GDPR, misure di sicurezza in breve


Dal prossimo 25 Maggio tutte le aziende dovranno essere conformi con la nuova normativa GDPR per rispettare i termini di questo nuovo regolamento in vigore in tutta l’EU.

 

Fermi tutti! Tanto per cominciare, cosa significa GDPR?

GDPR sta per “Regolamento generale sulla protezione dei dati” GDPR N. 679/2016 e dovrà essere obbligatoriamente rispettato da tutte le aziende che elaborano dati sensibili di cittadini appartenenti all’ UNIONE EUROPEA, al fine di proteggere i loro dati personali.

NON PREOCCUPARTI, NON SEI L’UNICO AD ESSERE IN DIFFICOLTA’!

Si conta infatti che solo il 9% delle aziende è pronto per questo SALTO!

Per leggere tutto il codice clicca qui.

 

Quando entra in vigore?

Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 ma diverrà esecutivo a partire dal 25 Maggio 2018.

Le violazioni del GDPR comportano una prima ammonizione, controlli mirati e periodici, multe fino a 20 milioni di euro o del 4% del fatturato globale, se superiore.
Per approfondimenti clicca qui.

Il Regolamento si integra con la norma Cookie law che obbliga i siti e i blog, che acquisiscono dati sensibili degli utenti, di ottenerne il consenso alla navigazione presentando una brevissima, sebbene fastidiosa, finestrella su TUTTE LE PAGINE del sito.

(Il bannerino giallo che ti è apparso sul sito, per intenderci!)

 

Quali sono i dati sensibili?

Tutto ciò che rende un utente identificabile e autentica.

  • Dato personale: nome, caratteristiche fisiche o fisiologiche, recapiti, ragione sociale
  • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica.
  • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria.

I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

 

Cosa prevede il GDPR?

Quando richiedi i dati sensibili tramite form di contatto devi fornire all’utente:

 Consenso informato, specifico e libero:

  • Informato: La richiesta del consenso dell’uso dei dati personali è obbligatoria e deve essere espressamente dichiarata informando gli utenti sugli scopi della relativa raccolta.
  • Specifico e libero: La check box per il consenso informato deve presentare una finalità per volta.

N.B. Non saranno validi check box già pre-spuntanti.

 

– Consenso Revocabile:

L’utente ha il diritto di richiedere la cancellazione dei propri dati dal database ricorrendo al “diritto all’oblio”.

In questi casi i dati potranno essere:

  • distrutti;
  • ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
  • conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
  • conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’articolo 12. (leggi il codice qui)

 

– Consenso documentato per iscritto:

Il titolare deve dimostrare che ha raccolto i dati dell’utente con una copia dell’attestato di rischio in cui verranno specificate modalità, tempistiche, luogo di memorizzazione di essi  (fisico o virtuale) e chi li detiene.

N.B. Il trattamento dei propri dati personali, espresso da utenti minori, risulterà valido solo se il minore ha 16 anni compiuti. Per tutti gli utenti con un’età inferiore, il consenso deve essere esercitato da un genitore o da chi ne fa le veci e deve essere verificabile (Articolo 8)

 

– La natura obbligatoria o facoltativa del conferimento dei dati;

 

– Le conseguenze di un eventuale rifiuto di rispondere;

 

– Cookie Law con collegamento ad una pagina PRIVACY POLICY (ATTESTATO DI RISCHIO) il cui interno sarà presente un’area con i recapiti telefonici del titolare dei dati per eventuali contatti inerenti alla cancellazione e la memorizzazione di essi.

N.B. Anche il banner dei cookie dovrà mostrare una checkbox non pre-selezionata al fine di continuare la navigazione. Non saranno ritenuti più validi i checkbox che permettono il tacito assenso alla navigazione!

 

Clicca qui per individuare i Casi nei quali può essere effettuato il trattamento senza consenso – art. 24

 

– Certificato HTTPS

 

– Newsletter e E-mail marketing:

Con l’aggiornamento della normativa bisognerà dire addio anche ad una buona parte dei clienti, magari proprio quelli più assenti, raccolti nel corso del tempo e appartenenti alle mailing list. Il consenso dell’iscrizione alla mailing list, anche in questo caso, dovrà essere documentato.

Per evitare pesanti sanzioni, consiglio vivamente di inviare una mail al database:

  • informando dell’aggiornamento della privacy policy;
  • richiedendo il consenso del trattamento dati;
  • collegando gli utenti alla pagina in cui sarà visibile l’attestato di rischio.

Cosa cambia? Oneri, diritti e doveri.

  • I titolari dei dati devono garantire il “diritto all’oblio” o “diritto alla cancellazione” degli utenti e assicurare la cancellazione dei dati di essi qualora richiesto;
  • I responsabili dei dati devono informare, entro 72 ore, le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui.
    WordFence puo’ essere d’aiuto al fine di tracciare log e tentativi di intrusione da parte di hacker;
  • Qualora sia necessario cambiare piattaforma, il titolare è autorizzato al trasferimento dati tramite il “diritto di portabilità”.

