Normativa privacy siti web

Con l’entrata in vigore del Regolamento Europeo 2016/679 che riguarda la protezione dei dati personali, viene superato il precedente Dlgs 196/2003 tramite maggiori specifiche su u come i dati personali verranno trattati e sull’esplicito consenso al trattamento di tali dati.

Il GDPR disciplina inoltre il trasferimento dei dati al di fuori dell’Unione Europea, si obbliga il titolare a notificare le violazioni e si introduce il diritto all’oblio, cioè la possibilità di richiedere, da parte dell’utente, la cancellazione di tutti i propri dati disponibili.

Questa corposa ondata di norme ha investito anche il mondo web, settore in cui la privacy entra a livelli diversi partendo dal piccolo blog per finire al sito di una multinazionale o di un ente pubblico.

Vediamo quali tipi di dati possono essere soggetti a regolamentazione GDPR relativamente a un sito web

Relativamente al web dobbiamo parlare dei dati personali, tutte le informazioni che permettono di risalire all’identità di una persona, nomi, indirizzi email, indirizzi IP ma anche dati biometrici, informazioni crittografate, pseudonimi…

Chiariamo la differenza tra titolare del trattamento e responsabile del trattamento. Il titolare del trattamento è la persona che determina in che modo vengono utilizzati i dati raccolti e quali sono le finalità. Il responsabile del trattamento è la persona che si occupa di trattare i dati per raggiungere le finalità espresse dal titolare.

Fatto salvo che è sempre consigliabile rivolgersi ad esperti per applicare correttamente tutte le norme, facciamo una panoramica sulle misure per adeguare un sito al GDPR.

Il primo passo da seguire è sicuramente la richiesta del consenso esplicito relativo al trattamento dei dati a seguito della spiegazione chiara della motivazione della raccolta dati e delle modalità di utilizzo.

Questa spiegazione viene fornita indicando una pagina “informativa privacy” a questo preposta.

Il consenso va dato in maniera netta e incontrovertibile, pertanto si esclude la possibilità di ipotesi di scelta preselezionate.

L’informativa deve di fatto informare circa i tipi di dati raccolti, archiviati, indicare il titolare e il responsabile del trattamento, indicare la durata del trattamento quindi il tempo del mantenimento dei dati trattati.

È prevista altresì la necessità di poter revocare in qualunque momento il consenso dato in maniera semplice e chiara.

I dati correlati dal consenso poi vanno archiviati in un apposito registro che indichi quando è stato fornito, quali sono le condizioni che l’utente ha esplicitamente accettato, chi ha accesso ai dati, l’eventuale trasferimento dei dati in un Paese non UE, in che modo vengono cancellati i dati, quali misure di sicurezza sono adottate per la protezione dei dati. Non è fatto divieto di avere un registro in forma digitale piuttosto che cartacea.

Capito particolare è quello relativo ai cookies, questi sono frammenti di dati relativi agli utenti utilizzati per migliorare la navigazione. I cookie vengono creati dal server e inviati sul browser. Lo scambio di informazioni consente ai siti di riconoscere il tuo computer e inviargli informazioni personalizzate in base alle sessioni utente.

Praticamente tutti i siti web ormai funzionano tramite l’utilizzo di cookies pertanto anche quest’uso va adeguato al GDPR. Per farlo ormai tutti i siti europei si servono di un apposito banner all’apertura del sito recante la possibilità di consentire o meno l’utilizzo di cookies, da notare che successivamente dovrebbe essere sempre revocabile tale consenso.

 Il GDPR introduce anche il diritto all’oblio, in pratica se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando, anche se si tratta di terze parti.

Qualora poi si verifichino situazioni di “Data Breach”, dove con questo termine si identifica una violazione della sicurezza dei dati, Il responsabile per i dati personali è tenuto a comunicarlo alle autorità competenti entro 72 ore.

 Nel caso di dati a rischio elevato vanno informati anche gli utenti. E’ evidente che qualora la violazione coinvolga i server di un hosting provider quest’ultimo è obbligato alla comunicazione ai propri clienti, che a loro volta devono comunicare la violazione alle autorità e ai relativi titolari dei dati violati.

 Per quanto riguarda le sanzioni, nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale.

 Risorse:

https://shop.networkgtc.it/prodotto/manager-privacy/

https://shop.networkgtc.it/prodotto/data-protection-officer/

https://shop.networkgtc.it/prodotto/privacy-regolamento-ue-2016-679-gdpr/

https://shop.networkgtc.it/prodotto/privacy-soggetto-incaricato-trattamento-dati/

https://shop.networkgtc.it/prodotto/privacy-soggetto-incaricato-trattamento-dati-sensibili/

https://shop.networkgtc.it/prodotto/esperto-della-privacy-secondo-il-nuovo-regolamento-ue-2016-679/