Questo sito utilizza cookie tecnici e di profilazione utente di terze parti. Per accettare la profilazione della navigazione e migliorare la tua esperienza utente leggi l'informativa.
Il termine per l'adeguamento del tuo sito web è in scadenza. Sei pronto ?
Non farti trovare esposto a sanzioni e impreparato a gestire il GDPR con il tuo sito web. Il termine si avvicina e ci sono tanti aspetti da tenere in considerazione per adeguare il tuo sito web.
Cosa è il GDPR ?
Aggiornare la privacy policy e il processo di trattamento dei dati è un obbligo per tutte le imprese che gestiscono e trattano i dati. Per il trattamento dei dati via web ti indichiamo le linee guida e le procedure.
Tra poche settimane scade il termine per l'adeguamento al nuovo regolamento europeo per la protezione dei dati, il cosiddetto GDPR che sicuramente avrai già sentito in questi ultimi tempi. Il Regolamento Europeo UE 2016/679, in realtà è stato approvato già il 14 Aprile 2016, ed è entrato in vigore dal 24 Maggio 2016, ma il termine di adeguamento sarà operativo a partire dal 25 Maggio 2018.
Se già il tuo sito rispettava “realmente” la vecchia normativa sulla privacy, sul trattamento dei dati personali ai sensi dell'art. 13 del D.Lgs. n.196/2003, diciamo che le modifiche sono meno invasive.
Tuttavia ci sono delle cose che vanno fatte, tenuto conto della nuova intenzione di garantire maggiore tutela dei dati e uniformità a livello europeo su questa importante tematica, da parte del Parlamento Europeo.
Cerchiamo di essere sintetici e pratici, per quanto possibile, per dare info rapide e capire se e come può questo adeguamento interessare il tuo sito web o il tuo gestionale web.
Precisiamo che la nostra consulenza professionale riguarda esclusivamente l’aspetto web e quindi la raccolta e trattamento dei dati via web e mediante strumenti informatici del settore internet.
Premesso che il regolamento riguarda tutti i soggetti che trattano dati personali (identificativi, sensibili o giudiziari) cerchiamo di identificare chiaramente di seguito le condizioni per cui un soggetto è tenuto ad aggiornare i propri sistemi in relazione alla tipologia di trattamento e per adeguarli alla nuova normativa europea. Prendiamo ad esame solo i “dati personali identificativi” che sono tutte quelle informazioni che consentono una identificazione diretta. A titolo esemplificativo rientrano in questa categoria il nome e il cognome, una foto, il codice fiscale, il numero di passaporto o l’indirizzo e-mail e che riguardano i dati oggetto dei trattamenti della maggior parte dei nostri gestionali web e siti web.
Se già il tuo sito rispettava “realmente” la vecchia normativa sulla privacy, sul trattamento dei dati personali ai sensi dell'art. 13 del D.Lgs. n.196/2003, diciamo che le modifiche sono meno invasive.
Tuttavia ci sono delle cose che vanno fatte, tenuto conto della nuova intenzione di garantire maggiore tutela dei dati e uniformità a livello europeo su questa importante tematica, da parte del Parlamento Europeo.
Cerchiamo di essere sintetici e pratici, per quanto possibile, per dare info rapide e capire se e come può questo adeguamento interessare il tuo sito web o il tuo gestionale web.
Precisiamo che la nostra consulenza professionale riguarda esclusivamente l’aspetto web e quindi la raccolta e trattamento dei dati via web e mediante strumenti informatici del settore internet.
Premesso che il regolamento riguarda tutti i soggetti che trattano dati personali (identificativi, sensibili o giudiziari) cerchiamo di identificare chiaramente di seguito le condizioni per cui un soggetto è tenuto ad aggiornare i propri sistemi in relazione alla tipologia di trattamento e per adeguarli alla nuova normativa europea. Prendiamo ad esame solo i “dati personali identificativi” che sono tutte quelle informazioni che consentono una identificazione diretta. A titolo esemplificativo rientrano in questa categoria il nome e il cognome, una foto, il codice fiscale, il numero di passaporto o l’indirizzo e-mail e che riguardano i dati oggetto dei trattamenti della maggior parte dei nostri gestionali web e siti web.
Chi è obbligato ad adeguare il trattamento secondo il GDPR ?
