gdpr

Da diverse settimane sto cercando di capire il GDPR, leggendo la normativa, il regolamento e vari testi e pareri (più o meno) illustri in merito.

Purtroppo la confusione regna sovrana, e non essendo un esperto in leggi ho preferito rivolgermi a 2 amici di vecchia data (Andrea Giannangelo e Antonio Sica di iubenda) che nell’articolo qui sotto hanno messo insieme una guida sotto forma di domande e risposte, che spero potrà esserti utile.

Cos’è il GDPR e perché è un regolamento?

GDPR sta per General Data Protection Regulation, o Regolamento Generale sulla Protezione dei Dati (RGPD), ed è il nuovo regolamento europeo in materia di privacy.

Il GDPR sarà pienamente applicabile a partire dal 25 maggio 2018 e sostituisce il d.lgs. 196/2003 (o Codice Privacy) e le altre leggi privacy nazionali degli Stati Membri dell’Unione Europea. Infatti, al contrario della direttiva, che deve essere recepita tramite una legge nazionale, il regolamento è direttamente applicabile in tutti i Paesi UE.

Il regolamento serve quindi ad uniformare la normativa privacy a livello europeo, nonché a dotare l’Europa di un quadro normativo in linea con le esigenze della società odierna. Il Codice Privacy in vigore prima del GDPR era infatti basato su una direttiva del lontano 1995!

Chi deve adeguarsi al GDPR?

Tutte le organizzazioni con:

  • base operativa nel territorio UE;
  • base operativa in un Paese terzo, ma che trattano dati di utenti o clienti europei.

L’ambito di applicazione è dunque molto ampio. Basti pensare al fatto che un sondaggio della società di consulenza PWC ha evidenziato che il GDPR è una priorità assoluta per il 92% di tutte le aziende statunitensi intervistate.

Cosa deve fare il gestore di un sito o di un’app per adeguarsi?

Innanzitutto è necessario predisporre e mostrare agli utenti una Privacy Policy, ovvero un documento che illustra, in estrema sintesi:

  • le finalità e le modalità del trattamento dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • i soggetti ai quali i dati personali possono essere comunicati (incluse le terze parti che trattano dati degli utenti mediante delle tecnologie installate sul proprio sito o app, come Facebook o Google);
  • i diritti dell’interessato;
  • gli estremi identificativi del titolare del trattamento (cioè la persona fisica o giuridica che gestisce il sito/app).

La Privacy Policy non è una novità, ma per effetto del GDPR deve essere aggiornata, ad esempio per contemplare i nuovi diritti introdotti dal GDPR, come la portabilità del dato e il diritto all’oblio.

In più, per poter trattare i dati dei propri utenti o clienti, il titolare deve disporre di almeno una delle cosiddette “basi giuridiche del trattamento”.

Il trattamento può quindi avvenire solo quando è giustificato da delle basi giuridiche definite, tra cui principalmente:

  • l’esecuzione di un contratto;
  • la presenza di un consenso prestato dall’utente per una o più specifiche finalità.

In altre parole, il titolare può trattare dati al fine di intraprendere azioni necessarie ad eseguire un contratto al quale l’utente ha aderito, ad esempio per spedire all’utente un bene acquistato sul proprio e-commerce, oppure perché l’utente ha esplicitamente acconsentito al trattamento, ad esempio si è iscritto volontariamente alla newsletter del proprio blog.

Oltre a queste, ci sono anche altre basi giuridiche del trattamento, ma il consenso è senz’altro l’aspetto al quale prestare maggiore attenzione.

Cosa è necessario fare per raccogliere un consenso valido?

In linea generale il consenso deve essere:

  • libero – non possiamo obbligare l’utente a prestare un consenso pena la mancata erogazione del servizio;
  • specifico – ovvero, un consenso per ogni finalità;
  • informato – dobbiamo far capire all’utente cosa faremo con i suoi dati;
  • sempre revocabile – in ogni momento l’utente deve poter revocare il consenso.

In aggiunta a questi principi, sanciti anche dal Codice Privacy (la legge di riferimento prima del GDPR), il GDPR introduce la necessità di ottenere un consenso inequivocabile da parte degli utenti.

Il titolare deve quindi poter dimostrare con assoluta certezza che un utente ha validamente prestato il proprio consenso. Questo comporta dunque la necessità di adottare sul proprio sito o app delle tecnologie che siano in grado di archiviare i consensi in modo da disporre di una prova del consenso in linea con i dettami del GDPR.

E i consensi acquisiti prima del 25 maggio?

Continuano ad essere validi, a patto che il titolare sia in grado di dimostrare di averli raccolti in ottemperanza alla legislazione privacy in vigore prima del GDPR.

Quali sono le modalità di raccolta del consenso?

