GDPR, misure di sicurezza in breve


Dal prossimo 25 Maggio tutte le aziende dovranno essere conformi con la nuova normativa GDPR per rispettare i termini di questo nuovo regolamento in vigore in tutta l’EU.

Fermi tutti! Tanto per cominciare, cosa significa GDPR?

GDPR sta per “Regolamento generale sulla protezione dei dati” GDPR N. 679/2016 e dovrà essere obbligatoriamente rispettato da tutte le aziende che elaborano dati sensibili di cittadini appartenenti all’ UNIONE EUROPEA, al fine di proteggere i loro dati personali.

NON PREOCCUPARTI, NON SEI L’UNICO AD ESSERE IN DIFFICOLTA’!

Si conta infatti che solo il 9% delle aziende è pronto per questo SALTO!

Per leggere tutto il codice clicca qui.

Quando entra in vigore?

Il GDPR è stato adottato dal Parlamento Europeo nell’aprile 2016 ma diverrà esecutivo a partire dal 25 Maggio 2018.

Le violazioni del GDPR comportano una prima ammonizione, controlli mirati e periodici, multe fino a 20 milioni di euro o del 4% del fatturato globale, se superiore.
Per approfondimenti clicca qui.

Il Regolamento si integra con la norma Cookie law che obbliga i siti e i blog, che acquisiscono dati sensibili degli utenti, di ottenerne il consenso alla navigazione presentando una brevissima, sebbene fastidiosa, finestrella su TUTTE LE PAGINE del sito.

(Il bannerino giallo che ti è apparso sul sito, per intenderci!)

Quali sono i dati sensibili?

Tutto ciò che rende un utente identificabile e autentica.

  • Dato personale: nome, caratteristiche fisiche o fisiologiche, recapiti, ragione sociale
  • Dati genetici: ereditati o acquisiti, ottenuti tramite analisi di DNA ed RNA da un campione biologico della persona fisica in questione.
  • Dati biometrici: come l’immagine facciale, grazie ai quali è possibile identificare una ed una sola persona fisica.
  • Dati sulla salute: sia fisica che mentale, passata, presente o futura, ma anche informazioni su servizi di assistenza sanitaria.

I principi di Privacy by Design and by Default (Articolo 25) richiedono che la protezione dei dati faccia parte del progetto di sviluppo dei processi aziendali per prodotti e servizi.

Cosa prevede il GDPR?

Quando richiedi i dati sensibili tramite form di contatto devi fornire all’utente:

 Consenso informato, specifico e libero:

  • Informato: La richiesta del consenso dell’uso dei dati personali è obbligatoria e deve essere espressamente dichiarata informando gli utenti sugli scopi della relativa raccolta.
  • Specifico e libero: La check box per il consenso informato deve presentare una finalità per volta.

N.B. Non saranno validi check box già pre-spuntanti.

– Consenso Revocabile:

L’utente ha il diritto di richiedere la cancellazione dei propri dati dal database ricorrendo al “diritto all’oblio”.

In questi casi i dati potranno essere:

  • distrutti;
  • ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
  • conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
  • conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’articolo 12. (leggi il codice qui)

– Consenso documentato per iscritto:

Il titolare deve dimostrare che ha raccolto i dati dell’utente con una copia dell’attestato di rischio in cui verranno specificate modalità, tempistiche, luogo di memorizzazione di essi  (fisico o virtuale) e chi li detiene.

N.B. Il trattamento dei propri dati personali, espresso da utenti minori, risulterà valido solo se il minore ha 16 anni compiuti. Per tutti gli utenti con un’età inferiore, il consenso deve essere esercitato da un genitore o da chi ne fa le veci e deve essere verificabile (Articolo 8)

– La natura obbligatoria o facoltativa del conferimento dei dati;

– Le conseguenze di un eventuale rifiuto di rispondere;

– Cookie Law con collegamento ad una pagina PRIVACY POLICY (ATTESTATO DI RISCHIO) il cui interno sarà presente un’area con i recapiti telefonici del titolare dei dati per eventuali contatti inerenti alla cancellazione e la memorizzazione di essi.

N.B. Anche il banner dei cookie dovrà mostrare una checkbox non pre-selezionata al fine di continuare la navigazione. Non saranno ritenuti più validi i checkbox che permettono il tacito assenso alla navigazione!

