E' arrivato il termine ultimo per aggiornare il proprio sito web o e-commerce al nuovo GDPR ( il nuovo regolamento Europeo sulla Privacy). Scopriamo insieme cosa è necessario fare per mettere in regola la tua comunicazione digitale
3. 3
IL GDPR COMPORTA UN ORIENTAMENTO ALTRATTAMENTO DEI DATI PIÙ
RIGOROSO E TRASPARENTE
• tentare di memorizzare la minore quantità possibile di dati personali
• rendere le finalità per le quali i dati sono memorizzati più palesi e meglio
riscontrabili
• elaborare i dati accumulati solamente previa specifica autorizzazione,
• rendendo perfettamente comprensibile gli scopi dell’elaborazione ai fruitori
O N W E B
4. 4
TRA I PRINCIPALI DATI IMPIEGATI NEI SITI WEB E NEGLI E-COMMERCE CHE
RIENTRANO NELLA NORMATIVA ABBIAMO:
• i dati sensibili legate agli utenti
• quanto inserito nei forum dei commenti e i moduli di contatto
• le credenziali di accesso
• gli strumenti di Analytics e di tracciamento per finalità di web marketing
• i plugin che tracciano i dati degli utilizzatori
O N W E B
5. 5
COME ADEGUARE IL PROPRIO SITO
WEB?
Il GDPR costituisce a conti fatti
un’evoluzione della normativa sul
trattamento dati personali che sposta
l’asticella ancora più in alto per quanto
riguarda i doveri a carico di blogger,
webmaster e proprietari di ecommerce.
78%
Euismod
Sollicitudin
O N W E B
6. 6
PRIVACY PRIMA, PRIVACY ORA.
In teoria sono anni che è necessario far accettare il
consenso alla privacy (e quindi all’uso dei dati)
all’utenza che compila un form in cui vengono
richiesti.
In più in questo GDPR (oltre a ribadire questo
concetto) si indica nella privacy policy è necessario
spiegare a chi rilascia i propri dati che in
qualunque momento gli interessati, in qualsiasi
momento, devono poter cancellare i propri dati
personali.
O N W E B
7. 7
PRIVACY PRIMA, PRIVACY ORA.
Con in qualsiasi momento praticamente si vuol
dire che:
• Se richiedi una registrazione l’utente deve
poter accedere e cancellare i dati inseriti
• Se immagazzini i dati in seguito a compilazione
di form e li salvi devi fornire la possibilità di
poterli cancellare
O N W E B
8. 8
SOLO I VIVI, PER I MORTI NON C’È
PRIVACY
Attenzione! Tutti i dati soggetti a questa normativa
sono solo quelli relativi alle persone in vita. I dati di
coloro che sono deceduti sono di libero uso se non
normati nella nazione di riferimento. Si ok potrebbe
essere una notizia inutile, non ha un buon ROI
effettuare attività di profilazione sui morti ;D . punto
27 Regolamento (UE) 2016/679 del parlamento
europeo e del Consiglio del 27 aprile 2016
O N W E B
9. 9
ATTENZIONE AI MINORI
I minori necessitano poi di una specifica protezione
relativa ai loro dati personali punto 38 Regolamento
(UE) 2016/679 soprattutto ai fini di marketing.
O N W E B
10. 10
DATI PERSONALI
1
ELABORAZIONE
DEI DATI
2
Sono tutte le informazioni fornite
dall’utente (nome, cognome, etc) nei
campi input di un form e tutte le
informazioni dedotte per mezzo di codice
(IP, provenienza geografica, etc)
Quando i dati vengono trasformati, ovvero
a partire dai dati dell’utente si effettuano
dei meccanismi di integrazione delle
informazioni raccolte su più servizi per
incrementare le informazioni associate al
dato di un singolo utente.
