Se hai appena creato un sito web o un e-commerce oppure hai sviluppato una nuova APP per smartphone e tablet, devi accertarti che siano aderenti alle normative delle leggi italiane / europee / internazionali.
GDPR
Il General Data Protection Regulation (GDPR) è un regolamento europeo (n.679/2016), che norma il trattamento dei dati personali, e che in Italia è entrato in vigore nel maggio 2018. Ha lo scopo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali,
pertanto detta le regole per il trattamento e la libera circolazione di tali dati (art.1).
Ecco in sintesi alcuni elementi che lo caratterizzano
- Rispettare i diritti delle persone: Ogni trattamento deve fondarsi sul rispetto dei principi fissati nel Regolamento (artt. 5 e 6) e garantire agli interessati tutti i diritti previsti (artt. 13-22).
- liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
- espressione di consenso,
- adempimento di obblighi contrattuali,
- obblighi legali cui è soggetto il titolare,
- interessi vitali della persona interessata o di terzi,
- interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
- interesse pubblico o esercizio di pubblici poteri,
- All'Interessato sono garantiti i seguenti diritti:
- I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento
- Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea.
- Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).
- Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
- La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
- Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive - anche ripetitive (articolo12, paragrafo 5) - ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).
- Individuare il rischio e svolgere una valutazione d’impatto: Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.
- Redigere un registro dei trattamenti: Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.
- Garantire la sicurezza dei dati: Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).
- Nominare un Responsabile della Protezione dei Dati: La designazione (in vari casi obbligatoria) di un RPD, o in inglese Data Protection Officier (DPO), riflette l´approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento. Nella Pubblica Amministrazione è obbligatorio.
"Il Consenso"
Se il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l'interessato ha prestato il proprio consenso), che è valido se:
- all'interessato è stata resa l'informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
- è stato espresso dall'interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.
Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.
Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).
Trasparenza del trattamento: l’Informativa agli interessati (Privacy Policy)
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all'interessato alcune informazioni anche per metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo).
QUANDO
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).
Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).
COSA
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
COME
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).
Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.
In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).
E-COMMERCE
In ambito E-commerce, ecco alcuni documenti che sei tenuto a redigere:
- Informativa agli interessati (Privacy Policy)
- Coockie Policy
- Termini e Condizioni
Se vuoi compilare questi documenti facilmente e velocemente in modo semi-automatico puoi valutare i servizi offerti da IUBENDA.
IUBENDA ha un "Generatore di Privacy e Cookie Policy" per siti e APP che permette di creare la tua privacy e cookie policy in pochi minuti. E' personalizzabile con oltre 1300 clausole in 8 lingue differenti. Inoltre puoi integrare sul tuo sito o sulla tua app, il documento che hai creato, con pochi semplici passaggi.
Un'altra caratteristica interessante è che un team di avvocati si occupa di informarti sugli eventuali cambiamenti legislativi che potrebbero intervenire nel tempo, e offrirti soluzioni facili da implementare.
I documenti di IUBENDA ti aiutano a rispettare le leggi internazionali come il GDPR, ma anche la Direttiva ePrivacy e il CCPA (California Consumer Privacy Act).
Un altro servizio interessante è la "Cookie Solution"
Questa soluzione ti permette di generare un cookie banner attraverso un configuratore. E' completamente personalizzabile nei testi e nello stile, in modo da integrarlo perfettamente al tuo sito web o alla tua APP.
Puoi anche cambiarne il comportamento attivando o disattivando il consenso allo scorrimento o all'interazione con la pagina.
Puoi bloccare gli script che installano cookie (come richiesto dal GDPR e dalla Direttiva ePrivacy) e riattivali in modo fluido e asincrono quando hai ottenuto il consenso, senza bisogno di aggiornare la pagina.
Puoi automatizzare il blocco preventivo tramite i cookie plugin per WordPress, Magento, Joomla! e PrestaShop, oppure utilizzando il modulo web server per Apache, nginx e IIS.
Inoltre puoi di ottenere il consenso dei visitatori, impostare le preferenze pubblicitarie, raccogliere il consenso per la personalizzazione dei Google Ads e altro ancora.
