• Home
  • GDPR Compliance

GDPR Compliance

GDPR Compliance

Il Regolamento generale sulla protezione dei dati è la nuova normativa sulla privacy per l’Unione Europea. Rovesciando la prospettiva di disciplina di riferimento dei dati personali, la GDPR responsabilizza le aziende, secondo il principio della accountability. I “titolari del trattamento”, ovvero TUTTE LE AZIENDE, sono tenute ad adeguarsi e rivedere le modalità di trattamento dei dati personali. La norma evidenzia come fondamentali le misure di sicurezza informatica invitando quindi all’uso di strumenti conformi.

I 6 principi del GDPR:

  • Necessità di trasparenza nella gestione e nell’uso dei dati personali
  • Limitazione del trattamento dei dati personali a scopi legittimi specifici
  • Limitazione della raccolta e dell’archiviazione dei dati personali a scopi specifici
  • Possibilità per i singoli individui di correggere i propri dati personali o richiederne l’eliminazione
  • Limitazione dell’archiviazione dei dati personali per il solo tempo necessario allo scopo per cui sono stati raccolti
  • Assicurare che i dati personali siano protetti attraverso pratiche di sicurezza appropriate

    IL GDPR interessa tutti coloro che raccolgono e utilizzano liste di contatti a scopo professionale e non solo. In sostanza qualsiasi dato personale potrà essere utilizzato dalla tua azienda soltanto se acquisito e gestito secondo i principi del nuovo regolamento europeo.

    Perché il GDPR
    Lo scopo di questa legge è duplice: da una parte, tutela i cittadini europei che prestano il loro consenso al trattamento dei dati personali e, dall’altra, regolamenta in maniera più uniforme l’aspetto della privacy nelle diverse città europee.
    Chi è in possesso di un sito o eCommerce sarà tenuto ad adempiere alla nuova normativa sulla sicurezza web. Il cuore del regolamento mira all' esplicitazione del consenso degli utenti per il loro rilascio dati. Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consenso al trattamento dei loro dati personali. Allo stesso tempo tutti i siti devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.

    Diritto all'oblio
    Ancora più importante: il “webmaster” deve assicurare i suoi utenti sulla possibilità di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (cancellazione e "diritto all'oblio" in qualsiasi momento). Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!)

    Quali sono gli obblighi per i Titolari di siti o eCommerce?
    Per prima cosa è necessaria un’analisi di come il tuo sito raccoglie e gestisce i dati personali. Se il tuo sito contiene solo un form di contatto, bisogna considerare anche dove conservi quei dati e come li utilizzi. Ciò significa che imprese ed enti articolati dovranno nominare un Data Protection Officer (DPO), ovvero un responsabile del trattamento dati appositamente previsto nella gerarchia aziendale per rispondere alle numerose criticità informative, gestionali e di rendicontazione.

    L’analisi minima da cui puoi partire comprende questi aspetti:
    1. Aree del tuo sito che raccolgono i dati
    2. Memorizzazione degli stessi (nel tuo sito? In un sistema esterno? Quale?)
    3. Uso dei dati (Newsletter, Adempimenti contrattuali, Profilazione pubblicitaria)
    4. Tempistica di conservazione
    5. Tipologia di consenso ottenuto
    6. Sicurezza dei dati e rischi in caso di furto (“Data breach”)

    Il criterio dell'accountability
    Dall'entrata in vigore del GDPR diventa obbligatorio elaborare un sistema documentale di gestione della privacy, contenente tutti gli atti, regolarmente aggiornati, elaborati per soddisfare i requisiti di conformità. Se un'azienda non organizza bene la gestione dei dati raccolti è punibile per questo semplice fatto, a prescindere dall'abuso dei dati che ne possa derivare. Inoltre se prima per accedere, modificare, integrare e cancellare i propri dati personali, il processo risultava spesso tortuoso, ora le aziende devono agevolare l'esercizio di questi diritti. In caso di Data Breach il titolare del trattamento dovrà comunicare tempestivamente al Garante eventuali violazioni dei dati personali.

    Privacy by design, privacy by default
    Due concetti basilari alle fondamenta del GDPR. In primis la Privacy by design, ovvero la tutela dei dati personali che deve essere pensata e organizzata fin dalla fase progettuale della raccolta di informazioni. Con questo modo si rendono obbligatori meccanismi di protezione dall'inizio di un processo e per l'intera gestione del ciclo di vita delle informazioni. Il secondo è quello della Privacy by default: le aziende devono prevenire raccolte di dati non necessari, per le finalità perseguite, evitando di acquisire informazioni eccedenti rispetto agli obiettivi dichiarati nell'informativa.

    La compliance si persegue attraverso la collaborazione sinergica tra i vari dipartimenti dell’organizzazione aziendale e il corretto mix di documentazione e soluzioni software a corredo, insieme alla consulenza degli esperti.

    Cosa rivedere subito nel tuo sito
  • Modalità di gestione e memorizzazione dei dati sensibili;
  • Cookie e, nello specifico, il banner per il consenso sui cookie (il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali)
  • Privacy Policy: deve essere aggiornata per renderla conforme alla nuova legge europea

    • Contattaci per una consulenza gratuita