GDPR 2018: tutto quello che devi sapere sul nuovo regolamento generale per la protezione dei dati degli utenti
25 maggio 2018. Questa è la data da segnare in agenda per l’avvio del GDPR 2018, sigla che sta per General Data Protection Regulation. Di che cosa si tratta? Che cosa devono fare le aziende per essere in regola con la normativa? Quali procedure devono essere eseguite dalle agenzie che gestiscono i siti internet dei propri clienti? Abbiamo fatto il punto della situazione per voi.
Che cos’è il GDPR 2018?
Il GDPR 2018 è il nuovo regolamento generale sulla protezione dei dati: una serie di normative emanate dalla Commissione Europea per rafforzare e rendere omogenea la protezione della privacy, soprattutto in seguito agli scandali emersi per i casi Datagate & Cambridge Analytica.
I soggetti interessati dalla nuova legge sono la Pubbliche Amministrazioni, le PMI e tutte le aziende che si trovano all’interno dei confini dell’Unione Europea dotate di un sistema di elaborazione di dati personali per gestire e analizzare il traffico verso un sito web, un e-commerce o qualsiasi strumento di web marketing, come banner o newsletter.
Entro il 25 maggio 2018, le aziende e gli enti pubblici dovranno ridefinire il sistema di gestione del trattamento dei dati così da prevenirne la perdita o peggio ancora il furto per frode informatica (data breach) di questi dati sensibili.
Quali sono le sanzioni per le aziende che non rispettano il GDPR 2018?
Le sanzioni previste per le aziende che non provvederanno entro il 25 maggio 2018 a rispettare i termini del GDPR 2018 variano a seconda della gravità della violazione e dei tempi con cui si correrà ai ripari. In linea generale, le sanzioni saranno di due tipi:
la prima prevederà una diffida amministrativa da parte dell’organo europeo preposto al controllo e che nella maggior parte dei casi concederà un’ulteriore possibilità di allinearsi alla direttiva;
la seconda e definitiva sarà di carattere economico e prevederà multe fino a 20 milioni di euro (per le grandi aziende) e fino al 4% del fatturato annuo mondiale (per tutte le altre).
Che cosa devono fare attivamente le aziende per essere conformi al GDPR 2018?
Le aziende che possiedono un sito internet, un e-commerce oppure eseguono attività di web marketing in cui è prevista la gestione e l’archiviazione di dati di navigazione devono garantire il massimo livello di privacy possibile ai visitatori.
Come? In due fasi distinte: una di carattere legislativo procedendo alla nomina di un Responsabile della Tutela dei Dati in azienda e una di carattere tecnico aggiornando tutte le piattaforme online.
Fase legislativa: come nominare il Responsabile della Tutela dei Dati in azienda per il GDPR 2018?
Per la nomina del Responsabile della Tutela dei Dati in azienda, consigliamo di rivolgersi al vostro legale di fiducia che sarà sicuramente aggiornato su tutti gli aspetti da tenere in considerazione per evitare problematiche legali. La scelta di questo ruolo in azienda deve orientarsi verso una figura con una preparazione specialistica nell’ambito di sicurezza informatica e protezione di dati sensibili di internet. Nel caso si decida di optare per una risorsa interna, esistono comunque molteplici e validi corsi di formazione e aggiornamento. In caso contrario, diversi professionisti esterni sono a disposizione per fornire consulenze e personale qualificato da nominare come “responsabile dei dati”.
Fase tecnica: quali sono gli aggiornamenti tecnici che riguardano i siti internet e gli e-commerce?
Per quanto riguarda gli aggiornamenti tecnici in vista del GDPR 2018, è fondamentale che il vostro sito internet o e-commerce sia strutturato in modo tale da garantire i seguenti tre nuovi diritti dell’utente:
Diritto d’accesso: cioè la possibilità agli utenti di accedere ai propri dati personali. Ricorda che qualsiasi utente può richiedere i propri dati personali senza motivazione e questi devono essere consegnati dalla vostra web agency entro 40 giorni!
Diritto all’oblio: cioè il diritto degli utenti di richiedere la completa cancellazione dei dati da tutti i sistemi;
Portabilità dei dati: ovvero la possibilità degli utenti di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro.
Per rispettare questi nuovi diritti, i vostri siti internet o e-commerce dovranno essere altamente modulabili e permettere l’estrazione dei dati, la loro cancellazione immediata e il loro trasferimento ad un altro sistema, oltre ovviamente a garantire la sicurezza di queste informazioni tramite un protocollo di sicurezza HTTPS (operazione che dovreste già aver eseguito a novembre 2017 per fattore di ranking SEO – Vi rimandiamo ad un nostro precedente articolo per maggiori informazioni sulla questione: www.abea-studios.com/protocollo-di-sicurezza-https/)
Inoltre l’utente dovrà essere correttamente informato che sta entrando in un sito con archiviazione dei dati personali, con una sezione aggiornata dedicata all’interno della Privacy Policy.
Un esempio per i non addetti ai lavori sulla portata degli aggiornamenti?
Ecco un esempio per i non addetti ai lavori per comprendere al meglio la portata di questo aggiornamento.
L’imprenditore Rossi è proprietario di un’azienda che vende attraverso il proprio sito e-commerce oggetti per la cucina e si avvale di un annuncio a pagamento sui motori di ricerca e di una newsletter per sponsorizzare la propria attività.
Un utente, il sig. Bianchi, è diventato cliente del negozio online dell’imprenditore acquistando un mobiletto per la cucina tramite un annuncio a pagamento sui motori di ricerca. Dopo la consegna del prodotto il sig. Bianchi, essendo particolarmente scrupoloso nei confronti della propria privacy, desidera accedere ai dati della sua procedura d’acquisto, della transazione economica e del suo pagamento (diritto d’accesso), che Rossi gli consegni una copia documentata via e-mail dell’operazione (portabilità dei dati) e che queste informazioni siano cancellate per sempre dall’ ”archivio” dell’imprenditore (diritto all’oblio).
Il sito e-commerce dell’imprenditore deve essere strutturato in modo tale che la richiesta del sig. Bianchi venga ultimata e che ovviamente nessuna di queste informazioni possa essere intercettata da malintenzionati che potrebbero usare l’identità del povero cliente per concludere altri acquisti o compiere atti criminali.
A chi conviene rivolgersi per eseguire gli aggiornamenti richiesti dal GDPR 2018?
Come ricordato precedentemente, per la fase legislativa il consiglio è di affidarsi al vostro legale di fiducia o al vostro commercialista. Per la parte tecnica, il team di AB&A è già pronto a fornire il supporto e i correttivi necessari per essere in regola con il nuovo regolamento GDPR.
Ricorda, hai tempo fino al 25 maggio 2018 per non incorrere in sanzioni amministrative! Richedi ora un preventivo. Ti consiglieremo solamente le migliori soluzioni di sicurezza per il sito della tua azienda!