GDPR: differenze tra le versioni

Da Webmobili Wiki.
← Differenza precedente
 
(82 versioni intermedie di 3 utenti non mostrate)
Riga 1: Riga 1:
== GDPR ==
== GDPR ==
[[File:GDPRMeme.jpg|thumb|GDPR applicato alla realtà]]
[[File:GDPRMeme.jpg|thumb|Regola GDPR applicata concretamente]]


Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.
=== Cose da sapere ===
'''Il GDPR è un argomento che riguarda l'azienda nel suo insieme, non solo la parte web.'''
 
Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.<br>
Il GDPR riguarda tutte le aziende o i professionisti che trattano o raccolgono dati personali di cittadini europei, indipendentemente da dove è ubicata la sede della società.
 
==== Obiettivi ====
Il GDPR si pone 3 grandi obiettivi:
* avere un’uniformità di normativa a livello europeo, in materia di protezione dei dati personali;
* fornire a qualsiasi cittadino membro dell’Unione Europea uno strumento che permetta di controllare come i propri dati personali vengono utilizzati;
* responsabilizzare maggiormente aziende e professionisti sul trattamento dei dati personali.
 
----
 
==== Punti fondamentali====
* La privacy diventa un processo aziendale.
* L'informativa non deve avere riferimenti di carattere legale, però deve essere concisa.
* Deve essere molto chiara la finalità per cui sto raccogliendo i dati e per quanto tempo tengo i dati.
* Nell'informativa deve essere chiaro a chi rivolgersi(email aziendale, numero di telefono).
===== Diritto di accesso =====
Ogni utente ha il diritto di sapere tutto sui dati in possesso dell’azienda o del professionista.<br>
Quali dati sono in posseso, come vengono raccolti e l’uso che ne viene fatto.
===== Diritto di rettifica =====
Ogni utente può richiedere in qualsiasi momento che i propri dati siano corretti o aggiornati.
===== Diritto alla portabilità =====
* Ogni utente può chiedere che i propri dati siano divulgati ad un ente terzo o a un concorrente.
* L'azienda deve essere in grado di esportare i dati riguardo agli utenti in csv, se l'utente dovesse richiederli.
===== Diritto di opposizione =====
* Ogni utente può opporsi al trattamento di alcuni o tutti i propri dati relativi ad uno specifico utilizzo.
* Ogni email inviata al cliente registrato deve contenere sempre un link di cancellazione obbligatorio tramite il quale può disiscriversi immediatamente.
 
===== Diritto all’oblio =====
Ogni utente può richiedere in qualsiasi momento che i propri dati siano cancellati in modo definitivo.
 
[[File:Example.mp4]]
 
----
 
==== Il consenso====
* '''&Egrave; vietata l’iscrizione automatica''' di un utente a una lista, anche nel caso in cui lui possa disiscriversi liberamente (opt-out), inoltre è vietato l’inserimento in lista di indirizzi email preventivamente spuntati nei moduli d’iscrizione.
* Il double-opt-in diventa l’unico modo per ottenere un consenso esplicito utilizzabile nei termini di legge.
 
Si dovrà quindi:
* inserire opt-in supplementari nei tuoi moduli di iscrizione, uno per ogni singolo trattamento del dato (consenso alle newsletter, consenso al ricevimento di email automatizzate, consenso alla profilazione).
* richiedere il consenso al trattamento dei dati dei tuoi utenti, se usati in modo diverso rispetto a quando sono stati acquisiti la prima volta.
* sapere che la nuova definizione di consenso viene applica anche ai dati personali dei residenti europei raccolti prima del 25 maggio 2018.
* richiedere un consenso al trattamento dei dati personali se le tue liste attuali non sono conformi al GDPR, utilizzando un nuovo modulo opt-in che espliciti in modo chiaro i motivi della richiesta.
 
===== double opt-in =====
Qualsiasi iscrizione double opt-in ha una seconda conferma. Questo metodo di iscrizione esige che non solo l’utente compili e invii il form ma che confermi la sua decisione, solitamente cliccando su un link in una mail che riceve dopo aver inviato il form.
 
Così si evita che qualcuno iscriva una terza persona, che vengano forniti indirizzi falsi o che si accumulino indirizzi mal scritti.
 
Normalmente l’email di conferma ha un pulsante o un link che conferma il permesso di aggiungere l’indirizzo a una lista di email. Ed è solo dopo questa conferma che si aggiunge l’utente alla lista dei registrati.
 
