Adeguamento GDPR

Il 25 maggio 2016 è entrato in vigore il GDPR (acronimo di General Data Protection Regulation, in italiano “Regolamento generale sulla protezione dei dati“) e dopo 2 anni di tempo per adeguarsi è divenuto pienamente operativo dal 25 maggio 2018, prevedendo pesanti sanzioni per chi non si mette in regola.

  • Cos’è nelle specifico il GDPR?

Il GDPR è un regolamento della Commissione Europea (Regolamento UE 2016/679) col quale si è voluto effettuare un vasto intervento normativo in materia di dati personali, allo scopo di garantire una maggior tutela ai diritti dei cittadini e dei residenti nei confini della UE; trattandosi di una norma di natura comunitaria è imperativa e direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali, si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che devono adeguarsi (entro il 25 maggio 2018) obbligatoriamente alla nuova normativa.

  • Quali componenti strutturale ed organizzative coinvolge il GDPR?

Il GDPR non riguarda esclusivamente la privacy on-line ma, più genericamente, il trattamento dei dati personali a prescindere dall’ambito – sia esso “analogico o digitale” – nel quale viene effettuato; si tratta, pertanto, di un intervento generale che riguarda la Rete ma non si esaurisce in essa, in quanto è volto a regolare l’attività di tutti i soggetti che raccolgono o elaborano dati personali, sia on-line che off-line, di cittadini europei dentro e fuori l’Unione Europea.

  • GDPR e normativa Italiana: cosa cambia rispetto al D.lgs 196/2003 ?

Nel caso dell’Italia, il GDPR andrà ad inserirsi nel quadro normativo tracciato dal D.lgs 196/2003 che, attualmente, costituisce le norma di riferimento in materia di trattamento di dati personali; con l’avvento del GDPR la norma citata verrà integrata da nuovi obblighi ed, in parte, derogata (ove non compatibile col nuovo regolamento europeo).

In linea di massima possiamo dire che il GDPR traccia un perimetro molto netto e rigoroso statuendo alcuni principi di natura innovativa; tra questi principi, un posto di primo piano è riservato ai concetti di “Privacy by design” e “Privacy by default“, i quali impongono al titolare del trattamento una protezione dei dati fin dalla progettazione del database e per impostazione predefinita, così come previsto nell‘art.25 del Regolamento UE.

  • Cookie Law, cosa cambia con il GDPR?

Il 2 giugno del 2015 entrò in vigore la cosiddetta Cookie Law (direttiva 2009/136/CE), il cui scopo è regolamentare l’utilizzo dei cookie sui siti internet.

Le normative in essa contenute sono ancora valide, ma hanno subito dei sostanziali cambiamenti a partire dal 25 maggio 2018, quando è divenuto operativo a tutti gli effetti il GDPR/EU.

La modifica più importante e sostanziale riguarderà il banner di avvertimento sull’uso dei cookies, che non potrà più validare l’assenso generico con il tacito assenso (ad esempio con la dicitura “continuando la navigazione o chiudendo questo banner si accetta quanto previsto”), ma in base a quanto previsto dal nuovo Regolamento il consenso dovrà essere “Preventivo”, “Specifico” ed “Informato”, riportante tutto quanto riguarda il luogo di conservazione dei dati, le finalità di raccolta, le eventuali terze parti che si occuperanno del trattamento, i tempi di conservazione degli stessi. L’utente dovrà altresì essere sempre in grado di revocare il consenso con la stessa facilità con cui lo ha prestato, ovvero dovrà avere la possibilità di revocare il consenso a tutti o a specifici cookie nello stesso modo e con la stessa semplicità di quando ha dato il consenso alla loro installazione; è fatto inoltre obbligo di fornire prova documentale dell’avvenuto assenso qualora ne fosse fatta richiesta dalle Autorità preposte ai controlli.

  • L’adeguamento di un sito web è limitato ai cookie?

L’adeguamento del cookie banner e della cookie policy è un aspetto importate e fondamentale per la messa a norma di un sito, ma da solo non basta.

Molti altri aspetti vanno presi in cosiderazione, dalla riscrittura della Privacy Policy tenendo conto delle nuove direttive, passando per la corretta impostazione dei form di contatto e del modulo per la revoca del consenso, oltre all’implementazione di software antivirus e antrintrusione con monitoraggio costante del sito.

 

Conclusioni:

È importante specificare che la norma in questione, essendo contenuta in un Regolamento UE, è direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali, si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.), pertanto adeguarsi al GDPR non è una facoltà ma un obbligo.

Il mancato adeguamento ai dettami del GDPR può comportare sanzioni molto pesanti, con multe fino a 20 milioni di Euro o fino al 4% del fatturato dell’anno precedente (se da tale percentuale scaturisce una somma maggiore a 20 milioni). L’autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.

Adeguare il proprio sito web, sia esso aziendale o amatoriale (anche un semplice blog senza fini di lucro), non è una scelta ma un obbligo, contattaci per avere un preventivo gratuito per l’adeguamento del tuo sito.