Cos’è il GDPR e cosa sono i dati personali
Dalle offerte ai preventivi, dai certificati al codice fiscale ecc.
Tutti trattano dati personali
L’Unione Europea (UE) ha modificato le norme sulla protezione dei dati dei cittadini. Le modifiche entreranno in vigore in tutta l’UE il 25 maggio 2018. Le nuove norme sono denominate Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation).
I dati personali sono praticamente tutti quelli che riguardano e rendono identificabili le persone fisiche quindi per esempio: e-mail, telefono cellulare, indirizzo, codice fiscale ecc.
• In ogni database aziendale sono presenti dati personali in grande quantità (per esempio in sezioni come “dati contatto” o “dati dell’organizzazione”).
• In molti documenti aziendali per esempio offerte, preventivi, o documenti di trasporto, ecc. i dati personali sono presenti sotto forma di indirizzo, nome cognome, codice fiscale ecc.
• In ogni azienda o professione sono conservati inoltre anche dati sensibili (situazione economica, salute, adesione a sindacati, ecc) si pensi ai dati personali dei dipendenti (buste paga, CU, certificati di idoneità, ecc) oppure per un commercialista, i dati economici dei propri clienti (dichiarazioni dei redditi, oppure certificati di firma elettronica).
Cosa sapere riguardo al GDPR nel 2023?
Il GDPR impone rigide obbligazioni alle organizzazioni che raccolgono o trattano dati personali nell'Unione Europea (UE), con severe sanzioni per la mancata conformità: fino al 4% del fatturato globale annuo o 20 milioni di euro (~20 milioni di dollari), a seconda di quale cifra sia maggiore.
Inoltre, sono previste disposizioni rigorose che richiedono la notifica da parte delle persone i cui diritti sono stati violati o compromessi a causa di pratiche di gestione dei dati scadenti da parte delle aziende con cui fanno affari. Pertanto, se non si rispettano diligentemente queste regole ora, mentre sono ancora relativamente nuove e sconosciute, e soprattutto se tali problematiche emergessero in seguito durante un'indagine da parte dei regolatori, si potrebbe essere responsabili di significative sanzioni in futuro.
La normativa introduce anche nuovi diritti per gli individui in relazione ai loro dati personali, tra cui il diritto di richiedere l'accesso e la cancellazione dei dati personali; un individuo può far rettificare immediatamente qualsiasi informazione inaccurata.
È importante notare che il GDPR si applica solo alle aziende con sede nell'UE e a coloro che controllano o trattano dati personali di individui che vivono nell'Unione Europea, quindi è considerato uno standard internazionale. Se non si ha sede in Europa o non si ha attività lì (e quindi non si è soggetti a questa normativa), allora il GDPR non si applicaà.
Il GDPR è una Direttiva?
Il GDPR è un regolamento, non una direttiva. L'Unione Europea (UE) ha aggiornato le sue leggi sulla protezione dei dati e sulla privacy per far fronte alle esigenze della tecnologia moderna e creare un unico insieme di regole per tutti i cittadini dell'UE.
Il GDPR si applica a qualsiasi organizzazione che tratta dati personali relativi a persone che vivono nell'Unione Europea (indipendentemente dalla loro posizione). Le organizzazioni devono anche conformarsi al GDPR se trattano dati personali relativi a dipendenti o clienti in tutta Europa, indipendentemente da dove vengano trattati.
Cosa sono i Dati Personali secondo il GDPR?
La conformità al GDPR è più di una semplice garanzia di conformità alla legge. Quando si tratta di dati personali, i clienti si aspettano che le proprie informazioni siano trattate con cura e rispetto, e lo stesso vale per voi.
È importante comprendere cosa si intenda per dati personali secondo il GDPR, in modo da poter proteggere i diritti sulla privacy degli utenti e costruire fiducia rispettando le loro preferenze in materia di privacy.
Secondo il GDPR, i dati personali sono qualsiasi informazione che può essere utilizzata per identificare una persona (ad esempio, nome, foto). Ciò include nomi, indirizzi email, indirizzi IP e altri identificatori come i cookie o gli ID del dispositivo (o numeri di telefono se sono collegati a un individuo).