Tutti i siti web che attualmente sono dotati di un form di raccolta dati, sia che il form invii una semplice email sia che immagazzini dati personali in un database, quindi anche siti di ecommerce, gestionali web o landing page per la raccolta dei dati.Nel dettaglio se hai già una privacy policy e una cookie law perché raccogli dati, devi adeguarla e adeguare il tuo sito alle normative del GDPR per evitare le sanzioni che arrivano fino al 4% del fatturato e variano in base alle tipologie di infrazioni.
Anche se il tuo sito raccoglie solo dati di profilazione, come ad esempio cookie, ip o altro ed hai una cookie law presente, questa va rivista nell'ottica del nuovo GDPR. Scompare la possibilità di tracciare la profilazione senza "esplicito consenso" e l'utente deve essere in grado di revocare l'autorizzazione ad ogni singola profilazione eventualmente presente sul tuo sito.
Quali sono le responsabilità del titolare del trattamento ?
Il titolare e il responsabile del trattamento hanno diversi obblighi e sono responsabili per le azioni di trattamento dei dati. Oltre a garantire una serie di misure di sicurezza nel trattare e conservare i dati, misure che poi vanno documentate nel caso di un controllo, sono responsabili anche di conservare una prova dei consensi. Da qui l'esigenza di fornirsi di un log/archivio delle varie attività di consenso. La prova può essere ad esempio la conservazione degli IP e della data e ora della conferma.
La normativa in questo senso non è tassativa, lascia libera scelta ai gestori dei siti di trovare la soluzione migliore per garantire tale azione. Inoltre l'interessato dovrebbe avere un accesso ai suoi dati o quanto meno essere in grado di operare una rapida consultazione. Anche qui non avendo riferimenti precisi sulle azione, ognuno è lasciato libero di garantire questo principio nel modo migliore.
La conservazione dei consensi è una cosa diversa dai registri dei trattamenti previsti dalla normativa. Il registro dei trattamenti prevede la conservazione di tutta la serie di azioni e attività fatte sui dati e dei loro riferimenti. Il registro dei trattamenti, come previsto dalla normativa, è obbligatorio solo per aziende che hanno più di 250 dipendenti o che trattano dati sensibili che possano mettere a rischio l'incolumità delle persone.
Di seguito una rapida checklist delle attività:
- > il consenso al trattamento dei dati deve essere chiaro ed esplicito
- > basta con checkbox gia' flaggati e accettazioni implicite di informative senza riferimenti e link.
- > l'informativa deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, occorre inoltre utilizzare un linguaggio chiaro e semplice.
- > comunicare all'interessato quale tipo di trattamento verrà fatto per ogni consenso
- > garantire la sicurezza della conservazione e del trattamento dei dati
- > usare la cifratura dei dati e quindi dotarsi di un certificato SSL/https di protezione
- > avere la capacità di assicurare la riservatezza dei dati con sistemi di protezione
- > garantire di ripristinare tempestivamente l'accesso dei dati personali in caso di incidente fisico o tecnico;
- > comunicare a quali parti terze i dati siano eventualmente trasferiti e per quale motivo
- > garantire il diritto di rettifica, accesso, limitazione e cancellazione dei dati all’interessato
- > garantire il diritto alla portabilità dei dati
- > esporre il diritto di proporre reclamo a un'autorità di controllo
- > conservare un archivio dei log e dei consensi con le informazioni di tracciamento fornite
- > dotarsi di un registro dei trattamenti se la tua impresa ha più di 250 dipendenti
In che modo adeguo il mio sito web o gestionale online ?
Per prima cosa bisogna modificare la privacy policy rispettando la nuova normativa. Di seguito alcune tra le cose meno invasive tecnicamente e più importanti da specificare:> il motivo per cui raccogli i dati, diversificando le varie finalità, spiegando le condizioni e le tipologie di dati, la durata del trattamento e conservando un tracciamento del consenso per ogni finalità;
> il titolare e responsabile del trattamento dei dati con chiari dati di contatto;
> gli obblighi, diritti e modalità di accesso, rettifica e cancellazione da parte dell’interessato dei dati.