 

Cosa fare per essere conformi?

Innanzitutto, dai una lettura a questo documento pescato in rete —> GDPR 

– REDARRE un ATTESTATO DI RISCHIO indicando:

  • Quali dati sono stati richiesti
  • Per quanto tempo essi verranno memorizzati
  • Per quali finalità (valido anche specificare che: “i dati raccolti verranno trattenuti finchè saranno necessari al fine di erogare i servizi richiesti”)
  • Con quali mezzi (cartacei o digitali)

Le condizioni dovranno essere esplicite, legittime, adeguate e pertinenti (Articolo 5)

IUBENDA può esserti d’aiuto. 

 

– CREARE UN COOKIE 

Con l’aggiornamento al GDPR l’utente deve prima affermare il suo consenso/dissenso per di accedere al sito.

 

– ACQUISTARE un CERTIFICATO HTTPS (dal tuo provider).

 

In base a quanto raccolto, stabilirai poi le misure di sicurezza da adottare:

  • Criptare il database per rendere i dati offuscati in modo da non essere comprensibile/intelligibile a persone non autorizzate a leggerlo.

 

  • Creare un registro delle attività del trattamento, cartaceo o digitale, dove conservare i dati raccolti, finalità e destinazioni.

 

Chi è obbligato a farlo?

Il GDPR non fa distinzione tra persone fisiche e aziende in quanto si fa riferimento alla figura del titolare e quindi responsabile delle informazioni reperite.

 

  • I titolari sono esonerati qualora trattino i dati solo per “legittimo interesse relativo a comunicazioni di normale svolgimento lavorativo.
    N.B. Le comunicazioni commerciali non rientrano nel “legittimo interesse, pertanto si è obbligati a rendere il form conforme. (Vedi WordPress, contact form 7 e plugin simili:   ).

 

  • Le Web Agency, i Web designer e i professionisti che si occupano di gestire i siti web figurano come responsabili esterni.
    Pertanto i clienti, ovvero i titolari dei dati, dovranno trascrivere un contratto indicando le modalità del trattamento dei dati.
    Con questo contratto i responsabili esterni, ovveri le Web Agency ecc,  saranno incaricati del trattamento dei dati delimitando però i confini di responsabilità e gli eventuali rischi.

 

  • Coloro che offrono servizio di hosting (serverplan, godaddy, aruba e simili) devono proteggere non solo te, cliente diretto, ma anche i dati acquisitiSarà interesse del titolare dei dati di informarsi sulla gestione e l’archiviazione dei dati.

 

  • Al fine di procedere con l’acquisto di un articolo, i dati raccolti su siti e-commercepotrebbero essere trasferiti:

– sia sul tuo sito Web
– sia sul circuito di pagamento

Se il tuo sito web memorizza questi dati personali dovrai poi provvedere alla cancellazione di essi entro un tempo ragionevole.

Inoltre, la memorizzazione dei dati di fatturazione richiede un trattamento dati specifico e differente da quello già stipulato.

Per approfondire: https://woocommerce.com/2017/12/gdpr-compliance-woocommerce/

 

Come fare per essere conformi e proteggere i dati?

Blog con possibilità di commentare gli articoli:
creare una chekbox per il consenso al trattamento dati.
Qualora l’utente desiderasse essere eliminato dalla discussione basterà renderlo anonimo con “Anonymus user”.

• Accessi tramite social network:
Il Collegamento ai social (facebook, instagram, pinterest ecc.), che raccolgono dati ai fini di accesso alla piattaforma, devono semplicemente essere segnalati nella privacy policy indicandone la responsabilità, che in questi casi è dell’utente stesso che vi accede.

E-mail marketing per fini commerciali destinate a terzi:
creare una chekbox per il consenso al trattamento dati.
Specificare se è inerente o meno con il servizio offerto dal sito.
Qualora i dati verranno ceduti a terzi, il consenso deve essere ottenuto separatamente con un’altra casella e una dicitura distinta.

AdSense, Affiliazioni Amazon e banner pubblicitari:
raccolgono dati per molteplici scopi, informare e ottenere l’esplicito consenso prima di renderli attivi.

