qualsiasi tipo di tracciamento sul tuo sito internet, di presentare informazioni rilevanti ai visitatori del tuo sito e di ottenere e documentare automaticamente tutti i consensi degli utenti.

Qual è la definizione di dati personali?

Il GDPR definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Gli identificativi online come gli indirizzi IP vengono ora considerati dati personali, a meno che non vengano anonimizzati.

Anche i dati personali pseudonimizzati sono soggetti al GDPR se, tramite la cosiddetta ingegneria inversa, è possibile identificare a chi a appartengono.

GDPR: multe e sanzioni

Le organizzazioni inadempienti rischiano di incorrere in pesanti sanzioni pari a un massimo di 20 milioni di euro, o al 4% del fatturato annuo globale dell’organizzazione, a seconda di quale dei due importi è più alto.

Checklist GDPR: 6 cose da fare

1. Preparare l’organizzazione

Far conoscere alle parti interessate in tutta la tua organizzazione i requisiti del GDPR. Formare i dipendenti in materia di sicurezza informatica, “privacy by design” e “privacy by default”. Designare un Responsabile della Protezione dei Dati (o DPO, dall’inglese Data Protection Officer) ove richiesto, ovvero se si impiegano più di 250 persone.

2. Effettuare l’audit dei dati

Assicurarsi di sapere dove sono custoditi tutti i dati, chi ne ha accesso e su quali dispositivi. Identificare dove vengono elaborati i dati personali, anche in presenza di responsabili del trattamento riconducibili a terze parti. Documentare i criteri di liceità del trattamento e mantenere aggiornate le presenti informative sulla privacy.

3. Controllare i partner di servizi

Accertarsi che i partner di servizi, ovvero per esempio i servizi di terze parti incorporati sul tuo sito o i fornitori di Software-as-a-Service, siano a loro volta conformi al GDPR o dipendano da un’altra giurisdizione riconosciuta ufficialmente per quanto riguarda il trattamento dei dati.

4. Ottenere il consenso

Implementare metodi finalizzati a richiedere, ottenere e documentare il consenso per garantire la conformità al regolamento. Mantenere un registro preciso di ciò a cui ogni interessato ha acconsentito e fornire a ciascuno di loro la possibilità di modificare o revocare il consenso.

5. Rispondere ai diritti relativi ai dati

Mettere in atto procedure che consentano alla tua organizzazione di rispondere ai diritti dell’interessato, ovvero l’accesso ai dati, la loro rettifica e la loro cancellazione. Documentare come tali diritti saranno esercitabili dalla prospettiva sia dei clienti che dei dipendenti.

6. Prepararsi ai data breach

Assicurarsi dell’esistenza di procedure per individuare, investigare e segnare le violazioni dei dati personali rispettando la tempistica massima di 72 ore prevista dal GDPR per la notifica.

GDPR: conformità e requisiti

Corsi, Formazione e Certificazione GDPR

È possibile ottenere le qualifiche di “EU GDPR Foundation” (EU GDPR F) e “EU GDPR Practitioner” (EU GDPR P), entrambe accreditate ISO 17024, con vari corsi tenuti, ad esempio, da IT Governance, o dalla International Association of Privacy Professionals (IAPP), che fornisce a sua volta una formazione online.

Software per la conformità al GDPR

Ci sono numerosi toolkit, framework e soluzioni software che possono esserti d’aiuto per conformarti al GDPR, come Responsum, che ti assiste nel rendere il tuo trattamento dei dati personali conforme alla legge. 

Cookiebot™ può aiutarti ad automatizzare la gestione dei consensi degli utenti sul tuo sito e a documentare i cookie e le altre modalità di tracciamento utilizzate.