Per i siti che raccolgono consensi, come gli e-commerce, è oltremodo opportuno prestare particolare attenzione alle modalità di raccolta del consenso. In linea generale, il consenso deve essere raccolto:

  • in fase di registrazione, aggiungendo una dicitura del tipo “Registrandoti acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni” (la checkbox in questo caso non è necessaria);
  • in fase di acquisto, aggiungendo – prima della conferma dell’ordine – una dicitura del tipo “Completando l’acquisto acconsenti alla nostra Privacy Policy e accetti i nostri Termini e Condizioni”. La dicitura è richiesta sia per gli utenti già iscritti che per gli utenti guest.

Il consenso all’invio di comunicazioni commerciali può essere raccolto:

  • inserendo una checkbox non preselezionata in fase di registrazione, contenente una dicitura del tipo “Acconsento a ricevere comunicazioni commerciali”; oppure
  • tramite una finestra che si apre al click del pulsante di registrazione, contenente una dicitura del tipo “Vuoi ricevere anche i nostri aggiornamenti via email?”, con un’opzione Sì/No a disposizione dell’utente; oppure
  • mediante invio di una email di double opt-int. In questo caso, la email deve contenere un link con cui l’utente può semplicemente verificare il proprio indirizzo email, ed un altro link con cui, se vuole, l’utente può verificare il suo indirizzo email, acconsentendo anche a ricevere comunicazioni commerciali via email.

La procedura di double opt-int, che consiste quindi nell’inviare una email con cui l’utente, mediante il click su un link di conferma, può confermare di essersi effettivamente registrato, è considerata una best practice (obbligatoria in alcuni Paesi come la Germania) in quanto è l’unico modo per verificare che l’utente che immette i dati sul sito sia effettivamente il proprietario dell’indirizzo email con cui si sta registrando.

In caso di e-commerce, inoltre, il consenso per inviare comunicazioni commerciali non è necessario se l’utente ha già effettuato un acquisto, e se le newsletter riguardano prodotti o servizi simili a quelli già acquistati, a patto che l’utente non si sia espressamente disiscritto.

Ci sono modalità particolari per raccogliere il consenso in un semplice form di iscrizione alla newsletter?

È importante sottolineare che, per le stesse ragioni evidenziate in precedenza, la procedura di double opt-in è una best practice anche al di là del contesto e-commerce. Ad esempio, in presenza di un form utilizzato esclusivamente per l’iscrizione alla newsletter, la checkbox non è necessaria, mentre è sempre opportuno predisporre una procedura di double opt-in.

GDPR e Cookie Law. Cambia qualcosa?

La Cookie Law deriva dalla Direttiva ePrivacy, che non viene modificata dal GDPR. È tuttavia in fase di elaborazione un nuovo Regolamento ePrivacy, che effettivamente sostituirà la Direttiva ePrivacy (e quindi la Cookie Law) nei prossimi mesi. In ogni caso, il Regolamento ePrivacy dovrebbe confermare in buona sostanza tutto quanto già previsto dalla Direttiva ePrivacy.

È necessario far approvare o rifiutare all’utente l’installazione di ogni singolo cookie?

No, non è necessario. Come anticipato, infatti, la Cookie Law resta invariata. Dobbiamo quindi continuare ad adottare gli stessi accorgimenti che abbiamo seguito fino ad oggi, e quindi:

  • predisporre e mostrare agli utenti una Cookie Policy che illustri le diverse tipologie di cookie installate dal proprio sito (senza la specifica dei nomi dei singoli cookie);
  • predisporre e mostrare alla prima visita di ogni utente un Cookie Banner con al suo interno un link alla Cookie Policy;
  • bloccare tutti i codici che installano o che potrebbero installare cookie di profilazione prima di aver raccolto il consenso degli utenti;
  • registrare il consenso dell’utente, prestato ad esempio mediante il proseguimento della navigazione, al fine di far scomparire il Cookie Banner e di rilasciare tutti i codici precedentemente bloccati.

Se l’utente vuole navigare sul sito senza subire l’installazione di uno specifico cookie, eserciterà l’opt-out utilizzando gli appositi moduli messi a disposizione direttamente dalle terze parti. Per questo è necessario inserire all’interno della Cookie Policy l’elenco delle tecnologie di terza parte utilizzate dal sito, con anche un link alle rispettive informative ed ai moduli di opt-out.

Un esempio pratico?

Il nostro sito profila gli utenti mediante Google Analytics. Un utente non vuole essere tracciato. Alla sua prima visita al sito:

  • il codice di Google Analytics sarà bloccato;
  • verrà mostrato un Cookie Banner con un link alla Cookie Policy;
  • nella Cookie Policy l’utente troverà il link al modulo di opt-out di Analytics, con cui potrà chiedere direttamente a Google di non essere tracciato da GA;
  • quando l’utente prosegue nella navigazione, possiamo rilasciare tutti i codici precedentemente bloccati e far scomparire il Cookie Banner.

Ci sono altri requisiti da rispettare oltre a quanto necessario sul proprio sito o app?

