Il regolamento europeo è già in vigore: da oggi tutti devono essere conformi al GDPR rispettando le norme per il trattamento dei dati.
Entrato in vigore il temuto GDPR: in questo articolo un riepilogo delle linee principali da tener presente per essere conforme.
Nelle ultime settimane si è discusso così tanto del General Data Protection Regulation che risulta quasi impossibile non averne mai sentito neanche parlare.
Il nuovo regolamento europeo è unico nel suo genere, e ha come obiettivo quello di tutelare il diritto alla privacy di ogni cittadino facente parte dell’Unione Europea.
Ciò non riguarda, però, soltanto le aziende che operano nel territorio europeo, ma anche a tutte quelle che da qualsiasi parte del mondo trattano con persone all’interno dell’Unione Europea.
Parliamo di privacy e diritto alla riservatezza e, anche se ormai bisognerebbe aver già adempiuto ad ogni dovere, in questo post potrai trovare un riepilogo degli ambiti principali da affrontare per il corretto adeguamento al GDPR.
Indice dei contenuti
Cos’è il GDPR?
Per chi ancora non lo sapesse, il GDPR è il regolamento europeo in materia di trattamento e circolazione dei dati dei cittadini dell’Unione Europea, che sostituisce la precedente Legge sulla privacy del ’95 e abroga la precedente Cookie Law.
Approvato ad Aprile 2016, è un regolamento davvero importante, in quanto il primo a voler regolare la raccolta, l’utilizzo e la circolazione dei dati dei cittadini europei.
Nonostante ciò, è stato spesso oggetto di discussioni e contestazioni a causa della complessità del settore di applicazione.
Il GDPR vuole permettere all’utente di conoscere quali sono i dati raccolti sul proprio conto e soprattutto quali saranno le finalità di questa raccolta: trasparenza è la parola d’ordine, ma con il nuovo regolamento viene imposto anche una maggiore possibilità di controllo della privacy.
Sviluppato per contrastare il fenomeno della violazione della privacy – non da ultimo lo scandalo del datagate che ha visto coinvolti Facebook e Cambridge Analytica –, in realtà è risultato ai più di difficile applicazione nelle svariate sfaccettature del mondo digitale, motivo per cui si è generata molta confusione e paura intorno all’adeguamento.
Quel che è certo, è che sono previste sanzioni salate per gli inadempienti che raggiungono il 4% del fatturato globale annuo, o 20 milioni di euro: con provvedimenti del genere, è difficile mantenere la calma per i tanti che si sono impegnati per essere compliant entro il termine prestabilito.
Il trattamento dei dati
Il GDPR riguarda il trattamento dei dati, ma cosa si intende nello specifico con questa dicitura?
Per trattamento dei dati si intendono tutte le operazioni, compiute in maniera automatizzata o meno, riferite ai dati personali: la raccolta, la registrazione, l’archiviazione, l’uso, la trasmissione o la cancellazione degli stessi, ad esempio.
Il regolamento europeo fa riferimento al trattamento dei dati che riguarda non solo persone che fanno parte dell’UE, ma anche che si trovano in Europa, indipendentemente dal fatto che il trattamento avvenga o meno nei limiti del territorio europeo.
Si legge sul testo del GDPR:
“Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.”
Nel nuovo regolamento si dichiara quindi in maniera esplicita che i dati personali devono essere trattati in maniera lecita, corretta e trasparente, ovvero i tre principi giuridici sui quali deve basarsi il trattamento dei dati.
In particolar modo, tra le diverse condizioni citate, il trattamento si ritiene lecito – liceità del trattamento – quando viene espresso il libero e chiaro consenso per le specifiche finalità, oppure quando è funzionale ad un contratto, o per adempiere un obbligo legale.
Cose da fare per mettersi in regola
Premesso che per essere davvero conforme al nuovo regolamento europeo è necessario rivolgersi ad esperti in materia giuridica e legale, vi sono alcuni i punti principali da considerare per essere compliant al GDPR.
In primo luogo, è necessario accertarsi delle modalità di raccolta dei dati degli utenti, analizzando le diverse metodologie messe in atto per la raccolta e prendendone atto.