 

WordPress, contact form 7 e plugin simili: 

 

  • Rendere conforme il sito:

–  WP GDPR Compliance

 

  • Gestire Cookie, consensi e conformità:

CookieMetrix (per verificare i cookie attivi sul tuo sito e definire se sono a norma GDPR o meno)

Cookiebot | GDPR Compliant Cookie Consent and Notice 

GDPR Cookie Compliance Di Moove Agency

 

  • Assistenza protezione dati:

– GDPR By Trew Knowledge

 

  •  Criptografare e memorizzare dati

– Security Audit Log 

 

  • Contact Form

– Flamingo  (per l’archiviazione dei messaggi e dei loro assensi)

– Per approfondire clicca qui

 

Google Analytics / Facebook Pixel:

Google Analytics, Facebook Pixel e altri plugin che si occupano di analisi, statistiche e monitoraggio dei dati, non possono essere attivi fino al consenso dell’utente del trattamento specificato nella checkbox.

– Per approfondire clicca qui

 

Mailchimp:

Segui le procedure qui

 

 

RICAPITOLANDO

  1. Elenca tutti i modi con cui il sito di riferimento traccia i dati (cookie, plugin di monitoraggio, contact form, moduli area utente riservata, sezione commenti, newsletter, plugin, cessione dati a terze parti per profilazione e e-mail marketing, trattamento dati da parte dell’hosting);
  2. Crea la tua pagina privacy policy (l’attestato di rischio per intenderci) indicando che:
    – il visitatore ha diritto di accedere, correggere, eliminare e limitare l’elaborazione dei dati,
    – il visitatore ha diritto di ricevere i dati personali ai fini di portabilità
    – il visitatore ha diritto a inviare un reclamo presso l’autorità di vigilanza (GDPR)
  3. Scegli dove rendere facilmente accessibile la pagina (nel footer, nella sidebar, nella pagina contatti, nel chi siamo ecc.);
  4. Specifica perchè richiedi questi dati (e-mail marketing, newsletter per il nuovo articolo sul blog, offerte speciali e/o coupon per fidelizzare i tuoi clienti);
  5. Ci sono terze parti coinvolte? Specifica il perchè e linka ciascuno di essi alla privacy policy della parte coinvolta;
  6. Indica un recapito telefonico o un collegamento ai contatti per poter essere contattato dall’utente;
  7. Mostra la memorizzazione del consenso;
  8. Verifica se:
    – il tuo sito è conforme alla normativa GDPR qui;
    – i plugin installati sono conformi alla normativa GDPR qui;

 

 

N.B. questo articolo è fornito a puro scopo informativo e non intende dare alcun consiglio legale.

Per capire l’effettiva portata del GDPR sul tuo website, ti consiglio di avvalerti dei servizi di un legale o di un esperto di privacy indipendente.

 

Sitografia:

Qualche consiglio per mettersi in regola con la GDPR

GDPR: vademecum per non impazzire prima del tempo

Hai aggiornato il tuo sito nel rispetto del GDPR? Hai tempo fino al 25 maggio per adeguarti, ecco come

Il mio sito è conforme?

Codice in materia di protezione dei dati personali [Testo consolidato vigente]

 

 

 


ILLUMINA IL MONDO

More Posts

8 Comments

  • Sarah
    13 maggio 2018 at 16:27  - Reply

    Ciao Andreina, grazie per avermi indicato questo post per iniziare a capirci qualcosa in maniera semplice. Il sito mi piace molto, pieno di luce e di trasformazione a partire dal nome. Ti ho adottato qui su Facebook: https://www.facebook.com/groups/adotta1blogger/ community di Paola Chiesa, amministratrice. Spero ti troverai bene tra noi. Ce n’ è per tutti i gusti. Un abbraccio. Sarah 🙂

    • Andreina Russo
      13 maggio 2018 at 17:16  - Reply

      Grazie Sarah! Sono contenta che ti abbia “illuminato”. Senz’altro farò un giro in questo gruppo indicatomi!

  • Claudio
    13 maggio 2018 at 21:35  - Reply

    Complimenti per l’articolo vorrei ricordare di non tralasciare i log che registrano gli indirizzi IP sul server

    • Andreina Russo
      13 maggio 2018 at 21:56  - Reply

      Per i log cosa proponi?

  • Andrea
    13 maggio 2018 at 21:57  - Reply

    Buono a sapersi. L’articolo è chiaro e molto comprensibile. grazie!

    • Andreina Russo
      13 maggio 2018 at 21:59  - Reply

      Grazie a te per l’attenzione!

  • Gianluca Molina - WebePc
    14 maggio 2018 at 8:55  - Reply

    Salve Adreina.
    Solo per segnalarti che, per far rientrare Analytics come cookie tecnico e non di profilazione, bisogna abilitare l’anonimizzazione degli indirizzi IP

    P.s anche per commentare dovrei dare il consenso al trattamento! 😉

    • Andreina Russo
      14 maggio 2018 at 9:04  - Reply

      Grazie Gianluca! Da ciò che sto vedendo c’è veramente ancora tanto lavoro da fare sull’articolo!

      Si, anche per i commenti di sicuro c’è qualcosa in cui attenersi. Purtroppo ancora non ho avuto modo di testare il tutto. Sarà una bella sfida!