Privacy by Design e Default Privacy by default e design, o PbD è un nuovo concetto introdotto dal GDPR. Significa che la privacy deve essere integrata nella progettazione dei sistemi, anziché aggiunta successivamente.
Per quanto riguarda la conformità, ciò significa che se il tuo sistema raccoglie dati personali, come molto probabilmente avviene, devi assicurarti che tali dati siano anonimizzati prima di essere archiviati. In caso contrario, stai violando effettivamente il GDPR.
Limitazione della Finalità
Nel contesto del GDPR, la limitazione della finalità si riferisce all'obbligo che i dati personali debbano essere raccolti solo per una specifica, esplicita e legittima finalità. Inoltre, non devono essere trattati in alcun modo incompatibile con quella finalità. In questo senso, i responsabili del trattamento dei dati sono tenuti a informare gli individui sulla specifica finalità per la quale vengono raccolti e utilizzati i loro dati. Inoltre, devono assicurarsi che tutti i dati personali siano cancellati o eliminati una volta che la loro finalità originale è stata soddisfatta.
La limitazione della finalità non si riferisce solo alla durata per cui un'organizzazione può conservare le tue informazioni; si occupa anche della condivisione delle tue informazioni con terze parti (cioè altre aziende). Ai sensi della legge GDPR, alle organizzazioni è vietato trasferire questo tipo di informazioni sensibili a meno che tu non abbia dato il consenso affinché lo facciano.
Minimizzazione dei Dati
La minimizzazione dei dati è un altro principio della conformità al GDPR ed è correlato alla limitazione della finalità. Anche se potrebbe sembrare qualcosa che hai imparato a scuola in matematica, la minimizzazione dei dati si riduce effettivamente a limitare la quantità di dati personali raccolti e limitare come tali dati possono essere utilizzati.
In questo caso, "minimizzare" significa che dovresti raccogliere solo dati personali necessari per le finalità del trattamento. Ciò potrebbe significare raccogliere meno informazioni in un modulo rispetto a prima o optare per un metodo alternativo di raccolta delle informazioni, come chiedere agli utenti di fornire un consenso specifico invece di richiedere tutto in una volta sola, in modo da non ottenere più di quanto necessario. Inoltre, se la tua azienda intende conservare le informazioni personali più a lungo del necessario, è meglio se sarà in grado di eliminarle in un certo momento (a meno che non ci siano altre ragioni legali per cui non può farlo).
Trasparenza e Portabilità dei Dati
La trasparenza dei dati è un principio del GDPR che richiede alle organizzazioni di fornire informazioni chiare e comprensibili su come trattano i dati personali. Richiede anche di fornire informazioni sulle politiche e le pratiche riguardanti il trattamento dei dati personali.
La portabilità dei dati è un nuovo diritto per gli individui previsto dal GDPR. Con questo diritto, puoi spostare i tuoi dati personali da un fornitore di servizi a un altro. Questo può essere utilizzato se il fornitore di servizi ha raccolto i tuoi dati personali e:
- Non ti fornisce servizi o prodotti adeguati a causa della raccolta di informazioni su di te.
- Non utilizza misure di sicurezza adeguate nel senso che non protegge i tuoi dati da accessi o divulgazioni non autorizzati.
L'idea alla base della portabilità dei dati è quella di consentire alle persone di avere il controllo delle proprie informazioni personali e assicurarsi che vengano gestite correttamente da qualsiasi organizzazione che utilizza tali informazioni.
Principio di Responsabilizzazione
Il principio di responsabilizzazione richiede che i responsabili del trattamento e i responsabili del trattamento dei dati siano in grado di dimostrare la conformità al GDPR. Il principio di responsabilizzazione è un componente chiave del GDPR, progettato per garantire che le organizzazioni siano in grado di fornire prove di conformità al GDPR.
Per ottemperare a questo principio, dovresti essere in grado di dimostrare:
- come hai gestito i dati personali;
- come hai gestito le violazioni di sicurezza;
- quali misure sono state adottate in caso di abuso o uso improprio dei dati personali.
Cos'è un DPA (Data Processing Agreement) GDPR?
Uno dei requisiti fondamentali del GDPR è che le imprese e le organizzazioni debbano avere un accordo di elaborazione dei dati (DPA) in vigore quando si impegnano con i responsabili del trattamento dei dati di terze parti. Un DPA è un accordo legalmente vincolante che stabilisce i termini e le condizioni per il trattamento dei dati personali da parte di un responsabile del trattamento dei dati di terze parti.
