logo R&P

Situazione Legge sulla Privacy - GDPR n. 679/2016

Acronimi:
RPD - Responsabile Protezione Dati
DPO - Data Protection Officer
GDPR - General Data Protection Regulation, ovvero il Regolamento sulla Protezione dei Dati.

25/05/2018 - Diventa definitivamente applicabile il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali. (art. 99 par.2 GDPR)

21/03/2018 – Il Consiglio dei Ministri approva in via preliminare il testo provvisorio dello schema di provvedimento per l’aggiornamento della normativa attuale sulla Privacy (D.L. 196/2003) per l'allineamento con il Regolamento UE.
Lo schema di decreto delegato approvato dovrà essere inviato alle Commissioni parlamentari appena costituite per il parere e al Garante per acquisire il parere della Autorità. Avuti i pareri indicati il Governo potrà procedere alla definitiva approvazione del decreto delegato rispettando così i termini della delega e assicurando che anche l’Italia sia pienamente aderente con la sua legislazione interna al GDPR.

24/05/2016 - Entra in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali.
Il testo - pubblicato sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) il 04/05/2016 - diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Il Regolamento è parte del cosiddetto Pacchetto protezione dati, e comprende anche la Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
La Direttiva, pubblicata in GUUE insieme al Regolamento e vigente dal 05/05/2016, dovrà essere recepita dagli Stati membri entro 2 anni.

DOCUMENTI DI RIFERIMENTO:
- 22 Febbraio 2018 - Provvedimento n. 121 del Garante per la protezione dei dati personali
- Febbraio 2018 - Guida sintetica del Garante per la protezione dei dati personali sul nuovo Regolamento Ue
- 27 Aprile 2016 - Regolamento UE 2016/679 per la protezione dei dati personali (GDPR)

 

Il Regolamento è direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione europea e non richiede una legge di recepimento nazionale.

Come sopra riportato il Regolamento UE è diventato definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, data a partire dalla quale deve essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati (D.L. 30/06/2003 n. 196) e le disposizioni del Regolamento, in particolare relativamente a:

  • abrogare le disposizioni del Decreto Legislativo 196/2003 (l’attuale Codice Privacy) che siano in contrasto o comunque incompatibili con la nuova disciplina europea in tema di trattamento di dati personali;
  • modificare le norme del Codice Privacy al fine di dare puntuale attuazione alle disposizioni del Regolamento;
  • coordinare le disposizioni vigenti del Codice Privacy con i principi introdotti dal Regolamento;
  • valutare l’opportunità di avvalersi dei poteri specifici del Garante per la protezione dei dati personali affinché adotti provvedimenti attuativi e integrativi volti al perseguimento delle finalità previste dal Regolamento;
  • adeguare l’attuale regime sanzionatorio, a livello penale e amministrativo, alle disposizioni del Regolamento, al fine di garantire la corretta osservanza della nuova normativa.

IL GDPR E I SITI WEB

Quale è lo scopo del GDPR?

Il GDPR va a sostituire la vecchia Direttiva UE e ha lo scopo di rafforzare e rendere omogenea la protezione dei dati personali dei cittadini dell’UE dentro e fuori l’Unione.

Scopo di questa legge:

  • tutela i cittadini europei che prestano il loro consenso al trattamento dei dati personali
  • regolamenta in maniera più uniforme l’aspetto della privacy nelle diverse città europee.
  • rende più consapevoli gli utenti del web che i propri dati sono una merce che ha un determinato valore.

A chi è rivolta la legge?

Attività commerciale/professionale
Si applica a qualsiasi sito web che raccoglie dati personali per attività legate ad una attività commerciale/professionale.

Persone fisiche
Questa normativa non riguarda il trattamento dei dati personali se effettuato da persona fisica nel caso effettui attività non legate ad una attività commerciale/professionale. (art.2 par.2/c GDPR)

Interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE.

In questo nuovo contesto europeo, l’aspetto più importante per i siti web è il trattamento dei dati personali degli utenti.

Chi deve intervenire?
  • Il webmaster/sviluppatore dovrà normalizzare TECNICAMENTE il sito web affinché risponda ai requisiti di legge.
  • I proprietari del sito dovranno vigilare nel tempo per rispondere (oltre che nel caso di eventuali provvedimenti disciplinari) dei dati raccolti nei confronti dell’utenza.


Sanzioni

La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.
(art. 83 par.6 GDPR)

Il Garante della Privacy, con il Provvedimento n. 121 del 22 febbraio 2018, ha fornito alcune preliminari indicazioni volte a contribuire alla corretta applicazione del Regolamento, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato unico.
Nello stesso provvedimento il Garante chiarisce che, dato che la delega per l'attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata esercitata e il conseguente decreto legislativo non è stato emesso, si ritiene opportuno differire l'applicazione del provvedimento fino a sei mesi dall'entrata in vigore del predetto decreto, salvo diversa determinazione del Garante.
(Provvedimento n.121)

Dati personali ed Elaborazione dei dati
  • Dati personali: si intende qualsiasi informazione riguardante una persona fisica, e quindi sono tutte le informazioni fornite dall’utente (nome, cognome, foto, indirizzo e-mail, dati bancari, indirizzo di residenza, etc) nei campi input di un form e tutte le informazioni dedotte per mezzo di codice (indirizzo IP, provenienza geografica, etc)
  • Elaborazione dei dati: si intende qualsiasi operazione avvenuta sui dati ovvero, quando, a partire dai dati dell’utente, si effettuano dei meccanismi di integrazione delle informazioni raccolte su più servizi per incrementare le informazioni associate al dato di un singolo utente (es. google analytics tramite cookie, ecc.).

