Il 25 maggio 2018 è arrivato il GDPR – General Data Protection Regulation
Se le informazioni che trovi online (e le valanghe di mail che avrai certo ricevuto) non ti hanno ancora aiutato a capire come fare per trattare i dati personali e rispettare la privacy dei tuoi utenti e ti stai chiedendo come il GDPR influirà sul tuo sito, leggi questa panoramica.
Cos’è il regolamento GDPR?
Il GPDR (General Data Protection Regulation) è il nuovo quadro normativo europeo per la protezione dei dati e va a sostituire le precedenti direttive. È un regolamento: questo significa che è immediatamente attivo dalla data di applicazione, senza che debba venire recepito dai singoli stati della UE.
Il GPDR è già in vigore, ma verrà applicato dal 25 maggio 2018: da questa data, dovrete dimostrare che trattate la protezione dei dati degli utenti conformemente al regolamento, e che essa è un elemento chiave delle vostre pratiche aziendali.
Negli ultimi anni, la quantità di informazioni digitali che immagazziniamo, produciamo e catturiamo è aumentata considerevolmente e, secondo il legislatore, le vecchie norme sulla protezione dei dati non erano più sufficienti per la tutela della privacy delle persone.
Quali sono i vantaggi del GDPR per gli utenti?
Il nuovo Regolamento sancisce un cambiamento piuttosto significativo in materia di protezione e sicurezza dei dati e su come potranno venire utilizzati: dovranno essere garantite maggiore trasparenza e sicurezza.
A partire dal 25 maggio prossimo, il tuo sito o app dovrà rispettare il GDPR, pena l’applicazione di sanzioni che possono arrivare anche a 20 milioni di euro o al 4% del tuo fatturato annuale globale.
Benché essere conformi al regolamento potrà implicare una spesa, variabile a seconda di come la tua azienda utilizza i dati degli utenti, è bene non farsi trovare impreparati. Non cambia tanto il tipo di dati che vengono assoggettati alla normativa, quanto gli accorgimenti da mettere in atto per tenerli al sicuro e per dare agli utenti la possibilità di modificarli, scaricarli, cancellarli in ogni momento.
Quali dati vengono protetti grazie al GDPR? Come si può vedere, non cambia molto rispetto alla normativa italiana precedente:
- Informazioni sull’identità
- Web data – location, dati raccolti dai cookie, indirizzi IP…
- Dati biometrici
- Dati genetici
- Dati sanitari
- Dati etnici
- Orientamento sessuale
- Appartenenza politica
- Credo religioso
Chi raccoglie e tratta uno qualsiasi di questo tipo di dati è tenuto ad essere conforme al General Data Protection Regulation e dovrà fare in modo di acquisire il consenso alla memorizzazione e all’uso di tali informazioni; gli utenti dovranno sapere anche se i loro dati sono utilizzati per scopi di profilazione, o comunque processati in modo da ottenere analisi e valutazioni delle loro caratteristiche.
Il GDPR, quindi, dovrebbe favorire una maggiore trasparenza e sicurezza nelle interazioni tra utenti e piattaforme. In sostanza, il nuovo regolamento introduce alcuni cambiamenti in senso restrittivo rispetto alle leggi esistenti, e questo conduce a un cambio di approccio per le imprese verso la privacy degli utenti.
Ad esempio, per quanto riguarda la Cookie Law, sarà necessario che le persone diano conferma del consenso all’installazione di cookie, che possano revocarlo in qualsiasi momento e che le policy indichino che tipo di dati vengono memorizzati, oltre all’uso che ne viene fatto. I maggiori cambiamenti riguardano i siti web che, per il tipo di attività che svolgono o servizio che offrono, custodiscono tantissime informazioni relative agli utenti.
Le regole più importanti imposte dal GDPR sono abbastanza chiare…
Diritto di accesso
Se i tuoi utenti richiedono una copia dei loro dati, devi fornirla gratuitamente. Devono essere a conoscenza di quali informazioni viene effettuato il trattamento, dove sono immagazzinate e per quali motivi le utilizzi.
Diritto all’oblio
Una volta che l’utente richiede che i propri dati vengano cancellati, devi cancellarli. Nemmeno eventuali terze parti potranno farne uso.
Diritto alla rettifica
L’utente deve avere facile accesso ai propri dati e avere modo di modificarli, se e quando vuole.
Portabilità dei dati
Il GDPR dà all’utente il diritto di richiedere accesso ai propri dati in formato elettronico, in modo da poterli eventualmente scaricare e trasferire.
Notifiche di violazioni di sicurezza
Sia i titolari del trattamento che gli utenti devono essere informati in caso di hackeraggi, furto di dati o altre violazioni della sicurezza entro 72 ore.
Privacy by design
Tutti i sistemi dovrebbero essere progettati avendo presente la sicurezza dei dati e la conformità al GDPR. Questo è un miglioramento piuttosto significativo rispetto alle precedenti normative: significa che i dati devono essere protetti di default fin dalla progettazione dei sistemi che li raccolgono: questo concetto richiede al titolare del trattamento di usare gli accorgimenti necessari a raccogliere, per uno scopo particolare, solo i dati effettivamente occorrenti e solo per il tempo necessario; probabilmente, questo minimizzerà la quantità di dati immagazzinati e il tempo per cui verranno mantenuti: di regola, i dati non potranno essere memorizzati per più del tempo necessario allo scopo per cui sono stati acquisiti.
Inoltre, i dati non potranno essere resi disponibili a terzi senza il consenso esplicito dell’utente.
Questo tipo di approccio dovrebbe rendere meno “intrusivo” lo sfruttamento dei nostri dati (auspicabilmente!) e la maggiore consapevolezza su questo tema dovrebbe spingere aziende, siti e app verso un maggiore rispetto della privacy delle persone.
DPO – Data Protection Officer
Aziende, compagnie e organizzazioni che trattano o controllano dati personali degli utenti devono individuare un responsabile della protezione dei dati.
Ci sono alcune altre novità degne di nota…
Ad esempio, chi fa digital marketing dovrà avere il consenso esplicito al trattamento dei dati, e l’opt-out non basterà più. Le piattaforme di marketing automation dovranno essere utilizzate con molta attenzione… Sarà necessario che ogni utente iscritto nelle varie liste abbia dato il consenso esplicito a ricevere comunicazioni: pare ovvio, ma in questi giorni mi è capitato di ricevere delle email relative al GDPR che non avevano il link per cancellarsi… e che mi portavano su un sito web dove non avevo la possibilità di cancellare il mio profilo autonomamente.
Personalmente, ritengo che il nuovo GDPR non sia una rivoluzione rispetto alle precedenti leggi, quanto un rafforzamento delle norme esistenti in senso favorevole agli utenti. Specie per quanto riguarda i social, i siti di e-commerce e le piattaforme di marketing, dare agli individui un maggiore controllo sui propri dati e sull’uso che ne viene fatto è fondamentale (anche perché non penso che il caso di Facebook e Cambridge Analytica sia l’unico, bensì l’unico smascherato finora…).
Per facilitare le cose, ci sono alcuni validi servizi di generazione di Privacy e Cookie Policy online che, a fronte di un canone, generano il banner e mantengono aggiornate le informative. Il più noto ed utilizzato è Iubenda, creato da una startup italiana.
Immagino comunque che sarà necessario aspettare un po’ per valutare l’impatto effettivo… Intanto, USA Today ha rilasciato una versione del proprio sito destinata agli utenti UE, dalla quale sono stati rimossi tutti i sistemi di profilazione. Così, per non saper né leggere né scrivere 😉