Clicca qui per individuare i Casi nei quali può essere effettuato il trattamento senza consenso – art. 24

– Certificato HTTPS

– Newsletter e E-mail marketing:

Con l’aggiornamento della normativa bisognerà dire addio anche ad una buona parte dei clienti, magari proprio quelli più assenti, raccolti nel corso del tempo e appartenenti alle mailing list. Il consenso dell’iscrizione alla mailing list, anche in questo caso, dovrà essere documentato.

Per evitare pesanti sanzioni, consiglio vivamente di inviare una mail al database:

  • informando dell’aggiornamento della privacy policy;
  • richiedendo il consenso del trattamento dati;
  • collegando gli utenti alla pagina in cui sarà visibile l’attestato di rischio.

Cosa cambia? Oneri, diritti e doveri.

  • I titolari dei dati devono garantire il “diritto all’oblio” o “diritto alla cancellazione” degli utenti e assicurare la cancellazione dei dati di essi qualora richiesto;
  • I responsabili dei dati devono informare, entro 72 ore, le autorità di protezione dei dati riguardo ogni violazione che metta a rischio i diritti degli individui.
    WordFence puo’ essere d’aiuto al fine di tracciare log e tentativi di intrusione da parte di hacker;
  • Qualora sia necessario cambiare piattaforma, il titolare è autorizzato al trasferimento dati tramite il “diritto di portabilità”.

Cosa fare per essere conformi?

Innanzitutto, dai una lettura a questo documento pescato in rete —> GDPR 

– REDARRE un ATTESTATO DI RISCHIO indicando:

  • Quali dati sono stati richiesti
  • Per quanto tempo essi verranno memorizzati
  • Per quali finalità (valido anche specificare che: “i dati raccolti verranno trattenuti finchè saranno necessari al fine di erogare i servizi richiesti”)
  • Con quali mezzi (cartacei o digitali)

Le condizioni dovranno essere esplicite, legittime, adeguate e pertinenti (Articolo 5)

IUBENDA può esserti d’aiuto.

– CREARE UN COOKIE 

Con l’aggiornamento al GDPR l’utente deve prima affermare il suo consenso/dissenso per di accedere al sito.

– ACQUISTARE un CERTIFICATO HTTPS (dal tuo provider).

In base a quanto raccolto, stabilirai poi le misure di sicurezza da adottare:

  • Criptare il database per rendere i dati offuscati in modo da non essere comprensibile/intelligibile a persone non autorizzate a leggerlo.
  • Creare un registro delle attività del trattamento, cartaceo o digitale, dove conservare i dati raccolti, finalità e destinazioni.

Chi è obbligato a farlo?

Il GDPR non fa distinzione tra persone fisiche e aziende in quanto si fa riferimento alla figura del titolare e quindi responsabile delle informazioni reperite.

  • I titolari sono esonerati qualora trattino i dati solo per “legittimo interesse relativo a comunicazioni di normale svolgimento lavorativo.
    N.B. Le comunicazioni commerciali non rientrano nel “legittimo interesse, pertanto si è obbligati a rendere il form conforme. (Vedi WordPress, contact form 7 e plugin simili: ).
  • Le Web Agency, i Web designer e i professionisti che si occupano di gestire i siti web figurano come responsabili esterni.
    Pertanto i clienti, ovvero i titolari dei dati, dovranno trascrivere un contratto indicando le modalità del trattamento dei dati.
    Con questo contratto i responsabili esterni, ovveri le Web Agency ecc,  saranno incaricati del trattamento dei dati delimitando però i confini di responsabilità e gli eventuali rischi.
  • Coloro che offrono servizio di hosting (serverplan, godaddy, aruba e simili) devono proteggere non solo te, cliente diretto, ma anche i dati acquisitiSarà interesse del titolare dei dati di informarsi sulla gestione e l’archiviazione dei dati.
  • Al fine di procedere con l’acquisto di un articolo, i dati raccolti su siti e-commercepotrebbero essere trasferiti:

– sia sul tuo sito Web
– sia sul circuito di pagamento

Se il tuo sito web memorizza questi dati personali dovrai poi provvedere alla cancellazione di essi entro un tempo ragionevole.