Puoi anche cambiarne il comportamento attivando o disattivando il consenso allo scorrimento o all'interazione con la pagina.
Puoi bloccare gli script che installano cookie (come richiesto dal GDPR e dalla Direttiva ePrivacy) e riattivali in modo fluido e asincrono quando hai ottenuto il consenso, senza bisogno di aggiornare la pagina.
Puoi automatizzare il blocco preventivo tramite i cookie plugin per WordPress, Magento, Joomla! e PrestaShop, oppure utilizzando il modulo web server per Apache, nginx e IIS.
Inoltre puoi di ottenere il consenso dei visitatori, impostare le preferenze pubblicitarie, raccogliere il consenso per la personalizzazione dei Google Ads e altro ancora.
IUBENDA offre poi un "Generatore di Termini e Condizioni" che permette di redigere il documento attingendo ad oltre 100 clausole pre-configurate per le piattaforme di e-commerce più popolari (Shopify, Wix, Squarespace, Weebly, WooCommerce, PrestaShop, ecc.), e in 8 lingue differenti. E' ideale per e-commerce, marketplace, SaaS, app.
IUBENDA offre anche la "Consent Solution" che si integra con i tuoi moduli di raccolta dati, si sincronizza con i tuoi documenti legali e include un'intuitiva dashboard che ti permette di recuperare i consensi in qualsiasi momento.
Con essa puoi memorizzare e gestire la prova del consenso e le preferenze privacy dei tuoi utenti così come richiesto dal GDPR.
IUBENDA offre inoltre la soluzione "Internal Privacy Management" per documentare le attività di trattamento all'interno della tua organizzazione.
Essa genera il tuo registro del trattamento. Tu ti occupi di aggiungere le attività di trattamento grazie ad oltre 1300 opzioni pre-configurate, dividerle per area, assegnare responsabili e addetti, documentare le basi giuridiche e le altre informazioni richieste dal GDPR.
Se sei interessato a uno qualunque di questi servizi:
- Generatore di Privacy & Cookie Policy,
- Cookie Solution,
- Generatore di Termini e Condizioni,
- Internal Privacy Management
- Consent Solution.
ESPERIENZA PERSONALE
In IUBENDA ho potuto apprezzare l'estrema facilità con cui è possibile creare le Privacy e Coockie Policy. Prima di tutto puoi scegliere di far fare a IUBENDA una scansione del tuo sito web per tentare di identificare automaticamente le clausole da aggiungere al documento. Se poi non sei soddisfatto o vuoi comunque integrare il documento con nuovi servizi puoi comodamente selezionarli da un elenco veramente completo e suddiviso per categoria.
Per alcuni siti web era necessario avere il documento in lingue straniere e ho potuto generarlo immediatamente in inglese e francese!
Inoltre se sei particolarmente interessato all'argomento Privacy puoi approfondire sull'help del sito di IUBENDA, ci sono centinaia di articoli molto ben fatti e dettagliati sia per quanto riguarda le leggi italiane che internazionali.
Per una guida essenziale al GDPR, mirata verso siti web, e-commerce e blog, posso consigliarti questo volume: "Il GDPR per il marketing e il business online: Gestire correttamente siti, blog e social network" di Federica De Stefani (HOEPLI Editore).
A mio parere è completo, schematico nei contenuti e molto facile da consultare ed assimilare.
Per alcuni siti web era necessario avere il documento in lingue straniere e ho potuto generarlo immediatamente in inglese e francese!
Inoltre se sei particolarmente interessato all'argomento Privacy puoi approfondire sull'help del sito di IUBENDA, ci sono centinaia di articoli molto ben fatti e dettagliati sia per quanto riguarda le leggi italiane che internazionali.
Per una guida essenziale al GDPR, mirata verso siti web, e-commerce e blog, posso consigliarti questo volume: "Il GDPR per il marketing e il business online: Gestire correttamente siti, blog e social network" di Federica De Stefani (HOEPLI Editore).
A mio parere è completo, schematico nei contenuti e molto facile da consultare ed assimilare.
©RIPRODUZIONE RISERVATA