Nei confronti dell’utente, poi, è necessario dare la possibilità di scegliere se concedere i propri dati oppure no, senza bloccare – nei limiti del possibile – l’erogazione del servizio richiesto.
Infatti, il GDPR prevede che chiunque ha il diritto alla fruizione di un servizio anche senza dare consenso al trattamento dei propri dati personali, escludendo gli ambiti di applicazione in cui è strettamente necessario conoscere i suddetti dati per l’erogazione del servizio.
Nessuna casella preselezionata, dunque, dal momento che il consenso dev’essere chiaro, esplicito e volontario da parte dell’utente finale, e richiesto dal titolare del trattamento dei dati per ciascuna finalità necessaria.
Tra gli obblighi imposti dal GDPR, inoltre, vi è quello di esporre in maniera chiara, semplice e di facile comprensione a tutti quali sono i dati, in che modo vengono raccolti, dove sono conservati, chi li gestisce, e perché vengono raccolti, in una chiara informativa sulla privacy.
I principali nodi da sciogliere per essere compliant
Arriviamo dunque alla parte pragmatica dell’adeguamento al GDPR: tra i principali dubbi di chi si sta ancora impegnando per essere conforme al regolamento, vi sono:
- Le caratteristiche dell’informativa sulla privacy;
- La gestione dei cookie;
- Il registro dei trattamenti.
Su cosa basare la nuova Privacy policy
Tra i punti fondamentali espressi nel GDPR riguardo l’informativa sulla privacy è che deve essere ben visibile e consultabile prima della raccolta dei dati degli utenti, scritta in un linguaggio che può essere compreso appieno da tutti – soprattutto dai minori nei casi specifici – ed indicare tutte le finalità del trattamento dei dati.
È necessario, quindi, descrivere quali dati vengono raccolti per ogni attività che ne prevede la raccolta: ad esempio per l’invio di newsletter periodiche, per finalità commerciali, oppure per statistiche di monitoraggio dell’andamento di un sito web.
Inoltre, è necessario esplicitare l’arco di tempo durante il quale i dati vengono conservati o memorizzati per ogni attività descritta.
Altro aspetto molto importante della nuova Privacy policy che molti ignorano, è la necessità di informare l’utente circa l’esistenza di diritti fondamentali che possono essere esercitati, come ad esempio l’accesso in qualsiasi momento ai propri dati raccolti, la cancellazione degli stessi, la limitazione del trattamento e così via.
Questione Cookie
È importante sottolineare che con l’entrata in vigore del GDPR non cambia nulla riguardo l’utilizzo dei cookie: se si era a norma già prima con la Cookie Law – ormai abrogata dal GDPR – non c’è bisogno di preoccuparsi.
Per essere certi che i cookie utilizzati siano a norma di legge, è possibile ricorrere a strumenti come:
- Iubenda, per generare una privacy e cookie policy adatta al caso specifico;
- Cookiebot, per gestire in toto i cookie di un sito web e permettere la scelta dell’accettazione agli utenti;
- Cookiemetrix, per verificare che i cookie siano compliant.
Il temuto Registro dei trattamenti
Infine, un’altra grande preoccupazione per chi ancora sta cercando di adeguarsi al GDPR è di certo rappresentata dal Registro dei trattamenti, ovvero uno strumento che facilita la gestione dei dati e registra informazioni importanti come consenso dato, il nome e i dati di contatto del titolare del trattamento, le finalità, le categorie degli interessati e dei dati personali, i destinatari della raccolta dati, il trasferimento, e così via.
Si tratta dunque di un registro, scritto ed elettronico, che serve a tenere traccia di informazioni importanti da sottoporre al Garante della privacy dietro richiesta di controllo.
Terminati i due anni previsti per l’adeguamento necessario: il GDPR è in vigore.
Maria Grazia Tecchia
Giornalista, blogger e content editor. Ha realizzato il sogno di coniugare le sue due più grandi passioni: la scrittura e la tecnologia. Esperta di comunicazione online, da anni realizza articoli per il web occupandosi della tecnologia a più livelli.
