Vi sarà sicuramente capitato: i vostri social preferiti e i servizi online a cui siete iscritti vi hanno in qualche modo parlato del Gdpr 2018 e di come andrà a influire sulla privacy. È una novità che riguarda tutti, sia come gestori di un sito internet che come semplici utenti.

Vediamo subito di cosa si tratta.

Che cos’è il GDPR 2018?

Approvato nell’aprile del 2016, il Gdpr 2018 (General Data Protection Regulation) è il regolamento europeo sulla privacy, ed entrerà pienamente in vigore proprio quest’anno, a fine maggio.
In sintesi:

• Stabilisce quali siano le norme per la protezione e la libera circolazione dei dati personali delle persone fisiche.
• Si applica ai trattamenti anche solo in parte automatizzati di questo genere di informazioni, e ai dati sensibili destinati o già custoditi negli archivi.

Perchè dovrei informarmi?

Per due ragioni.

• La prima riguarda le novità sul trattamento dei dati personali a cui hai già acconsentito. Pensa ad esempio al tuo account su un social network, al tuo conto in banca o anche solo alla tessera punti del supermercato.
• La seconda riguarda la tua attività. Se sei un libero professionista o un’azienda e hai un sito internet, hai bisogno di una privacy a norma di legge.

Nel primo caso, quasi sicuramente avrai già ricevuto un messaggio riguardante il Gdpr 2018 da un social network, dalla tua banca o da chiunque tu abbia autorizzato al trattamento dei tuoi dati. Leggilo con attenzione, perché ti verrà chiesto più nel dettaglio su quali aspetti del servizio vuoi dare il tuo consenso.

Nel secondo, dovrai verificare che il tuo sito sia in regola con il nuovo regolamento europeo sulla privacy. Come prima cosa, devi avere una privacy policy adeguata agli standard del Gdpr 2018. La privacy policy è un documento che contiene le informazioni essenziali perché l’utente di un sito possa conoscere quali dati debba accettare di condividere, con chi, per quale servizio e in base a quali norme.
Ci torneremo tra poco.

Il consenso al trattamento dei dati personali, in breve

Spesso non ci pensiamo, ma entrare su un sito internet significa condividere quantomeno i dati di navigazione (per esempio da quale computer siamo connessi o in quale città ci troviamo). Quando ci colleghiamo per la prima volta a un determinato sito, la trasmissione dei dati di navigazione viene bloccata in attesa di una nostra azione che confermi la volontà di proseguire la navigazione; e di conseguenza, di condividere le informazioni minime per accedere al sito.

L’azione in questione dipende molto da come sono impostati i cookie. In genere basta far scorrere in basso la pagina per dire (implicitamente) di acconsentire al trattamento dei propri dati di navigazione. Esistono anche alcuni cookie che richiedono un consenso esplicito per essere attivati, ma per ora sono abbastanza rari.

In ogni caso, quando chiedi a un utente di fornirti il consenso al trattamento dei suoi dati (o quando, a parti invertite, sei tu a dover rispondere a questa richiesta) è importante che vengano rispettate alcune condizioni.

Secondo il Gdpr 2018, infatti, il consenso deve essere informato, libero, specifico, revocabile, documentato, inequivocabile.

Vale a dire:

• chi si trova a dover scegliere se acconsentire o meno al trattamento dei propri dati deve avere tutte le informazioni necessarie per decidere;
• si deve poter decidere senza costrizioni. Quindi, niente caselle per il consenso già spuntate sui documenti o sui form online;
• il consenso vale solo per il servizio specifico per il quale è stato concesso;
• si può cambiare idea e ritirare il consenso;
• chi raccoglie i dati deve poter dimostrare di aver rispettato questi principi;
• non devono esserci dubbi sulla volontà espressa dalla persona.

Tieni presenti questi parametri, quando dovrai occuparti dei cookie e della privacy policy del tuo sito.
E a proposito di privacy policy…

Privacy Policy in regola con il GDPR 2018: le linee guida essenziali

In base al Gdpr 2018, la privacy policy di un sito deve indicare:

1. Nome e dati di contatto del titolare del trattamento o di un suo rappresentante e (se previsto) il contatto del responsabile della protezione dei dati;
2. Finalità e base giuridica del trattamento;
3. Se il sito faccia uso di Google Analytics, o in generale se esistano altri soggetti che abbiano accesso ai dati.

Per quanto riguarda il titolare del trattamento, menzionato al punto 1, possiamo definirlo come una persona (fisica o giuridica) dotata di potere decisionale e di controllo sul trattamento dei dati personali. Di solito è il titolare del sito, e se guida un’azienda può anche dover indicare altri soggetti (interni o esterni all’azienda stessa) che in base ai loro compiti si ritrovano a dover lavorare con dati sensibili. Ovvero, gli incaricati o i responsabili del trattamento.

Per quanto riguarda il tipo di dati raccolti, esistono alcune variabili legate alla natura del sito. Per esempio: se possiedi una newsletter, tra i dati in tuo possesso ci sarà la mail dell’utente che si è iscritto; se si tratta di e-commerce, avrai anche nome, cognome e indirizzo per effettuare una spedizione.

Nella privacy policy, è importante indicare queste eventualità. Per avere una maggiore certezza di essere in regola, il nostro consiglio è quello di utilizzare uno dei tanti servizi che forniscono privacy policy personalizzate, generalmente a costi contenuti.

I più diffusi generano una privacy policy semplicemente indicando quali servizi vengono forniti dal sito in questione. Fatto questo, all’utente viene fornito un link che rimanda al documento pronto. La privacy policy non viene dunque trasferita sul sito, ma resta su un server apposito, consentendo ai gestori del servizio di aggiornarla automaticamente, se necessario.

In alternativa, puoi rivolgerti ad un legale di fiducia e competente nell’ambito, che stili una privacy policy ad hoc per il tuo sito web e/o puoi contattare il tuo webmaster, se ne hai uno, perché ti possa consigliare al meglio.