L’Unione Europea sta per introdurre il nuovo regolamento sulla privacy, meglio noto come GDPR – General Data Protection Regulation. Le nuove regole allineeranno la legislazione dei diversi stati europei in materia di protezione dei dati, daranno nuovi diritti agli individui e andranno a impattare sull’attività di numerose imprese.

Il 25 maggio 2018 entrerà pienamente in vigore il GDPR, ovvero il Regolamento europeo 679/2016 emanato circa due anni fa. La prima volta che è stato proposto ha fatto storcere il naso a diversi osservatori della Silicon Valley, che temevano un approccio troppo restrittivo che avrebbe ridotto la competitività delle aziende. Con il tempo si è invece compreso che le nuove regole europee sulla privacy andavano nella giusta direzione e potrebbero diventare uno standard a livello globale.

Non mancano le preoccupazioni soprattutto di pubbliche amministrazioni e aziende: come dovranno prepararsi e adeguarsi al GDPR? Molte attività si trovano ancora impreparate. Vediamo di seguito in che cosa consiste il nuovo regolamento, che cosa cambia e che cosa devono fare le imprese.

Il regolamento GDPR in sintesi

Prima di entrare nel dettaglio vediamo che cosa è il General Data Protection Regulation e quali sono le principali novità che apporta.

• Il GDPR è un nuovo regolamento europeo che aggiorna e armonizza le leggi dei diversi stati europei in materia di raccolta, conservazione, elaborazione e utilizzo dei dati nell’Unione Europea.
• Dà ai cittadini il potere di controllare quali dati fornire e conoscere quali sono detenuti da terzi (aziende, pubbliche amministrazioni, ecc.).
• Richiede a chiunque raccolga dati di ottenere il consenso esplicito dell’utente per la raccolta e l’elaborazione di tali dati.
• I cittadini possono ritirare il loro consenso sull’uso di dati personali e sensibili.
• Gli enti che non sono conformi al GDPR sono soggetti a un quadro sanzionatorio che può andare da una mera diffida amministrativa a sanzioni fino a 20 milioni di euro o al 4% del fatturato, a seconda di quale sia maggiore.

GDPR: quali sono i dati personali e sensibili

Il General Data Protection Regulation all’art.4 definisce così i dati personali:

qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Tra i dati personali il GDPR prevede un trattamento specifico per le categorie “particolari” di dati personali, tra cui i cosiddetti “dati sensibili”. I dati sensibili possono rivelare:

• l’origine razziale o etnica;
• le opinioni politiche;
• le convinzioni religiose o filosofiche;
• l’appartenenza sindacale;
• dati genetici, biometrici e relativi alla salute;
• dati relativi alla vita sessuale o all’orientamento sessuale della persona.

Due principi fondanti

Il GDPR mette al centro gli utenti e questa dovrebbe essere la priorità per qualsiasi progetto in materia di privacy. Introduce quindi due principi:

• protezione dei dati fin dalla progettazione;
• protezione per impostazione predefinita.

Il primo principio decreta la più importante novità del nuovo regolamento: la tutela della privacy non è una semplice questione di richiesta di consenso al trattamento, ma deve avere alla base una progettualità che mette al centro la difesa dei dati personali e sensibili delle persone. Il titolare del trattamento dei dati deve mettere quindi in atto misure tecniche e organizzative adeguate a tutelare i diritti degli interessati.

Il secondo principio è una novità altrettanto importante: occorre che siano trattati solo i dati personali necessari per ogni specifica finalità. Gli enti dovranno insomma raccogliere e trattare la minor quantità possibile di informazioni e solo per il tempo strettamente necessario.

Come fare per adeguarsi al GDPR

La nuova normativa sulla privacy è piuttosto lunga e in parte complessa, per cui il processo di adeguamento sarà diverso per ogni singola realtà. Per questo invitiamo ogni ente e azienda ad approfondire direttamente sul Regolamento generale della Protezione dei dati e nel caso a rivolgersi a un consulente.

Il GDPR prevede tra l’altro una importante distinzione tra grandi imprese da un lato e medie, piccole e micro imprese dall’altro. Il regolamento prevede una deroga per le imprese che hanno meno di 250 dipendenti, alle quali non si applicano gli obblighi del paragrafo 1 e 2 dell’articolo 30 , che riguarda i registri delle attività di trattamento.

Un primo passo per adeguarsi al GDPR consiste nell’adattamento delle comunicazioni relative alla privacy:

• redigere una nuova informativa che si adatti al nuovo regolamento;
• riadattare i documenti cartacei e digitali riguardanti il trattamento dei dati;
• modificare o sostituire eventuali plugin relativi al trattamento dei dati personali.

Occorre fare poi una checklist di tutti quegli strumenti di lavoro che prevedono un utilizzo di dati personali, ad esempio:

• la tua attività utilizza un software ERP per le imprese?
• Gli utenti possono iscriversi ad una newsletter?
• Il tuo sito ha un form di contatti?
• Hai un blog in cui le persone possono commentare?

In tutti i casi elencati sopra come esempio stai di fatto raccogliendo dati attraverso il tuo sito o la tua attività. Dovrai ottenere quindi un consenso informato per il trattamento dei dati personali e l’eventuale utilizzo a fini commerciali.

Come richiedere il consenso secondo il GDPR?

Per ogni finalità di utilizzo, il consenso deve essere richiesto separatamente: non può essere accettato in blocco.

Sia che si tratti di documenti cartacei che di moduli online, i vari punti in cui si chiede il consenso non possono essere preflaggati.

Il consenso deve essere esplicito. Non è valido ad esempio accettare i cookie di un sito  con il solo scroll della pagina web. Se il tuo sito prevedeva questa opzione, dovrà essere disattivata.

Trattamento e protezione dei dati

Un aspetto di questa normativa riguarda lo step successivo alla ricezione del consenso al trattamento dei dati, ossia la protezione dei dati stessi.

Il titolare del trattamento dovrà conservare i dati al sicuro, oltre che utilizzarli solo per le finalità per cui ha ricevuto il consenso. Sarà importante utilizzare archivi e server protetti. L’articolo 33 prevede regole specifiche in caso di violazione, che includono una comunicazione entro 72 ore all’autorità di controllo.

Gli enti non devono infine trascurare un aspetto importante della norma, quello relativo ai diritti degli utenti che hanno dato il consenso al trattamento dei dati. Il GDPR prevede i seguenti diritti:

• di accesso ai dati personali;
• di rettifica;
• alla cancellazione (diritto all’oblio).

I plugin di WordPress per le nuove regole sulla privacy GDPR

Si può ottenere la GDPR compliance del proprio sito web con un semplice plugin? Purtroppo no, ma ci sono alcuni plugin WordPress che possono darti un importante aiuto. Basta dare un’occhiata al sito ufficiale di WordPress per vedere che già esistono decine di plugin, sia completamente gratuiti sia freemium.

Tra i plugin gratuiti più completi c’è Ginger – EU Cookie Law, sviluppato da Manafactory. Ideato inizialmente per la sola normativa relativa ai Cookie, è stato aggiornato per adeguarsi al General Data Protection Regulation. Può essere una soluzione ottimale per il tuo sito, ma è sempre opportuno avvalersi del consiglio di un consulente specializzato per avere la certezza di avere un sito web GDPR compliant.