C’è poi una serie di adempimenti più invasivi dal punto di vista tecnico e che impattano non poco sui processi già in essere. Tra questi ci sono:
> la necessità di raccogliere i dati mediante un sistema crittografato, quindi almeno in fase di acquisizione è consigliabile attivare un certificato SSL di protezione per dare questa garanzia;
> la chiara accettazione mediante checkbox (non pre-flaggati o senza conferma esplicita) per ogni finalità di trattamento (marketing, erogazione servizio ecc…) con chiare finalità e soggetti che tratteranno i dati;
> la creazione di un archivio log con il tracciamento del consenso e delle informazioni fornite, delle finalità e del titolare / responsabile del momento;
> dotarsi di un sistema per individuare tali consensi/dati e fornire rapidamente alla richiesta le informazioni sui dati trattati, sui consensi, sulla durata del trattamento, sulle finalità e sulle attività eseguite sui dati.
In pratica bisogna creare un archivio log e un database separato dei consensi con le informazione previste dalla normativa. Quindi si tratta di interventi ad hoc da realizzare per integrare i sistemi già in essere o da progettare ex-novo per quelle piattaforme che non sono dotate di un sistema del genere. Al fine di ottimizzare i processi di acquisizione dati automatici, è consigliabile integrare queste attività nei crm web.
> la necessità di raccogliere i dati mediante un sistema crittografato, quindi almeno in fase di acquisizione è consigliabile attivare un certificato SSL di protezione per dare questa garanzia;
> la chiara accettazione mediante checkbox (non pre-flaggati o senza conferma esplicita) per ogni finalità di trattamento (marketing, erogazione servizio ecc…) con chiare finalità e soggetti che tratteranno i dati;
> la creazione di un archivio log con il tracciamento del consenso e delle informazioni fornite, delle finalità e del titolare / responsabile del momento;
> dotarsi di un sistema per individuare tali consensi/dati e fornire rapidamente alla richiesta le informazioni sui dati trattati, sui consensi, sulla durata del trattamento, sulle finalità e sulle attività eseguite sui dati.
In pratica bisogna creare un archivio log e un database separato dei consensi con le informazione previste dalla normativa. Quindi si tratta di interventi ad hoc da realizzare per integrare i sistemi già in essere o da progettare ex-novo per quelle piattaforme che non sono dotate di un sistema del genere. Al fine di ottimizzare i processi di acquisizione dati automatici, è consigliabile integrare queste attività nei crm web.
Per quanto riguarda l’adeguamento del sistema alla nuova normativa GDPR ci sono diverse possibilità e procedure per i clienti che hanno piani di manutenzione e quelli sprovvisti, oltre ovviamente a quelli che chiedono la consulenza e l’adeguamento non essendo clienti. Si tratta di processi e attività specifiche e che possono variare in base al sito o alla modalità di acquisizione e trattamento dei dati, quindi va fatta analisi caso per caso.
Come preparare l'informativa al trattamento aggiornata ?
Secondo quanto stabilito dal GDPR, la nuova informativa deve rispettare dei principi di base per essere chiara, intellegibile e priva di riferimenti normativi. Insomma deve essere qualcosa che faccia capire all'utente medio in che modo i suoi dati saranno trattati nel concreto. Il consenso deve essere preventivo, esplicito e informato.
Nell'informativa devono essere presenti le seguenti informazioni:
- > quali dati vengono raccolti;
- > con quali modalità avviene il trattamento;
- > chi effettua il trattamento;
- > quali sono le finalità del trattamento;
- > per quanto tempo vengono conservati i dati;
- > in quale modo l'interessato potrà accedere ai propri dati per effettuare modifiche e/o richiederne la cancellazione;
- > quali sono i diritti dell'interessato in relazione ai propri dati;
Cosa succede se non mi adeguo al GDPR ?
L'adeguamento non è facoltativo ma obbligatorio per tutte le categorie di siti riportate sopra. Ovviamente il mancato adeguamento prevede delle sanzioni pecuniarie importanti, che possono arrivare fino al 4% del fatturato sul precedente bilancio. Il nostro consiglio però è di non farsi prendere dal panico. In giro ci sono tantissime notizie, alcune delle quali fuorvianti o costruite per alimentare un terrorismo informativo sull'argomento per poca conoscenza sull'argomento o per creare allarmismi e spillare denaro.
Il nostro consiglio è affidarsi a professionisti comprovati, che possano dare le giuste informazioni sia tecnicamente che legalmente e che possano analizzare il vostro sito per fornirvi la soluzione migliore.