'''Una buona iscrizione double opt-in prevede questi passi:'''
# Per cominciare, l’utente deve accettare le condizioni e compilare il form.
# A seguire riceverà una mail di benvenuto che deve includere un link per confermare che vuole ricevere i tuoi messaggi.
# Cliccando, l’utente verrà rediretto a una pagina di benvenuto più completa in cui informarlo del tipo di messaggi che riceverà e con quale frequenza. Oltre al modo in cui può contattare il brand attraverso i diversi canali digitali e fisici disponibili.
# Non tutti i brand compiono questo ultimo passo ma ti aiuterà ad essere più professionale e a fidelizzare l’utente. Invia una copia delle condizioni via mail affinché l’utente possa salvarle. A questo punto puoi approfittarne per chiedere che ti aggiunga alla lista dei contatti sicuri, per evitare di finire in spam.
 
----
 
=== Obblighi ===
Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono:
* Obbligo di definire i tempi di conservazione dei dati.
* Obbligo di indicare la provenienza dei dati in caso di utilizzo.
* Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati.
* Obbligo di gestire la responsabilizzazione(i soggetti terzi a cui comunichiamo/trasferiamo i dati elencando i soggetti fino a dove saranno salvati i dati ad es. nel cloud di chi).
* Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.
 
[[File:obblighi.mp4]]
 
==== Cambiamenti ====
# Cambia l'informativa che diventa '''breve''', priva di riferimenti normativi (es. art. comma ecc...), '''deve essere comprensibile anche ai minori''' e contenere nuovi elementi, come l'origine dei dati e il tempo di conservazione previsto.
# Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un '''consenso inequivocabile''' (se uso i dati ottenuti per altre finalità come newletter, sms, telefonate ecc devo chiedere consenso con spunta per ognuna di queste attività, ovviamente mai flaggati e con doppio campo sì o no) e quindi desumibile in base ai comportamenti degli interessati.
# Viene introdotta la figura del DPO (per PA e chi raccoglie una grande mole di dati costantemente).
# Introduzione del Registro dei Trattamenti.
# Nasce il Documento di Valutazione di Impatto del Trattamento dei Dati.
# Portabilità dei dati.
# diventa essenziale progettare la tutela dei dati personali e documentare l'attenzione verso l'analisi dei rischi connessi al trattamento dei dati personali.
 
[[File:cambiamenti_parte_01.mp4]]
 
[[File:cambiamenti_parte_02.mp4]]
 
==== Insomma chi tratta dati DEVE ====
* Predisporre dei processi di valutazione di impatto del trattamento dei dati personali.
* La legge non deve essere citata, ma chiede di essere rispettata.
 
 
 
----
 
=== Documento di Valutazione di Impatto del Trattamento dei Dati===
;&Egrave; una documentazione articolata, una fotografia dell'azienda.
:Una volta che ho tutti i dati a disposizione preparo un'analisi del rischio
:Ad esempio che tipo di banca dati ho, che tipo di dati vado a trattare, in quali uffici e con che tipo di finalità (amministrativo, contabile, marketing, produzione)
 
 
Questo processo è da svolgersi periodicamente (con cadenza almeno annuale) e comprende:
# Analisi dei rischi
# Definizione della lista delle criticità
# Definizione del programma di intervento
 
==== Analisi dei rischi ====
Mi servono tutti i dati che raccolgo?
 
Obiettivo:
* Quali dati personali possiede l'azienda
* Come sono trattati
 
Output:
* Lista di processi aziendali che trattano dati personali
<br>
 
==== Registro dei trattamenti dei dati ====
Consiste nel mappare/fotografare lo stato della gestione in azienda dei dati personali.
Informazioni da raccogliere:
* Categorie di dati e di soggetti interessati coinvolti
* Finalità del trattamento (perchè li raccolgo)
* Inquadramento giuridico
* Rapporti con terze parti
* Flussi esterni di dati (eventuali)
* Gestione informativa e consenso
* Gestione diritti interessati (modifica/cancellazione)
* Tempi di conservazione
* Misure di sicurezza
 
==== Primi Passi ====
* Prima occorre identificare i principali uffici coinvolti nel trattamento dei dati personali (partendo da un organigramma della società)
* Per ogni ufficio individuare le principali attività che trattano dati personali
* Per ogni attività definire:
** Finalità, categorie di dati e soggetti interessati coinvolti (perchè li raccolgo)
** Flussi esteri di dati e rapporti con terze parti
 
 
----
 
=== Newsletter e Form ===
 
==== Form di iscrizione ====
<pre>
Cliccando su “Iscriviti” accetti di ricevere la nostra newsletter [settimanale/giornaliera] (Leggi l’informativa completa). Potrai disiscriverti in ogni momento cliccando sul link presente nella newsletter che ti invieremo.
</pre>
 