Inoltre, la memorizzazione dei dati di fatturazione richiede un trattamento dati specifico e differente da quello già stipulato.

Per approfondire: https://woocommerce.com/2017/12/gdpr-compliance-woocommerce/

Come fare per essere conformi e proteggere i dati?

Blog con possibilità di commentare gli articoli:
creare una chekbox per il consenso al trattamento dati.
Qualora l’utente desiderasse essere eliminato dalla discussione basterà renderlo anonimo con “Anonymus user”.

• Accessi tramite social network:
IlCollegamento ai social (facebook, instagram, pinterest ecc.), che raccolgono dati ai fini di accesso alla piattaforma, devono semplicemente essere segnalati nella privacy policy indicandone la responsabilità, che in questi casi è dell’utente stesso che vi accede.

E-mail marketing per fini commerciali destinate a terzi:
creare una chekbox per il consenso al trattamento dati.
Specificare se è inerente o meno con il servizio offerto dal sito.
Qualora i dati verranno ceduti a terzi, il consenso deve essere ottenuto separatamente con un’altra casella e una dicitura distinta.

AdSense, Affiliazioni Amazon e banner pubblicitari:
raccolgono dati per molteplici scopi, informare e ottenere l’esplicito consenso prima di renderli attivi.

WordPress, contact form 7 e plugin simili:

  • Rendere conforme il sito:

–  WP GDPR Compliance

  • Gestire Cookie, consensi e conformità:

CookieMetrix (per verificare i cookie attivi sul tuo sito e definire se sono a norma GDPR o meno)

Cookiebot | GDPR Compliant Cookie Consent and Notice 

GDPR Cookie Compliance Di Moove Agency

  • Assistenza protezione dati:

– GDPR By Trew Knowledge

  •  Criptografare e memorizzare dati

– Security Audit Log 

  • Contact Form

– Flamingo  (per l’archiviazione dei messaggi e dei loro assensi)

– Per approfondire clicca qui

Google Analytics / Facebook Pixel:

Google Analytics, Facebook Pixel e altri plugin che si occupano di analisi, statistiche e monitoraggio dei dati, non possono essere attivi fino al consenso dell’utente del trattamento specificato nella checkbox.

– Per approfondire clicca qui

RICAPITOLANDO

  1. Elenca tutti i modi con cui il sito di riferimento traccia i dati (cookie, plugin di monitoraggio, contact form, moduli area utente riservata, sezione commenti, newsletter, plugin, cessione dati a terze parti per profilazione e e-mail marketing, trattamento dati da parte dell’hosting);
  2. Crea la tua pagina privacy policy (l’attestato di rischio per intenderci) indicando che:
    – il visitatore ha diritto di accedere, correggere, eliminare e limitare l’elaborazione dei dati,
    – il visitatore ha diritto di ricevere i dati personali ai fini di portabilità
    – il visitatore ha diritto a inviare un reclamo presso l’autorità di vigilanza (GDPR)
  3. Scegli dove rendere facilmente accessibile la pagina (nel footer, nella sidebar, nella pagina contatti, nel chi siamo ecc.);
  4. Specifica perchè richiedi questi dati (e-mail marketing, newsletter per il nuovo articolo sul blog, offerte speciali e/o coupon per fidelizzare i tuoi clienti);
  5. Ci sono terze parti coinvolte? Specifica il perchè e linka ciascuno di essi alla privacy policy della parte coinvolta;
  6. Indica un recapito telefonico o un collegamento ai contatti per poter essere contattato dall’utente;
  7. Mostra la memorizzazione del consenso;
  8. Verifica se:- il tuo sito è conforme alla normativa GDPR qui;

N.B. questo articolo è fornito a puro scopo informativo e non intende dare alcun consiglio legale.

Per capire l’effettiva portata del GDPR sul tuo website, ti consiglio di avvalerti dei servizi di un legale o di un esperto di privacy indipendente.

Sitografia:

Qualche consiglio per mettersi in regola con la GDPR

GDPR: vademecum per non impazzire prima del tempo

Hai aggiornato il tuo sito nel rispetto del GDPR? Hai tempo fino al 25 maggio per adeguarti, ecco come

Il mio sito è conforme?

Codice in materia di protezione dei dati personali [Testo consolidato vigente]


LIGHT ME UP

POST that could ILLUMINATE YOU