Di seguito riportiamo una sezione di casi in cui potresti trovarti, scegli quello più adatto a te per sapere come fare ad adeguare il tuo sito web al nuovo GDPR.
Di seguito riportiamo una sezione di casi in cui potresti trovarti, scegli quello più adatto a te per sapere come fare ad adeguare il tuo sito web al nuovo GDPR.
Consulta la tua condizione per richiedere l’adeguamento al GDPR.
La specificità della materia e la differenza tecnica possibile tra le varie piattaforme, siti e modalità di trattamento, rende impossibile fornire delle informazioni precise e standard per ogni sito. Ogni sito andrebbe analizzato nelle sue specifiche attività di trattamento dei dati e profilazione. Tuttavia potete richiedere una analisi gratuita del vostro sito e delle attività da eseguire in base alla situazione di seguito riportata:
Sono un cliente ed ho un piano di manutenzione attivo
Se sei un nostro cliente con un piano di manutenzione attivo e acquisisci in modalità automatica i dati dal web, il tuo sito sarà adeguato in automatico qualora il piano lo preveda e lo consenta, diversamente sarai comunque avvisato dell’adeguamento necessario con una mail contenente il link di questo post e la procedura da seguire. Non devi fare nulla, attendi una nostra comunicazione.Essendo un aggiornamento importante e prevedendo delle sanzioni elevate, procederemo in via prioritaria all’adeguamento se il piano di manutenzione attivo lo prevede, diversamente sarai informato nel caso il tuo piano non copra l’intervento e potrai decidere in autonomia se adeguare il sito
(vedi le sanzioni previste nel file al link: www.lucasweb.it/download/regolamento_generale_protezione_dei_dati_gdpr_eu.pdf ).
Sono un cliente ma non ho un piano di manutenzione attivo
Se sei un nostro cliente ma non hai un piano di manutenzione attivo devi fare richiesta di adeguamento al GDPR o adesione ad un piano di manutenzione che copre eventualmente gli interventi. Puoi richiedere l’intervento via email a info@lucasweb.it oppure attraverso il form qui: https://www.lucasweb.it/contattiRiceverai informazioni sulla tua richiesta secondo le priorità possibili.
Non sono un cliente ma desidero avere maggiori informazioni
Se non sei un cliente ma hai comunque un sito o una piattaforma web che desideri adeguare al GDPR puoi richiedere informazioni circa le tue esigenze al form qui: https://www.lucasweb.it/richiedi-preventivo-webPerchè scegliere noi per il tuo adeguamento
La nostra agenzia ha esperienza di quasi 20 anni nella gestione delle piattaforme web e dell’aspetto tecnico-legale del trattamento dati per la privacy. Tuttavia siamo coadiuvati in questa attività da un ufficio legale che segue le nostre attività e con il quale ci confrontiamo per gli aspetti puramente legali delle questioni.
Con questa sinergia nostra di professionisti interni insieme con lo studio “Ambito Legale” dell’Avv. Olga Izzo (Specializzata in Diritto Civile e Commerciale, Diritti di autore e privacy) possiamo soddisfare tutte le esigenze dei clienti e di chi avesse bisogno di informazioni specifiche sugli adeguamenti normativi.
Con questa sinergia nostra di professionisti interni insieme con lo studio “Ambito Legale” dell’Avv. Olga Izzo (Specializzata in Diritto Civile e Commerciale, Diritti di autore e privacy) possiamo soddisfare tutte le esigenze dei clienti e di chi avesse bisogno di informazioni specifiche sugli adeguamenti normativi.
Perchè sento parlare di proroga al GDPR ?
In questi giorni c'è un pò di confusione sulla questione GDPR, cerchiamo di spiegare in parole semplici cosa sta succedendo con questo post: https://www.lucasweb.it/blog/privacy-e-sicurezza-dei-dati/32/proroga-gdrp-per-ritardo-decreto
Autore: Luca Di MatteoEmail: info@lucasweb.it
Linkedin: https://www.linkedin.com/in/lucadimatteo/
Facebook: https://www.facebook.com/lucadimatteo
Twitter: https://twitter.com/lucadimatteo
Commenti:
Articolo molto interessante e chiaro. Siete riusciti a spiegare in maniera semplice e chiara una cosa che semplice non è.. complimenti 🙂
17:17 27/04/2018Grazie per il suo feedback ;-)
12:01 03/05/2018