O N W E B
11. 11
BUONA REGOLA
Se scollegate i dati personali (ad esempio
associandoli ad un id) all’attività svolta da
un utente sul sito, effettuate attività di
pseudonimizzazione. Ovvero come quando
vai dal medico e al posto di chiamarti per
nome e cognome ti chiamano per numero/
colore che ti hanno assegnato.
punto 28-29 Regolamento (UE) 2016/679
del parlamento europeo e del Consiglio del
27 aprile 2016
Id34
O N W E B
12. 12
CHI SONO GLI ATTORI
Il webmaster/sviluppatore dovrà normare
TECNICAMENTE il sito web affinché
risponda ai requisiti di legge
I proprietari del sito dovranno vigilare nel
tempo per rispondere (oltre che di fatto nel
caso di eventuali provvedimenti disciplinari)
dei dati raccolti nei confronti dell’utenza
O N W E B
13. 13
COSA FARE PER METTERSI IN REGOLA CON IL GDPR N.679/2016
• Richiedere il consenso esplicito all’uso dei dati
• Modificare la propria privacy policy presente sul sito
• Prevedere eventuali rischi di fuga dei dati
• Notificare eventuali fughe dei dati (e quindi avere una copia dei dati)
• Capire se i dati trattati richiedano una valutazione d’impatto sulla protezione dei dati
prima del trattamento punto 90 e a seguire Regolamento (UE) 2016/679
• Se inviate i dati a terzi extraeuropa molte più regole vi aspettano (è interessante per chi fa
ad esempio di dropshipping), ovvero se inviate dati extraeuropa ad una struttura piena di
buchi dove sicuramente verranno diffusi senza autorizzazione è compito di chi li invia
premunirsi tutelando i dati, anonimizzandoli punto 108 e a seguire Regolamento (UE)
2016/679
• Oltre alle regole europee si deve sottostare alla legislazione locale in cui agisce il sito
(pensavate bastasse il GDPR?) punto 121 e a seguire Regolamento (UE) 2016/679
• Se sei una chiesa, associazione/comunità religiosa hai dei vantaggi nel trattare i dati
personali punto 165 Regolamento (UE) 2016/679
• Modifica alla normativa estesa sui cookie
O N W E B
14. 14
RICHIEDERE IL CONSENSO ESPLICITO
DEI DATI
Attenzione! Pur se ribadito dal GDPR n.
679/2016 questo aspetto deve essere già in
regola, dato che sono anni che è normato.
Per far inviare un form in cui avete raccolto i
dati dell’utente è necessario che l’utente
flagghi una casellina (radiobutton o
checkbox) relativa ad una voce del tipo: Si
ho letto la normativa sulla privacy e l’accetto.
Se non viene flaggata l’opzione il form NON
deve inviare i dati e di vostro NON dovete
mettere il campo già flaggato come
condizione di default punto 32.
O N W E B
15. 15
MODIFICA DELLA NORMATIVA SULLA
PRIVACY
Attenzione! La pagina sulla privacy deve
già contenere queste informazioni, nel
GDPR n.679/2016 vengono ribadite ma
se siete attività commerciale e non le
avete già ad oggi non siete in regola.
Nella normativa sulla privacy è necessario
specificare:
O N W E B
16. 16
PRIVACY COSA È NECESSARIO
SPECIFICARE
• Chi è il responsabile dei dati personali raccolti e dove vengono immagazzinati (che
dovrebbe corrispondere con la sede dell’attività) punto 36
• La finalità dei dati che raccogliete punto 39
• Che la finalità dei dati raccolti siano legittime (ovvero se fornisco i miei dati per
ricevere una newsletter di fai da te non mi devono arrivare DEM su come trovare
l’anima gemella) punto 39
• il fatto che dopo un determinato periodo di tempo i dati personali vengono
cancellati (il lasso temporale è definito come non più lungo del necessario e va
specificato) punto 39
O N W E B
17. 17
PRIVACY COSA È NECESSARIO
SPECIFICARE
• i dati personali inesatti devono poter essere rettificati e/o cancellati dall’utente in
autonomia punto 39
• che i dati personali sono protetti dal furto punto 39
• Se i dati vengono ceduti a terzi è necessario specificare a chi punto 61
• Che l’interessato, se i dati vengono registrati, può accedere per eventuale modifica in
maniera gratuita punto 63, solo dopo verifica dell’effettiva identità dell’interessato
punto 64.
• Un interessato deve avere diritto all’oblio e che i dati vengano di fatto cancellati, in
particolare se quando ha prestato il consenso era minore punto 65.
O N W E B
18. 18
PRIVACY COSA È NECESSARIO
SPECIFICARE
• