GDPR: tutto sul Regolamento Generale di Protezione dei dati dei tuoi utenti

Cosa vuol dire GDPR? Quali sono i dati personali secondo il GDPR? Quali sono i rischi in caso di mancato adeguamento al GDPR? Cosa tutela il GDPR?

GDPR

L’acronimo GDPR deriva dall’inglese General Data protection Regulation, ovvero il regolamento Europeo generale sulla protezione dei dati. Il compito della regolamentazione GDPR è descrivere il modo in cui devono essere organizzati e gestiti i dati personali da chi è il titolare del trattamento dati dell’azienda.

È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.

A cosa serve il GDPR?

Il legislatore con l’introduzione del GDPR vuole dare ai singoli individui la possibilità di controllare l’utilizzo dei propri dati personali per garantire una maggior tutela delle persone fisiche nei diritti e libertà fondamentali.

Il GDPR ha requisiti e parametri ben precisi e considerati molto rigorosi dagli operatori web. Ma sono tali proprio per la finalità che ha il GDPR ovvero garantire trasparenza da parte di chi è deputato a trattare i dati.

Quali sono i dati per il GDPR?

Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento anagrafici, di identificazione personale, di localizzazione come IP, indirizzi, identificatori online come gli ID di servizi di terze parti come Google Analytics. Ma anche informazioni reddituali, profilo culturale e informazioni sulla salute e tanti altri.

Chi gestisce il GDPR?

L’EDPB, ovvero la commissione che è responsabile del controllo dell’applicazione del GDPR in Europa che è composta dai rappresentanti dei singoli Paesi che gestiscono il regolamento della privacy nei rispettivi Paesi della UE. Quindi, a livello nazionale gli organi preposti che sono legiferati, coordinati e organizzati dall’EDPB a livello Europeo.

Trattamento dei dati

Il titolare del trattamento dati, deve monitorare e documentare l’attività riguardante i dati personali degli utenti che si mettono in contatto con l’impresa in ogni modo, sia all’interno di essa che relativamente all’utilizzo dei dati che eventuali terze parti ne faranno.

Il responsabile del trattamento dati potrebbe essere diverso da quello dell’impresa stessa, ad esempio potrebbero esserci fornitori di servizi SaaS, di servizi di terze parti presenti nel sito web, come ad esempio cookie di profilazione per tracciare le abitudini di navigazione degli utenti.

In questo duplice caso, entrambi i titolari del trattamento dati devono riuscire a evidenziare e mostrare:

E’ obbligatorio inoltre che venga data una buona comunicazione e informativa all’utente, nel caso in cui i suoi dati personali vengano inviati in Paesi nel quale l’applicazione del GDPR non è considerata e di conseguenza il GDPR non reputa adeguati alla protezione e tutela degli utenti Europei.

Consenso al trattamento dei dati  

I consensi al trattamento dei dati ottenuti dagli utenti vanno registrati proprio a prova del consenso prestato.

A maggio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha stilato e diramato le linee guida relative alla validità del consenso ai sensi del GDPR.

Per essere considerato valido il consenso, deve avere le seguenti caratteristiche:

Molti siti web e operatori di web marketing sono convinti che basti la navigazione del sito web per avere una sorta di consenso esplicito. Secondo l’EDPB non è così. Infatti per le linee guida, anche se un utente continua a navigare nel sito web, non sta effettuando un’operazione che può far considerare valido il consenso.

Il consenso al trattamento dei dati non è valido neanche se i banner dei cookie hanno le caselle già preselezionate. Anche i cookie wall (consenso forzato) sono giudicati non conformi. 

Cosa tutela il GDPR?

Oltre a quanto esposto in precedenza, il GDPR garantisce alla singola persona diversi diritti:

Si può verificare una fuga di dati, come capitò a Facebook ad esempio, e in questo caso il titolare del trattamento dei dati deve comunicare entro 72 ore dal verificarsi della fuga dei dati personali degli utenti, sia gli utenti stessi che l’autorità della protezione dei dati del paese dove si verifica la fuga dei dati.

GDPR Grandi imprese e Pubblica amministrazione

Tali enti e grandi società, hanno l’obbligo di assumere un responsabile per la protezione dei dati degli utenti (RDP). L’RPD deve adottare misure per garantire la conformità al GDPR in tutta l’organizzazione.

Come adeguare il sito web al GDPR?

Innanzitutto ti conviene verificare gratuitamente e in pochi minuti, se il tuo sito web è adeguato o da adeguare al GDPR (qui).

Se gli utenti che navigano le tue pagine web sono residenti in Europa, sia tu che i servizi incorporati come potrebbero essere motori di ricerca o social network (esempio, Google e Facebook); siete tenuti ad ottenere il consenso per il trattamento dei dati.

Il consenso deve essere valido prima di trattare i dati delle persone che accedono al sito web. Devi dare informativa e indicazioni per lo scopo del trattamento dei dati dell’utente usando un linguaggio comprensibile, nella lingua del visitatore e chiaro.

Mancato adeguamento GDPR multe e sanzioni

Qualunque società o organizzazione tenuta all’obbligo di adeguare la propria azienda con il regolamento del GDPR, in mancanza di tale adeguamento rischia multe e sanzioni che possono essere davvero salate, ovvero fino a 20 milioni di euro o il 4% del fatturato annuo. L’iter previsto dal GDPR consiste in diverse fasi prima della sanzione, ovvero, richiamo, ammonizione, Sospensione dal trattamento dei dati, e poi sanzioni.