 
[[File:newsletter01.jpg]]
[[File:newsletter02.png]]
 
==== Footer mail ====
<pre>
Ricevi questa email da Webmobili Srl perché hai accettato di ricevere la nostra newsletter settimanale.
Se vuoi conoscere il modo in cui trattiamo i tuoi dati puoi leggere la nostra informativa sulla privacy.
Per qualsiasi dubbio ti preghiamo di contattarci.
</pre>
 
 
==== Disiscrizione ====
La stessa facilità che l’utente ha nell’iscriversi a una newsletter deve essere presente nella possibilità di disiscriversi. Il tasto unsubscribe e quindi la possibilità di annullare la propria iscrizione a un servizio di newsletter devono essere obbligatori in ogni messaggio e ben visibili.
 
----
 
=== Siti Web ===
;Obblighi
:* L’azienda deve obbligatoriamente mostrare la propria identità
:* Inserire un indirizzo fisico reale
:* Esporre un'informativa di immediata comprensione e facilmente raggiungibile
 
==== Privacy Policy ====
La '''privacy policy''' di un sito web deve fondamentalmente esplicare i seguenti punti:
* '''Perché''' i dati vengono salvati, quale utilizzo ne facciamo
* '''Chi''' li raccoglie
* Indicare un '''responsabile del trattamento dei dati''' che possa essere contattato tramite e-mail
* '''Come''' vengono usati i dati (per scopi tecnici o di marketing)
* '''Chi ha accesso''' ai dati
* Esposizione del '''Diritto all'Oblio'''
* Esposizione del '''Diritto di portabilità'''
 
==== Cookie Policy ====
La '''cookie policy''' rimane una pagina che dev'essere linkata dalla privacy policy.
 
==== Checkbox di consenso nei form ====
Ogni qualvolta un utente inserisca dei dati personali (nome, cognome, email...) in un form deve obbligatoriamente spuntare la checkbox di consenso.
Nel caso in cui le '''finalità del trattamento''' dati siano '''multiple''' (sia tecniche che di marketing) è necessario inserire '''due checkbox obbligatorie'''.
Ad es. in un e-commerce le finalità di inserimento dati sono sia tecniche, perché tramite i tuoi dati posso darti il servizio richiesto (carrello, acquisto ecc), sia di marketing perché i dati verranno utilizzati per profilare l'utente.
 
=== Approfondimenti ===
 
[https://protezionedatipersonali.it/dato-personale Dati Personali]

Versione attuale delle 14:57, 10 lug 2018

GDPR

[modifica]
Regola GDPR applicata concretamente

Cose da sapere

[modifica]

Il GDPR è un argomento che riguarda l'azienda nel suo insieme, non solo la parte web.

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.
Il GDPR riguarda tutte le aziende o i professionisti che trattano o raccolgono dati personali di cittadini europei, indipendentemente da dove è ubicata la sede della società.

Obiettivi

[modifica]

Il GDPR si pone 3 grandi obiettivi:

  • avere un’uniformità di normativa a livello europeo, in materia di protezione dei dati personali;
  • fornire a qualsiasi cittadino membro dell’Unione Europea uno strumento che permetta di controllare come i propri dati personali vengono utilizzati;
  • responsabilizzare maggiormente aziende e professionisti sul trattamento dei dati personali.

Punti fondamentali

[modifica]
  • La privacy diventa un processo aziendale.
  • L'informativa non deve avere riferimenti di carattere legale, però deve essere concisa.
  • Deve essere molto chiara la finalità per cui sto raccogliendo i dati e per quanto tempo tengo i dati.
  • Nell'informativa deve essere chiaro a chi rivolgersi(email aziendale, numero di telefono).
Diritto di accesso
[modifica]

Ogni utente ha il diritto di sapere tutto sui dati in possesso dell’azienda o del professionista.
Quali dati sono in posseso, come vengono raccolti e l’uso che ne viene fatto.

Diritto di rettifica
[modifica]

Ogni utente può richiedere in qualsiasi momento che i propri dati siano corretti o aggiornati.