Un accordo di elaborazione dei dati GDPR è importante perché aiuta le imprese e le organizzazioni a garantire la conformità alle normative GDPR. L'accordo stabilisce linee guida e obblighi chiari sia per il responsabile del trattamento dei dati (l'azienda o l'organizzazione che raccoglie e controlla i dati personali) sia per il responsabile del trattamento dei dati (la terza parte che elabora i dati personali per conto del responsabile del trattamento). Inoltre, assicura che i dati personali vengano trattati in modo lecito, equo e trasparente.
L'accordo copre vari aspetti del trattamento dei dati, inclusa la finalità del trattamento, i tipi di dati personali che saranno trattati, le misure di sicurezza che saranno adottate per proteggere i dati e i diritti dei soggetti dei dati (gli individui i cui dati personali vengono trattati). Inoltre, descrive le responsabilità del responsabile del trattamento dei dati e del responsabile del trattamento dei dati, nonché le procedure per la notifica e la gestione delle violazioni dei dati.
In breve, un DPA GDPR è un elemento essenziale per stabilire un accordo chiaro e conforme tra le parti coinvolte nel trattamento dei dati personali, al fine di garantire la protezione e la sicurezza dei dati personali conformemente al GDPR.
Perché la conformità al GDPR è importante per il tuo sito web?
La conformità al GDPR è importante perché protegge la privacy degli utenti e assicura che le loro informazioni siano protette. Il regolamento si applica a tutte le aziende, dalle grandi imprese alle piccole attività commerciali. Le organizzazioni dovrebbero prepararsi al cambiamento o rischiare severe conseguenze in caso di mancata conformità.
Nonostante tutti i cambiamenti e le sfide, ci sono alcuni vantaggi derivanti dai nuovi regolamenti. Il GDPR rappresenta un'opportunità per le aziende di rivalutare il modo in cui archiviano, condividono e proteggono i dati dei clienti. Costruendo fiducia e promuovendo la fedeltà dei clienti, le aziende possono posizionarsi come fonte affidabile. Con una preparazione adeguata, le imprese saranno in grado di trarre vantaggio dalle nuove opportunità derivanti dal GDPR.
Questa lista di controllo in 10 punti per la conformità al GDPR ti aiuterà sperabilmente a rendere il tuo sito web conforme al GDPR. Non esiste un approccio o una soluzione universale per la conformità al GDPR. Ogni sito web (o azienda) ha diverse operazioni commerciali e deve conformarsi al GDPR nel proprio modo. Ciò significa che assicurarsi di essere conformi richiede una pianificazione attenta e un'analisi da parte tua, seguita dalla creazione di procedure personalizzate specifiche per le esigenze della tua azienda.
Quindi, sei pronto ad affrontare i requisiti del GDPR?
Lista di controllo per la conformità al GDPR in 10 punti: Ecco cosa puoi fare per garantire che il tuo sito web sia conforme al GDPR.
Prepararsi al GDPR significa dover conoscere quali dati personali possiedi, dove sono archiviati e chi ha accesso ad essi. La seguente lista di controllo fornisce le domande che devi porsi, così come al tuo personale, per determinare se sei pronto per la conformità al GDPR.
- Quali dati personali possiedi?
- I dati includono informazioni personali sensibili?
- In caso affermativo, come li proteggi?
- Il tuo sito web raccoglie dati personali da minori di età inferiore ai 16 anni?
- Perché il tuo sito web richiede questi dati?
- Come hai ottenuto il consenso per il trattamento di questi dati personali?
- Dove sono archiviati questi dati personali?
- Chi ha accesso a questi dati?
- Terze parti possiedono questi dati personali?
- In caso affermativo, come controlli il loro trattamento dei tuoi dati?
- Queste terze parti si trovano al di fuori dell'EEA?
In caso affermativo, quali meccanismi hanno messo in atto per proteggere i tuoi dati personali da accessi non autorizzati da parte di entità straniere o dall'uso per scopi diversi da quelli consentiti dal contratto con tale terza parte?
- Per quanto tempo è necessario conservare questi dati personali?
