Sei a Norma con la GDPR?

Il prossimo 25 Maggio 2018 entrerà in vigore il GDPR n. 679/2016, un nuovo Regolamento Europeo in materia di protezione dei dati personali.

Come si applica questa nuova regolamentazione europea ai siti web?

La GDP è una nuova legge sulla protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio 2018, la sua finalità è quella di tutelare i cittadini europei in materia di trattamento di dati personali. In quest’ottica l’utente dovrà totalmente essere informato sull’impiego che gli amministratori del sito faranno dei suoi dati e dovrà dare un esplicito consenso.

Parte della messa a sistema del sito web quindi riguarderà l’inserimento di un’area informativa sulla Privacy Policy, che indichi quali dati saranno raccolti, quali memorizzati, da chi e per quanto tempo.

In qualità di proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).
Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. Quindi potenzialmente non sarà esentato nessuno sito web dal rispondere in modo adeguato a tale normativa.
In questo nuovo contesto europeo, l’aspetto più importante per i siti web è il trattamento dei dati personali degli utenti. Quando parliamo di “dati personali” intendiamo tutte le informazioni riguardanti l’utente, come ad esempio il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza, l’indirizzo di fatturazione o consegna di merce e l’indirizzo IP.

Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.
Il GDPR riguarda sia i dati personali sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie si elaborano dati personali (identificabili), questi cookie sono soggetti al nuovo del GDPR europeo:

All’interno del regolamento europeo di 88 pagine vi è un unico riferimento ai cookie, il che potrebbe indurre il lettore poco attento a ritenere che nulla sia cambiato rispetto alla specifica legge sui cookie, la cosiddetta “Cookie Law“, in realtà queste poche righe hanno un impatto significativo sulla conformità dei cookie al GDPR europeo. In sintesi: quando attraverso i cookie è possibile identificare un individuo tramite il loro dispositivo, questi dati sono considerati dati personali. Quindi dati personali = GDPR.
Se usi Google Analytics non anonimizzato (ovvero senza mascherare l’indirizzo IP) significa che tramite i cookie di Analytics presenti sul tuo sito web stai memorizzando l’IP dei tuoi visitatori.

In questo caso particolare stai elaborando dei dati personali dei tuoi utenti ed è qui che entra in gioco il GDPR e quindi il rispetto di tuti gli obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati personali.
Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificare un individuo, sono soggetti alla normativa europea sul trattamento dei dati personali. In pratica, ciò riguarda gran parte dei cookie (propri o di terze parti), compresi i cookie di analisi non anonimizzati, di pubblicità e di servizi come tool di sondaggio e di chat.

Qualora impieghi piattaforme come quella dell’esempio sei comunque:

  • responsabile della protezione dei dati che sono stati raccolti tramite questi cookie;
  • tenuto a fornire agli interessati una chiara informazione sulle modalità in cui i dati verranno utilizzati.

Se si dispone, invece, di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non sei soggetto al GDPR ma si applicheranno le normative precedenti (Cookie Law, ovviamente, fino all’entrata in vigore della nuova normativa europea). Non tutti i cookie sono considerati dati personali. In altre parole: solo se i cookie possono essere utilizzati per identificare un individuo sono considerati dati personali nel GDPR
La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato.
La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.

Dove possiamo verificare se il nostro sito rispetta le attuali normative:

  • nei Moduli di registrazione utenti;
  • Sezione Commenti;
  • Moduli di contatto;
  • Analisi dei log del traffico;
  • Plugin utilizzati;
  • Tools di email marketing.