Diritto alla portabilità
[modifica]
  • Ogni utente può chiedere che i propri dati siano divulgati ad un ente terzo o a un concorrente.
  • L'azienda deve essere in grado di esportare i dati riguardo agli utenti in csv, se l'utente dovesse richiederli.
Diritto di opposizione
[modifica]
  • Ogni utente può opporsi al trattamento di alcuni o tutti i propri dati relativi ad uno specifico utilizzo.
  • Ogni email inviata al cliente registrato deve contenere sempre un link di cancellazione obbligatorio tramite il quale può disiscriversi immediatamente.
Diritto all’oblio
[modifica]

Ogni utente può richiedere in qualsiasi momento che i propri dati siano cancellati in modo definitivo.

File:Example.mp4

Il consenso

[modifica]
  • È vietata l’iscrizione automatica di un utente a una lista, anche nel caso in cui lui possa disiscriversi liberamente (opt-out), inoltre è vietato l’inserimento in lista di indirizzi email preventivamente spuntati nei moduli d’iscrizione.
  • Il double-opt-in diventa l’unico modo per ottenere un consenso esplicito utilizzabile nei termini di legge.

Si dovrà quindi:

  • inserire opt-in supplementari nei tuoi moduli di iscrizione, uno per ogni singolo trattamento del dato (consenso alle newsletter, consenso al ricevimento di email automatizzate, consenso alla profilazione).
  • richiedere il consenso al trattamento dei dati dei tuoi utenti, se usati in modo diverso rispetto a quando sono stati acquisiti la prima volta.
  • sapere che la nuova definizione di consenso viene applica anche ai dati personali dei residenti europei raccolti prima del 25 maggio 2018.
  • richiedere un consenso al trattamento dei dati personali se le tue liste attuali non sono conformi al GDPR, utilizzando un nuovo modulo opt-in che espliciti in modo chiaro i motivi della richiesta.
double opt-in
[modifica]

Qualsiasi iscrizione double opt-in ha una seconda conferma. Questo metodo di iscrizione esige che non solo l’utente compili e invii il form ma che confermi la sua decisione, solitamente cliccando su un link in una mail che riceve dopo aver inviato il form.

Così si evita che qualcuno iscriva una terza persona, che vengano forniti indirizzi falsi o che si accumulino indirizzi mal scritti.

Normalmente l’email di conferma ha un pulsante o un link che conferma il permesso di aggiungere l’indirizzo a una lista di email. Ed è solo dopo questa conferma che si aggiunge l’utente alla lista dei registrati.

Una buona iscrizione double opt-in prevede questi passi:

  1. Per cominciare, l’utente deve accettare le condizioni e compilare il form.
  2. A seguire riceverà una mail di benvenuto che deve includere un link per confermare che vuole ricevere i tuoi messaggi.
  3. Cliccando, l’utente verrà rediretto a una pagina di benvenuto più completa in cui informarlo del tipo di messaggi che riceverà e con quale frequenza. Oltre al modo in cui può contattare il brand attraverso i diversi canali digitali e fisici disponibili.
  4. Non tutti i brand compiono questo ultimo passo ma ti aiuterà ad essere più professionale e a fidelizzare l’utente. Invia una copia delle condizioni via mail affinché l’utente possa salvarle. A questo punto puoi approfittarne per chiedere che ti aggiunga alla lista dei contatti sicuri, per evitare di finire in spam.

Obblighi

[modifica]

Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono:

  • Obbligo di definire i tempi di conservazione dei dati.
  • Obbligo di indicare la provenienza dei dati in caso di utilizzo.
  • Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati.
  • Obbligo di gestire la responsabilizzazione(i soggetti terzi a cui comunichiamo/trasferiamo i dati elencando i soggetti fino a dove saranno salvati i dati ad es. nel cloud di chi).
  • Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.

File:Obblighi.mp4

Cambiamenti

[modifica]
  1. Cambia l'informativa che diventa breve, priva di riferimenti normativi (es. art. comma ecc...), deve essere comprensibile anche ai minori e contenere nuovi elementi, come l'origine dei dati e il tempo di conservazione previsto.
  2. Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile (se uso i dati ottenuti per altre finalità come newletter, sms, telefonate ecc devo chiedere consenso con spunta per ognuna di queste attività, ovviamente mai flaggati e con doppio campo sì o no) e quindi desumibile in base ai comportamenti degli interessati.
  3. Viene introdotta la figura del DPO (per PA e chi raccoglie una grande mole di dati costantemente).
  4. Introduzione del Registro dei Trattamenti.
  5. Nasce il Documento di Valutazione di Impatto del Trattamento dei Dati.
  6. Portabilità dei dati.
  7. diventa essenziale progettare la tutela dei dati personali e documentare l'attenzione verso l'analisi dei rischi connessi al trattamento dei dati personali.

