GDPR

Il GDPR è un argomento che riguarda l'azienda nel suo insieme, non solo la parte web.

Il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.
Il GDPR riguarda tutte le aziende o i professionisti che trattano o raccolgono dati personali di cittadini europei, indipendentemente da dove è ubicata la sede della società.

Il GDPR si pone 3 grandi obiettivi:

• avere un’uniformità di normativa a livello europeo, in materia di protezione dei dati personali;
• fornire a qualsiasi cittadino membro dell’Unione Europea uno strumento che permetta di controllare come i propri dati personali vengono utilizzati;
• responsabilizzare maggiormente aziende e professionisti sul trattamento dei dati personali.

---

• La privacy diventa un processo aziendale.
• L'informativa non deve avere riferimenti di carattere legale, però deve essere concisa.
• Deve essere molto chiara la finalità per cui sto raccogliendo i dati e per quanto tempo tengo i dati.
• Nell'informativa deve essere chiaro a chi rivolgersi(email aziendale, numero di telefono).

Ogni utente ha il diritto di sapere tutto sui dati in possesso dell’azienda o del professionista.
Quali dati sono in posseso, come vengono raccolti e l’uso che ne viene fatto.

Ogni utente può richiedere in qualsiasi momento che i propri dati siano corretti o aggiornati.

• Ogni utente può chiedere che i propri dati siano divulgati ad un ente terzo o a un concorrente.
• L'azienda deve essere in grado di esportare i dati riguardo agli utenti in csv, se l'utente dovesse richiederli.

• Ogni utente può opporsi al trattamento di alcuni o tutti i propri dati relativi ad uno specifico utilizzo.
• Ogni email inviata al cliente registrato deve contenere sempre un link di cancellazione obbligatorio tramite il quale può disiscriversi immediatamente.

Ogni utente può richiedere in qualsiasi momento che i propri dati siano cancellati in modo definitivo.

---

• è vietata l’iscrizione automatica di un utente a una lista, anche nel caso in cui lui possa disiscriversi liberamente (opt-out), inoltre è vietato l’inserimento in lista di indirizzi email preventivamente spuntati nei moduli d’iscrizione.
• Il double-opt-in diventa l’unico modo per ottenere un consenso esplicito utilizzabile nei termini di legge.

Si dovrà quindi:

• inserire opt-in supplementari nei tuoi moduli di iscrizione, uno per ogni singolo trattamento del dato (consenso alle newsletter, consenso al ricevimento di email automatizzate, consenso alla profilazione).
• richiedere il consenso al trattamento dei dati dei tuoi utenti, se usati in modo diverso rispetto a quando sono stati acquisiti la prima volta.
• sapere che la nuova definizione di consenso viene applica anche ai dati personali dei residenti europei raccolti prima del 25 maggio 2018.
• richiedere un consenso al trattamento dei dati personali se le tue liste attuali non sono conformi al GDPR, utilizzando un nuovo modulo opt-in che espliciti in modo chiaro i motivi della richiesta.

Qualsiasi iscrizione double opt-in ha una seconda conferma. Questo metodo di iscrizione esige che non solo l’utente compili e invii il form ma che confermi la sua decisione, solitamente cliccando su un link in una mail che riceve dopo aver inviato il form.

Così si evita che qualcuno iscriva una terza persona, che vengano forniti indirizzi falsi o che si accumulino indirizzi mal scritti.

Normalmente l’email di conferma ha un pulsante o un link che conferma il permesso di aggiungere l’indirizzo a una lista di email. Ed è solo dopo questa conferma che si aggiunge l’utente alla lista dei registrati.

