GDPR – Le novità del Nuovo regolamento Europeo sulla Privacy
Il GDPR (General Data Protection Regulation), è il nuovo regolamento Europeo sulla privacy che entrerà in vigore dal prossimo 25 maggio 2018, e nasce con l’obiettivo di tutelare e proteggere in modo più efficace i dati personali di tutti i cittadini residenti sul territorio europeo.
Rispetto all’attuale legge Italiana sulla privacy rappresenta un notevole passo avanti, ma come tutte le deadline diventa anche ragione di apprensione e corsa contro il tempo per rendere il proprio sito web in regola con le nuove direttive.
La prima cosa che fa il GDPR è spiegare in dettaglio cosa si intente per dati personali:
“Qualsiasi informazione correlata ad un individuo […] che possa essere usata per identificare direttamente o indirettamente una persona. Può trattarsi di qualsiasi cosa, un nome, una foto, un indirizzo email, informazioni bancarie, post nei social network, informazioni sanitarie, l’indirizzo IP di un computer”.
Rispetto all’attuale legislazione Europea in termini di privacy che era stata emanata come direttiva (quindi in realtà ogni paese aveva una sua legge), il GDPR è stato emanato come regolamentazione ossia:
“una regolamentazione è un atto legislativo vincolante. Deve essere applicato nella sua interezza in tutta l’UE. […] Una direttiva è un atto legislativo che stabilisce gli obiettivi che i Paesi UE devono raggiungere. Tuttavia, spetta ad ogni singolo Stato decidere come [raggiungerli]. E’ importante sottolineare che il GDPR è una regolamentazione, rispetto alla precedente legislazione che è una direttiva”.
Pertanto dal 25 Maggio 2018 dovrà essere applicato in tutti i paesi della Comunità Europea.
Il GDPR prevede la creazione di due nuove figure tecniche legate ai dati personali ossia:
Data controller: un’entità che determina le finalità, le condizioni ed i mezzi per il processamento dei dati personali.
Data processor: il secondo è l’entità che si occupa di processare i dati per conto del data controller
Queste due figure che devono lavorare in sinergia l’uno con l’altro hanno il compito di minimizzare l’utilizzo dei dati (solo lo stretto necessario all’esecuzione dei loro impegni) e ad attenersi al concetto di privacy by design: ossia fare in modo che tutti i nuovi processi sia creati fin da subito con l’ottica di protezione dei dati personali.
Da citare infine il ruolo del data protection officer (DPO) che sarà allo stesso tempo consulente, vigilante dei processi di trattamento e elemento di raccordo tra i titolari del trattamento stesso e l’Autorità Garante della privacy.
Per gli utenti (ricordiamoci che anche noi professionisti dell’IT siamo anche utenti nei confronti della miriade di servizi che usiamo nella vita quotidiana) il GDPR rappresenta sicuramente un passo avanti notevole: la modalità di richiesta del consenso dei dati viene snellita e vengono imposti paletti importanti ossia:
“le compagnie non saranno più in grado di utilizzare termini di difficile comprensione e condizioni [caratterizzate da un registro giuridico] perché le richieste di consenso dovranno essere fornite [all’individuo] in [un formato] semplice e comprensibile, unitamente alle finalità di raccolta dei dati [che saranno allegate a tale richiesta]. Il consenso deve essere chiaro e distinguibile da altre [questioni contrattuali] e va [esplicitato utilizzando] un linguaggio semplice e chiaro. [Il ritiro del consenso deve essere facile quanto l’accettazione]”.
Inoltre gli utenti avranno il diritto di essere informati intempestivamente circa eventuali furti di dati (data breach), definiti come un potenziale rischio per i diritti e la libertà degli individui. All’obbligo di notifica dovranno attenersi tutti gli stati membri. I data processor, una volta scoperto il furto, dovranno informare immediatamente i clienti ed i data controller.
I cittadini potranno inoltre richiedere ai data controller: una copia dei propri dati personali in formato elettronico, con la possibilità di spostarli presso un altro controller (data portability); dove e se una determinata tipologia di dati sia processata o meno e con quali finalità; la cancellazione dei dati in caso di ritiro del consenso (il cosiddetto diritto all’oblio) o nel caso non siano più rilevanti per le finalità di raccolta dei dati allegate alle richieste di consenso.
Guardando il mondo invece dal lato di chi crea e gestisce siti web la situazione ovviamente è più complessa: in generale il mio suggerimento è di rivolgersi ad un consulente che possa fornire tutte le informazioni legali da adempiere evitando il “fai da te” ma nel tentativo di districarsi nei meandri della legge possiamo individuare alcuni punti salienti:
Per prima cosa è necessario capire quali dati stiamo usando e come li stiamo usando e novità quali figure professionali della nostra azienda li sta usando.
Il GDPR prevede infatti una serie di passi da completare che possono essere così schematizzati:
- Raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;
- Creazione del registro dei trattamenti dei dati personali, ossia un documento che tracci tutti i trattamenti dei dati da del titolare e degli eventuali responsabili e che contenga le finalità del trattamento, una descrizione delle categorie di interessati e dei dati personali, i destinatari, una descrizione generale delle misure di sicurezza etc..
- Stesura/Modifica della documentazione affinché risulti completa ed aggiornata secondo le prescrizioni della nuova normativa;
- Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;
- Definizione delle politiche di sicurezza e valutazione dei rischi
- Processo di Data Breach: in modo da essere certi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, avere dei report adeguati ed essere capaci di capire da dove sono stati rubati i dati e che impatto questi possono avere;
- Valutazione d’impatto sulla protezione dei dati personali: valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
- Implementazione dei processi per l’esercizio dei diritti dell’interessato;
- Individuazione e nomina di un Data Protection Officer (DPO)
Come si può vedere la materia è lunga, complessa e molto tecnica, basta infatti guardare il documento PDF che il garante della Privacy ha realizzato relativamente al GDPR (190 pagine) per capire quanto sia profondo il pozzo!
Online ho trovato un documento che mi è piaciuto molto e che riporta una demo di quella che potrebbe essere una “demo” dell’informativa aggiornata della privacy, mentre su Agenda Digitale è presente un approfondimento a 360° sul GDPR.
Il consiglio è quindi quello di avere un consulente perchè il GDPR va a toccare diversi aspetti di ogni azienda.
Relativamente ai siti web il DGPR va ad impattare su diversi aspetti importanti:
- Contatori delle visite
- Cookie di terze parti
- Raccolta dati tramite form
- Registrazione Utenti
- Ecommerce
- Newsletter
- Profilazione utenti
Tutta questa mole di dati a sua volta va ad impattare sulle web agency (o meglio sul responsabile delle web agency) perchè probabilmente il responsabile tecnico avendo accesso ai server ha anche accesso ai dati, sugli ISP (importante quindi che abbiano tutte le certificazioni del caso) perchè materialmente i server risiedono da loro e infine in modo massivo sulle aziende stesse perchè sono poi loro ad avere accesso ai dati ed a usarli per scopi commerciali o meno.
Alla fine di questa “lunga” analisi, torno quindi al punto di partenza: è bene avere un consulente che fornisca tutte linee guida strutturate sull’esigenza di ogni singola azienda.