- È possibile eliminare o anonimizzare alcune di queste informazioni?
La sicurezza del sito web è qualcosa che non puoi permetterti di ignorare. Come proprietario di un sito web, devi assicurarti che il tuo sito sia sicuro. Ciò significa che i dati archiviati sul sito devono essere protetti e che il sito stesso deve essere protetto dagli attacchi esterni. I siti web sono regolarmente attaccati da hacker e altre persone con intenti maliziosi.
Ecco alcune cose che puoi fare per proteggere il tuo sito web e mantenere protetti i dati degli utenti:
- Installa un certificato SSL (URL del sito web HTTPS) che crittografa le informazioni scambiate tra il sito e il server.
- Utilizza password robuste per gli account di amministrazione.
- Aggiungi livelli di protezione aggiuntivi al tuo server nel caso in cui consenti agli utenti di condividere informazioni di pagamento.
- Utilizza un provider CDN che possa migliorare la sicurezza, ad esempio proteggendo i siti web dai DDoS. Utilizza software o servizi antivirus per proteggerti dall'accesso non autorizzato al sito.
- Non raccogliere, utilizzare o archiviare dati personali più di quanto necessario per il tuo sito web.
- Evita di inviare o condividere dati personali, specialmente quelli sensibili, a servizi di terze parti.
- Pseudonimizza o anonimizza i dati personali prima di archiviarli per deidentificare gli utenti.
- Rimuovi i dati personali una volta che il tuo sito web non ne ha più bisogno.
- Effettua il backup dei dati in più posizioni.
Un'informativa sulla privacy dovrebbe essere parte integrante dei contenuti complessivi del tuo sito web. Dovrai anche assicurarti che sia facilmente accessibile tramite un link su ogni pagina del tuo sito web (comprese quelle in cui non avviene la raccolta di dati personali).
Il principale scopo di un'informativa sulla privacy è informare i visitatori del tuo sito su come raccogli, utilizzi, archivi e divulghi i loro dati personali. Dovrebbe anche spiegare i diritti dell'utente e i tuoi obblighi nei loro confronti. Alcuni di questi diritti includono il diritto di accedere ai propri dati personali e il diritto di richiedere la cancellazione dei propri dati.
L'informativa deve essere redatta in un linguaggio chiaro e comprensibile per le persone. Se un utente deve cercarla o fare diversi clic prima di trovarla, allora ciò non è accettabile.
Se hai una lista di iscritti composta da cittadini dell'UE, devi rivederla per garantire la conformità al GDPR.
Se utilizzi servizi di email marketing per inviare newsletter o per qualsiasi altra comunicazione, hai bisogno del consenso degli utenti per inviare le email. Il metodo consigliato è utilizzare la doppia opt-in, in cui gli utenti devono verificare il loro indirizzo email dopo averlo inviato al sito web.
Gli utenti dovrebbero essere in grado di annullare l'iscrizione alle email in qualsiasi momento. Per fare ciò, l'utente deve poter fare clic su un link di annullamento dell'iscrizione presente nelle tue email, che li porterà a una pagina in cui possono annullare l'iscrizione facilmente, senza difficoltà.
Se il tuo sito web utilizza cookie non necessari (non sai cosa sono? Leggi questo per saperne di più), allora dovresti utilizzare un banner sui cookie per ottenere il consenso GDPR degli utenti per archiviarli sui loro dispositivi.
Il banner informa i visitatori su come il sito web utilizza i cookie e quali informazioni vengono archiviate. Informa anche gli utenti del loro diritto di rifiutare l'archiviazione dei cookie.
Ecco i punti chiave da considerare durante l'aggiunta di un banner sui cookie:
- Il linguaggio utilizzato nel banner dovrebbe essere chiaro e conciso, evitando il linguaggio legale e le frasi lunghe.
- Descrivi che tipo di cookie stai impostando e perché.
- Spiega perché hai bisogno di impostare i cookie.
- Spiega come gli utenti possono gestire le loro preferenze sui cookie.
- Includi un'opzione di opt-in per i cookie in cui gli utenti possono accettarli.
- Mostra un'opzione di opt-out per gli utenti che desiderano bloccare tutti i cookie dal tuo sito web. Aggiungi una terza opzione per abilitare selettivamente il consenso in base alla categoria dei cookie.