Principi del GDPR

TITOLARE PER IL TRATTAMENTO DEI DATI
Il regolamento indica ogni proprietario del sito come titolare per il trattamento dei dati: viene infatti introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel modo migliore possibile la sicurezza dei dati raccolti e di dimostrare all’Ente di controllo l’utilizzo di tecniche adeguate alla natura dei dati.
Il titolare ha l’obbligo di comunicare al Garante, entro 72 ore, eventuali violazioni dei dati personali riscontrate. Se poi la violazione rappresenta una minaccia per le persone coinvolte, avrà l’obbligo di comunicare il fatto agli interessati.

DATA PROTECTION OFFICER (DPO)
Il regolamento introduce anche una nuova figura aziendale: il Data Protection Officer, ovvero il responsabile della protezione dei dati. Il DPO dovrà assicurare la gestione corretta dei dati da parte dell’azienda. Il DPO deve essere indipendente dal titolare del trattamento e avere autonomia decisionale.

La nomina è obbligatoria solo nel caso che:
  • il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico;
  • oppure esista un monitoraggio regolare e sistematico degli interessati su larga scala;
  • oppure esista un trattamento, su larga scala, delle categorie particolari di dati personali;
  • oppure il trattamento sia relativo a condanne penali e reati.


CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
Il nuovo GDPR prevede anche una normativa più chiara in merito al consenso al trattamento dei dati personali: il consenso e la finalità per cui i dati vengono utilizzati, devono essere espressi con chiarezza. In più, chi acconsente ai dati, ha diritto a chiedere (e ottenere) la cancellazione dei dati, la rettifica o la limitazione del loro utilizzo.
Quindi il consenso fornito dagli utenti del sito web deve essere essenzialmente informato ed esplicito.

Questo significa che, tutti i visitatori del sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.


REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
Il regolamento stabilisce l’obbligo per il titolare (cioè chi è responsabile delle misure tecniche e organizzative e dell'adeguamento al GDPR, ed è responsabile per il risarcimento del danni, art. 24 GDPR), di predisporre un registro delle attività di trattamento, dove specificare le finalità della raccolta dati, le categorie di dati personali e di soggetti interessati, le misure di sicurezza adottate, ai fini della trasparenza e del rispetto del diritto di accesso ai dati da parte degli utenti.

Cosa fare per mettersi in regola

  • analizzare tutti i modi con cui si raccolgono i dati personali degli utenti;
  • capire se i dati trattati richiedano una valutazione d’impatto sulla protezione dei dati prima del trattamento (art.35 GDPR);
  • modificare la propria privacy policy presente sul sito, rivedendola alla luce della nuova normativa europea in tema di dati personali;
  • chiedere sempre il consenso esplicito all'uso dei dati personali dei propri utenti;
  • prevedere eventuali rischi di fuga dei dati;
  • notificare eventuali fughe dei dati (e quindi avere sempre una copia dei dati);
  • prevedere strumenti per consentire agli utenti di controllare (aggiornare, rimuovere o scaricare) i loro dati;
  • modificare la normativa estesa sui cookie;

Consenso esplicito all’uso dei dati

Pur se ribadito dal GDPR n.679/2016 questo aspetto deve essere già in regola, dato che sono anni che è normalizzato.

La normativa prevede che il Consenso debba essere “informato, libero e specifico”.

  • Informato: nel senso che deve essere presente una informativa che l’utente ha potuto visionare semplicemente
  • Libero: nel senso che deve essere fornito su base volontaria e non può essere “estorto” o “sottinteso”.
  • Specifico: il consenso viene rilasciato ad uno specifico titolare, per un determinato argomento e per una determinata forma e frequenza di comunicazione.
In ogni form presente sul sito in cui si raccolgono dati di un utente è necessario che l’utente stesso contrassegni una casella (checkbox) con il consenso (es. Si ho letto la normativa sulla privacy e l’accetto) al trattamento dei dati. Se non viene segnata l’opzione, il form NON deve inviare i dati (art. 4 par.11 GDPR)

Ogni trattamento dei dati deve avere un consenso separato (quindi un checkbox separato). Ossia, ogni checkbox deve essere accompagnato da una spiegazione esauriente riguardante il trattamento e i riferimenti basilari all'informativa privacy.

I checkbox NON devono essere preselezionati.

STRUMENTI DI EMAIL MARKETING: NEWSLETTER
Per gli strumenti di Email Marketing, il problema principale che si potrebbe verificare per molti è il possesso di un database di contatti che è stato raccolto senza avere il consenso esplicito ed informato degli interessati.