Sì, il GDPR ha molti impatti anche sul fronte della compliance aziendale interna. In estrema sintesi:

  • bisogna mappare con cura il proprio organigramma privacy, individuando tutti i soggetti interni o esterni alla propria organizzazione che trattano dati degli utenti per conto del titolare. Questi soggetti devono essere nominati responsabili o addetti al trattamento;
  • in alcuni casi è necessario nominare anche un Data Protection Officer (DPO), ovvero un soggetto con una conoscenza approfondita della legislazione privacy che si occupa del controllo della conformità interna al GDPR e della supervisione e attuazione della strategia di protezione dei dati dell’organizzazione;
  • predisporre un Registro del Trattamento contenente l’indicazione dei dati trattati dall’organizzazione, delle finalità del trattamento, dei soggetti che accedono ai dati, degli eventuali trasferimenti di dati all’estero, dei termini di cancellazione dei dati e delle misure di sicurezza adottate;
  • effettuare dei processi di Data Protection Impact Assessment (DPIA) per valutare l’impatto di nuove tecnologie o attività di trattamento che l’organizzazione vuole porre in essere. Le DPIA devono essere documentate per iscritto;
  • adottare delle procedure aziendali, ad esempio per rispondere ad eventuali violazioni dei dati personali – data breach – secondo quanto previsto dal GDPR, o per rispondere ad eventuali richieste di esercizio dei propri diritti da parte degli utenti.

Naturalmente per la sua complessità il GDPR non può essere riassunto in modo esaustivo in poche righe. È bene dunque chiarire che con queste risposte cerchiamo di fornire delle indicazioni pratiche e semplificate in merito ai requisiti di legge ed alle best practice ad essi connesse, ma senza la pretesa di avere natura conclusiva o di sostituire il rapporto diretto con un professionista legale.

Come può aiutarci iubenda?

iubenda offre delle soluzioni software per adeguare i propri siti, app e organizzazioni alle principali legislazioni internazionali, GDPR incluso.

Generatore di Privacy e Cookie Policy

Con il Generatore di Privacy e Cookie Policy di iubenda è possibile generare con una semplice procedura guidata una Privacy Policy personalizzata sulla base delle esigenze specifiche del proprio sito o app, in linea con il GDPR e tradotta fino a 8 lingue. Oltre alla Privacy Policy, è possibile generare anche una Cookie Policy in linea con i requisiti della Cookie Law europea.

iubenda Cookie Solution

La iubenda Cookie Solution permette di rispettare i requisiti tecnici imposti dalla Cookie Law occupandosi di:

  • mostrare un Cookie Banner alla prima visita di ogni utente;
  • bloccare i cookie di profilazione prima di aver raccolto il consenso;
  • rilevare le azioni dell’utente e registrarne il consenso;
  • far scomparire il Cookie Banner e rilasciare in modo asincrono (senza refresh della pagina) tutti i codici precedentemente bloccati non appena raccolto il consenso;
  • salvare le preferenze dell’utente per non erogare Cookie Banner e blocco preventivo alle successive visite.

Consent Solution

La iubenda Consent Solution permette di registrare e archiviare tutti i consensi prestati dai propri utenti compilando i vari form (contatto, registrazione, iscrizione alla newsletter etc.) presenti sul proprio sito o app, ma anche offline (es. moduli cartacei).

La Consent Solution segue le linee guida più rigide per l’archiviazione del consenso così da permettere al titolare di disporre di una prova del consenso che, così come richiesto dal GDPR, chiarisca in modo inequivocabile:

  • quando e come il consenso del singolo utente è stato acquisito;
  • ciò che è stato detto all’utente in fase di raccolta del consenso, insieme ad un riferimento alle condizioni in essere nel momento in cui il consenso stesso è stato acquisito.

In pratica, tramite API o mediante un semplice widget Javascript, è possibile inviare a iubenda una serie di informazioni ogni qual volta un utente compila uno dei form di contatto, registrazione o iscrizione alla newsletter tracciati attraverso la Consent Solution. Queste informazioni vanno a costituire delle prove che il titolare può utilizzare per dimostrare la validità dei consensi raccolti.

Internal Privacy Management

Il software di Internal Privacy Management di iubenda consente di gestire gli ulteriori requisiti introdotti dal GDPR sul piano della compliance aziendale interna.

Le funzionalità principali della soluzione di Internal Privacy Management includono:

  • la generazione e l’aggiornamento di un Registro del Trattamento;
  • la mappatura del proprio organigramma privacy mediante l’aggiunta dei membri della propria organizzazione e dei rispettivi ruoli;
  • la gestione semplificata dei processi di valutazione d’impatto (DPIA);
  • la modulistica necessaria ad esempio per nominare responsabili e addetti al trattamento.

Assistenza personalizzata

In aggiunta alle soluzioni software, è possibile inoltre richiedere il supporto diretto del team legale del TagliaErbe, composto da affermati Avvocati specializzati nel diritto del digitale. 

Inoltre io sono un consulente specializzato in adeguamenti al Gdpr. 
Puoi trovare la mia scheda su Federprivacy e se avessi necessità puoi contattarmi a questa pagina.

Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.