File:Cambiamenti parte 01.mp4

File:Cambiamenti parte 02.mp4

Insomma chi tratta dati DEVE

[modifica]
  • Predisporre dei processi di valutazione di impatto del trattamento dei dati personali.
  • La legge non deve essere citata, ma chiede di essere rispettata.


Documento di Valutazione di Impatto del Trattamento dei Dati

[modifica]
È una documentazione articolata, una fotografia dell'azienda.
Una volta che ho tutti i dati a disposizione preparo un'analisi del rischio
Ad esempio che tipo di banca dati ho, che tipo di dati vado a trattare, in quali uffici e con che tipo di finalità (amministrativo, contabile, marketing, produzione)


Questo processo è da svolgersi periodicamente (con cadenza almeno annuale) e comprende:

  1. Analisi dei rischi
  2. Definizione della lista delle criticità
  3. Definizione del programma di intervento

Analisi dei rischi

[modifica]

Mi servono tutti i dati che raccolgo?

Obiettivo:

  • Quali dati personali possiede l'azienda
  • Come sono trattati

Output:

  • Lista di processi aziendali che trattano dati personali


Registro dei trattamenti dei dati

[modifica]

Consiste nel mappare/fotografare lo stato della gestione in azienda dei dati personali. Informazioni da raccogliere:

  • Categorie di dati e di soggetti interessati coinvolti
  • Finalità del trattamento (perchè li raccolgo)
  • Inquadramento giuridico
  • Rapporti con terze parti
  • Flussi esterni di dati (eventuali)
  • Gestione informativa e consenso
  • Gestione diritti interessati (modifica/cancellazione)
  • Tempi di conservazione
  • Misure di sicurezza

Primi Passi

[modifica]
  • Prima occorre identificare i principali uffici coinvolti nel trattamento dei dati personali (partendo da un organigramma della società)
  • Per ogni ufficio individuare le principali attività che trattano dati personali
  • Per ogni attività definire:
    • Finalità, categorie di dati e soggetti interessati coinvolti (perchè li raccolgo)
    • Flussi esteri di dati e rapporti con terze parti


Newsletter e Form

[modifica]

Form di iscrizione

[modifica]
Cliccando su “Iscriviti” accetti di ricevere la nostra newsletter [settimanale/giornaliera] (Leggi l’informativa completa). Potrai disiscriverti in ogni momento cliccando sul link presente nella newsletter che ti invieremo.


[modifica]
Ricevi questa email da Webmobili Srl perché hai accettato di ricevere la nostra newsletter settimanale.
Se vuoi conoscere il modo in cui trattiamo i tuoi dati puoi leggere la nostra informativa sulla privacy.
Per qualsiasi dubbio ti preghiamo di contattarci.


Disiscrizione

[modifica]

La stessa facilità che l’utente ha nell’iscriversi a una newsletter deve essere presente nella possibilità di disiscriversi. Il tasto unsubscribe e quindi la possibilità di annullare la propria iscrizione a un servizio di newsletter devono essere obbligatori in ogni messaggio e ben visibili.

Siti Web

[modifica]
Obblighi
  • L’azienda deve obbligatoriamente mostrare la propria identità
  • Inserire un indirizzo fisico reale
  • Esporre un'informativa di immediata comprensione e facilmente raggiungibile

Privacy Policy

[modifica]

La privacy policy di un sito web deve fondamentalmente esplicare i seguenti punti:

  • Perché i dati vengono salvati, quale utilizzo ne facciamo
  • Chi li raccoglie
  • Indicare un responsabile del trattamento dei dati che possa essere contattato tramite e-mail
  • Come vengono usati i dati (per scopi tecnici o di marketing)
  • Chi ha accesso ai dati
  • Esposizione del Diritto all'Oblio
  • Esposizione del Diritto di portabilità
[modifica]

La cookie policy rimane una pagina che dev'essere linkata dalla privacy policy.

Checkbox di consenso nei form

[modifica]

Ogni qualvolta un utente inserisca dei dati personali (nome, cognome, email...) in un form deve obbligatoriamente spuntare la checkbox di consenso. Nel caso in cui le finalità del trattamento dati siano multiple (sia tecniche che di marketing) è necessario inserire due checkbox obbligatorie. Ad es. in un e-commerce le finalità di inserimento dati sono sia tecniche, perché tramite i tuoi dati posso darti il servizio richiesto (carrello, acquisto ecc), sia di marketing perché i dati verranno utilizzati per profilare l'utente.

Approfondimenti

[modifica]

Dati Personali

Estratto da "https://wiki.wmdemo.it/index.php?title=GDPR&oldid=762"