Chi si trova in questa situazione, considerato che il GDPR ha un effetto c.d. “retroattivo” e che non può più conservare questi dati perchè privi di un consenso valido, o li elimina oppure invia ai propri iscritti un’apposita campagna con cui richiede l’aggiornamento dei dati e contestualmente il consenso al trattamento degli stessi ai sensi del nuovo regolamento europeo GDPR.

Il consenso raccolto prima del 25 Maggio 2018 resta valido SOLO se ha tutte le caratteristiche richieste dal GDPR.
Al riguardo, è necessario utilizzare un tool per l’email marketing che consenta ai contatti che si sono iscritti alle liste, di cancellarsi in qualsiasi momento e di modificare il loro profilo attraverso una comoda interfaccia web.

Raccolta dei dati, elaborazione e conservazione

Per rispettare gli obblighi di raccolta, elaborazione e conservazione dei dati dobbiamo focalizzarci su tre aspetti:
  • Diritto di accesso: ovvero sulla possibilità degli utenti di accedere ai propri dati personali.
  • Diritto all’oblio: diritto degli utenti di chiedere la cancellazione dei loro dati.
  • Portabilità dei dati: ovvero la possibilità degli utenti di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro.

Normativa sulla privacy (policy privacy)

La pagina sulla privacy deve già contenere queste informazioni, nel GDPR n.679/2016 vengono ribadite ma se siete attività commerciale e non le avete già ad oggi non siete in regola.

Nella normativa sulla privacy è necessario specificare:
  • Chi è il responsabile dei dati personali raccolti e dove vengono immagazzinati (che dovrebbe corrispondere con la sede dell’attività) (art.4 par.16 GDPR)
  • La finalità dei dati che raccogliete (art. 5 par.1 GDPR)
  • Che la finalità dei dati raccolti siano legittime (ovvero se fornisco i miei dati per ricevere una newsletter di un determinato prodotto non mi devono arrivare informazioni su tutt'altro prodotto) (art. 5 par.1/b GDPR)
  • Dopo un determinato periodo di tempo i dati personali vengono cancellati (il lasso temporale è definito come non più lungo del necessario e va specificato) (art. 5 par.1/e GDPR)
  • i dati personali inesatti devono poter essere rettificati e/o cancellati su richiesta dell’utente (art.17 GDPR)
  • Che l’interessato, se i dati vengono registrati, può accedere direttamente per eventuale modifica in maniera gratuita, solo dopo verifica dell’effettiva identità dell’interessato (art. 15 GDPR)
  • Che i dati personali sono protetti dal furto (art. 5 GDPR)
  • Se i dati vengono ceduti a terzi è necessario specificare a chi (art. 13 GDPR)
  • Che se i dati vengono utilizzati ai fini di marketing che il diretto interessato si può opporre al trattamento in qualsiasi momento e in forma gratuita. (art. 21 GDPR)
  • Che se raccogliete i dati di minori di anni 16 è necessario il consenso dell’autorità genitoriale (art. 8 par.1 GDPR)

Normativa estesa sui cookie

La più grande differenza per i cookie in relazione al GDPR è costituita dal fatto che il consenso deve tradursi in una chiara azione affermativa degli utenti sia nel caso in cui il consenso venga fornito, sia nel caso di rifiuto dello stesso consentendo però, allo stesso tempo, la continuazione della navigazione del sito.

Non tutti i cookie sono considerati dati personali. In altre parole: solo se i cookie possono essere utilizzati per identificare un individuo sono considerati dati personali nel GDPR.
  • cookie di profilazione: se si utilizzano cookie che contengono dati personali diretti o dati potenzialmente collegabili per identificare o rintracciare una persona (cookie di profilazione), si deve rivedere il consenso sui cookie alla luce della nuova normativa europea.
  • cookie tecnici: se si dispone, di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non si è soggetti al GDPR ma si applicheranno le normative precedenti (Cookie Law). 
Un esempio parlando di uno dei servizi più utilizzati dalla maggior parte dei siti web: Google Analytics.
Usare Google Analytics non anonimizzato (ovvero senza mascherare l’indirizzo IP) significa che tramite i cookie di Analytics presenti sul sito web si sta memorizzando l’IP dei visitatori.
In questo caso particolare si stano elaborando dati personali degli utenti ed è qui che entra in gioco il GDPR.

Notificare le violazioni

Se il sito, per qualsiasi motivo subisce una violazione dei dati, entro 72 ore è necessario comunicarla ai propri utenti.
Questo significa che è necessario monitorare costantemente e rendere sicuro il sito web.

SOLUZIONE
  • scegliere un hosting web sicuro in modo da essere sempre in grado di rilevare e bloccare le ultime minacce presenti sul web.
  • installare un certificato di sicurezza SSL, ovvero sistema che consenta di avere un traffico crittografato da e verso il proprio sito web. In questo modo le informazioni personali inviate tramite i moduli del proprio sito web passeranno dal browser al server web in forma criptata e nessuno sarà in grado di intercettare i tuoi dati.
  • avere un sistema sicuro di backup giornaliero.