Una buona iscrizione double opt-in prevede questi passi:

1. Per cominciare, l’utente deve accettare le condizioni e compilare il form.
2. A seguire riceverà una mail di benvenuto che deve includere un link per confermare che vuole ricevere i tuoi messaggi.
3. Cliccando, l’utente verrà rediretto a una pagina di benvenuto più completa in cui informarlo del tipo di messaggi che riceverà e con quale frequenza. Oltre al modo in cui può contattare il brand attraverso i diversi canali digitali e fisici disponibili.
4. Non tutti i brand compiono questo ultimo passo ma ti aiuterà ad essere più professionale e a fidelizzare l’utente. Invia una copia delle condizioni via mail affinché l’utente possa salvarle. A questo punto puoi approfittarne per chiedere che ti aggiunga alla lista dei contatti sicuri, per evitare di finire in spam.

---

Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal GDPR sono:

• Obbligo di definire i tempi di conservazione dei dati.
• Obbligo di indicare la provenienza dei dati in caso di utilizzo.
• Obbligo di predisporre il Documento di Valutazione di Impatto del Trattamento dei Dati.
• Obbligo di gestire la responsabilizzazione(i soggetti terzi a cui comunichiamo/trasferiamo i dati elencando i soggetti fino a dove saranno salvati i dati ad es. nel cloud di chi).
• Obbligo di comunicare tempestivamente al Garante violazioni dei propri database.

1. Cambia l'informativa che diventa breve, priva di riferimenti normativi (es. art. comma ecc...), deve essere comprensibile anche ai minori e contenere nuovi elementi, come l'origine dei dati e il tempo di conservazione previsto.
2. Cambia il consenso al trattamento che cessa di essere necessariamente espresso e diventa un consenso inequivocabile (se uso i dati ottenuti per altre finalità come newletter, sms, telefonate ecc devo chiedere consenso con spunta per ognuna di queste attività, ovviamente mai flaggati e con doppio campo sì o no) e quindi desumibile in base ai comportamenti degli interessati.
3. Viene introdotta la figura del DPO(per PA e chraccoglie una grande mole di dati costantemente).
4. Introduzione del Registro dei Trattamenti.
5. Nasce il Documento di valutazione di impatto del trattamento dei dati.
6. Portabilità dei dati.
7. diventa essenziale progettare la tutela dei dati personali e documentare l'attenzione verso l'analisi dei rischi connessi al trattamento dei dati personali.

• Predisporre dei processi di valutazione di impatto del trattamento dei dati personali.
• La legge non deve essere citata, ma chiede di essere rispettata.

---

è una documentazione articolata, una fotografia dell'azienda.

Una volta che ho tutti i dati a disposizione preparo un'analisi del rischio

Ad esempio che tipo di banca dati ho, che tipo di dati vado a trattare, in quali uffici e con che tipo di finalità (amministrativo, contabile, marketing, produzione)

Questo processo è da svolgersi periodicamente (con cadenza almeno annuale) e comprende:

1. Analisi dei rischi
2. Definizione della lista delle criticità
3. Definizione del programma di intervento

Mi servono tutti i dati che raccolgo?

Obiettivo:

• Quali dati personali possiede l'azienda
• Come sono trattati

Output:

• Lista di processi aziendali che trattano dati personali

---

---

La privacy policy di un sito web deve fondamentalmente esplicare i seguenti punti:

• Perché i dati vengono salvati, quale utilizzo ne facciamo
• Chi li raccoglie
• Indicare un responsabile del trattamento dei dati che possa essere contattato tramite e-mail
• Come vengono usati i dati (per scopi tecnici o di marketing)
• Chi ha accesso ai dati
• Esposizione del Diritto all'Oblio
• Esposizione del Diritto di portabilità

La cookie policy rimane una pagina che dev'essere linkata dalla privacy policy.

Ogni qualvolta un utente inserisca dei dati personali (nome, cognome, email...) in un form deve obbligatoriamente spuntare la checkbox di consenso. Nel caso in cui le finalità del trattamento dati siano multiple (sia tecniche che di marketing) è necessario inserire due checkbox obbligatorie. Ad es. in un e-commerce le finalità di inserimento dati sono sia tecniche, perché tramite i tuoi dati posso darti il servizio richiesto (carrello, acquisto ecc), sia di marketing perché i dati verranno utilizzati per profilare l'utente.