- Includi informazioni sulla tua politica sulla privacy e un link a questa pagina.
- La chiusura o la mancata interazione con il banner non dovrebbe significare che l'utente ha prestato il consenso.
- Non caricare i cookie senza il consenso esplicito degli utenti (opt-in).
- L'opt-out significa che i cookie dovrebbero rimanere bloccati, anche nelle visite successive.
Dovrebbe esserci un'opzione per richiamare il banner nel caso in cui l'utente voglia revocare o modificare lo stato del consenso.
Se il tuo sito web ha qualsiasi tipo di moduli, ad esempio di richiesta, contatto o iscrizione, che raccolgono dati personali, devi assicurarti di:
- Includere una dichiarazione sulla privacy che spiega perché stai richiedendo i loro dati, cosa farai con essi e che possono revocare il consenso in qualsiasi momento.
- Aggiungere un'opzione di opt-in, come una casella non selezionata o un interruttore disattivato, per ottenere il consenso dell'utente per la raccolta dei dati.
- Aggiungere una casella di controllo (o opzione simile) in modo che le persone possano scegliere se ricevere corrispondenza da te o servizi correlati.
- Preferibilmente, aggiungi un link all'informativa sulla privacy per ulteriori informazioni.
- La prima cosa che devi fare è scoprire quali servizi o strumenti di terze parti sono utilizzati dal tuo sito web e se raccolgono o archiviano dati personali.
- Questi possono includere servizi come Google Analytics, piattaforme di social media, servizi di hosting, servizi di pagamento, ecc. Dovresti verificare se questi servizi sono conformi al GDPR e se hanno le adeguate misure di sicurezza e privacy in atto.
- Devi anche controllare i tuoi contratti con questi servizi per assicurarti che contengano clausole di protezione dei dati conformi al GDPR.
- Assicurati di avere un contratto o una clausola di protezione dei dati con i responsabili del trattamento dei dati o i servizi di terze parti che elaborano i dati personali per tuo conto.
La protezione dei dati personali è una parte fondamentale del GDPR. Devi implementare misure di sicurezza adeguate a proteggere i dati personali che archivi o elabori.
- Ecco alcune misure di sicurezza che dovresti considerare:
- Utilizza crittografia per proteggere i dati sensibili.
- Mantieni i sistemi e i software aggiornati per evitare vulnerabilità.
- Limita l'accesso ai dati personali solo al personale autorizzato.
- Imposta password complesse e politiche di cambio password regolari.
- Imposta i permessi di accesso in base al ruolo degli utenti.
- Esegui backup regolari dei dati e assicurati che siano archiviati in luoghi sicuri.
- Monitora e registra l'accesso ai dati personali. Imposta procedure di gestione delle violazioni dei dati in caso di accesso non autorizzato o compromissione dei dati.
Anche se prendi tutte le precauzioni per proteggere i dati personali, potrebbe comunque verificarsi una violazione dei dati. In tal caso, devi essere preparato per affrontarla in modo appropriato e tempestivo.
- Devi creare una procedura di gestione delle violazioni dei dati che includa quanto segue:
- Un processo per rilevare e valutare le violazioni dei dati.
- Un sistema di notifica delle violazioni dei dati alle autorità competenti.
- Un meccanismo per comunicare le violazioni dei dati agli interessati, se necessario.
- Un piano di risposta alle violazioni dei dati per affrontare le violazioni, mitigare gli effetti e prevenire ulteriori danni.
La conformità al GDPR non è un compito unico da completare. È un impegno continuo che richiede una costante attenzione e monitoraggio.
Dovresti rivedere periodicamente la tua conformità e adottare le misure necessarie per mantenere il tuo sito web conforme al GDPR. Ciò include l'aggiornamento delle politiche e delle procedure, il monitoraggio delle modifiche normative e l'aggiornamento delle tue pratiche in base alle nuove linee guida.
Inoltre, è importante formare il tuo personale sulla conformità al GDPR e sensibilizzarli sulle buone pratiche per la protezione dei dati.
Ricorda che la conformità al GDPR è una responsabilità condivisa e richiede l'impegno di tutti coloro che sono coinvolti nella gestione e nel trattamento dei dati personali sul tuo sito web.
Martinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.