GDPR cosa devono fare le aziende per adeguarsi alla normativa generale

GDPR cosa devono fare le aziende

Il GDPR è il regolamento generale sulla protezione dei dati divenuto pienamente applicabile dal 25 maggio 2018.

È un regolamento privacy che viene applicato alle organizzazioni con sede operativa nella UE e alle organizzazioni che offrono beni e servizi (anche a titolo gratuito) ad utenti europei o che comunque monitorano il comportamento degli utenti della zona UE.

Il GDPR è un regolamento molto esteso che copre quasi tutte le organizzazioni. Adeguarsi non è complesso come sembra, ma spaventa i proprietari dei siti web, perchè chiunque può inviare una notifica al garante per una presunta inadempienza.

Cosa devono fare le aziende per adeguarsi al GDPR?

Per adeguare il tuo sito web devi mostrare ai tuoi clienti una privacy policy.
La privacy policy è un documento in cui spieghi ai tuoi utenti come avviene il trattamento dati all’interno del tuo sito web.

Gli elementi principali della privacy policy sono:

  • Tipologie dei dati personali. Devi avvisare i visitatori del sito, quali dati personali dei visitatori raccoglie. Ad esempio nome, cognome, email, dati statistici o quant’altro.
  • Basi giuridiche del trattamento. Devi chiarire qual’è la base giuridica per effetto della quale puoi effettivamente trattare i dati dei tuoi clienti. La base giuridica principale è il consenso, ma ne esistono anche delle altre. Ad esempio l’obbligo di legge è un altra base giuridica.
  • Finalità e modalità del trattamento. Devi illustrare come tratti i dati e a che scopo.
  • Soggetti ai quali i dati personali possono essere comunicati (incluse le terze parti).
  • Eventuale trasferimento dei dati all’estero. Comunichi se una parte dei dati può essere trasferita all’estero.
  • Diritti dell’interessato. Elenchi i diritti degli utenti inclusi i nuovi diritti introdotti dalla GDPR.
  • Estremi identificativi del titolare del sito o dell’azienda.

La Privacy policy non è una novità del GDPR perchè era obbligatoria anche prima.

Il GDPR non fa altro che confermare l’obbligo di introdurre nuovi elementi all’interno di questa informativa, con l’introduzione delle basi giuridiche.

Gli obblighi che devi tenere conto per adeguare il tuo sito alla normativa GDPR, riguardano i cookie law.

Cookie LawLa cookie law dipende dalla direttiva e privacy, quindi non è stata toccata dal GDPR, anche se presto arriverà un regolamento privacy che aggiornerà la cookie law, Però, per il momento dipende ancora dalla vecchia direttiva privacy.

Cosa chiede alle aziende la COOKIE LAW

  • Cookie Policy. Devi mostrare ai tuoi utenti un documento dove illustri nello specifico quali sono le tipologie di cookie installati sul tuo sito web.
    Le terze parti attraverso cui questi cookie sono installati e, come sempre, devi descrivere le finalità del trattamento.
  • Cookie banner. La cookie introduce argomenti anche di natura tecnica. Quindi, devi mostrare agli utenti i cookie banner (informativa breve).
    Nel banner devi illustrare brevemente agli utenti che si collegano per la prima volta sul tuo sito, che il tuo sito utilizza i cookie. Se poi l’utente vuole approfondire il discorso, nel cookie banner ci deve essere un link verso la cookie policy, dove l’utente può approfondire tutto questo discorso sulla pagina dell’informativa.
  • Blocco preventivo dei cookie. Esistono delle tipologie di cookie che non possono essere installati se non dopo avere raccolto il consenso dell’utente. Quindi, in questo caso, devi anche implementare il blocco preventivo di tutti quei cookie che installano o potrebbero installare codici non esenti dall’obbligo di consenso di richiesta dell’utente. Un esempio sono i cookie di profilazione.
    Quindi devi rilevare i comportamenti degli utenti sul sito per capire quando effettivamente il consenso viene prestato. Quando il consenso viene prestato, può sparire il cookie banner, rilasciare tutti i codici che abbiamo precedentemente bloccato e salvare le preferenze dell’utente. In modo tale da non dover più presentare il cookie banner ogni volta che l’utente approda su una pagina del sito web.
  • Raccolta del consenso.
  • Salvataggio delle preferenze.

Come raccogliere il consenso dei dati

GDPR ConsensoOgni volta che raccogli i dati dei tuoi utenti dal tuo sito e vuoi utilizzarli per specifiche personalità, il consenso deve essere:

  1. Libero, specifico, informato, inequivocabile, sempre revocabile. Se il tuo sito ha un modulo di contatto o registrazione alle newsletter, devi prevedere una casella di spunta che ti permette di raccogliere il consenso dell’utente.
    Se per esempio raccogli le email dei tuoi utenti perchè vuoi inviare a loro delle offerte o delle comunicazioni aziendali. Dato che il consenso deve essere specifico per finalità, devi raccogliere due consensi distinti e separati:
    a) Consenso generico nel quale l’utente ti autorizza a rispondere alla sua richiesta di informazioni.
    b) Un ulteriore consenso se ti autorizza anche ad inviare delle newsletter.
    Ovviamente deve anche esserci un link di cancellazione che permette all’utente di revocare il consenso. Ad esempio se non vuole più ricevere le tue email.
  2. Il titolare ha l’onere di dimostrare di avere il consenso dell’interessato secondo i requisisti di legge. Ai sensi del GPDR, il titolare del sito o dell’organizzazione, deve essere in grado di dimostrare che ha acquisito il valido consenso dell’utente. In particolare, il titolare dovrà essere in grado di dimostrare:
    a) Chi ha prestato il consenso (se online è meglio usare identificativi univoci e non indirizzi ip, come invece avviene oggi in molte aziende).
    b) Il momento (data) di cui il consenso è stato prestato.
    c) Le modalità con cui il consenso è stato richiesto.
    d) A quali trattamenti l’interessato ha prestato il proprio consenso, unitamente ai documenti (privacy/cookie policy) che ha accettato.

Non spaventarti, oggi per la raccolta del consenso dei dati hai diversi strumenti a disposizione che gestiscono autonomamente queste raccolte.

Se sei un titolare d’azienda, oltre a quello che ho appena descritto, la panoramica dei requisiti di legge continua con la privacy aziendale.
Come ho già detto prima, abbiamo il titolare dell’impresa, quest’ultimo può essere una persona fisica o giuridica dotato di autonomia decisionale e controllo sul trattamento dati dei propri utenti. Oltre al titolare, bisogna identificare anche tutti gli altri soggetti che trattano i dati, che possono essere addetti al trattamento o responsabili del trattamento.

  • Gli addetti al trattamento sono in genere dei dipendenti dell’azienda.
  • I responsabili del trattamento sono delle persone esterne all’azienda, un consulente di web marketing o un’agenzia di comunicazione.

GDPR Elementi della Privacy Aziendale

  • Ruolo del titolare.
  • Nomina degli addetti e dei responsabili.
  • Nomina del DPO.
  • Registro del trattamento.
  • DPIA.
  • Notifica del Data Breach.

Create your account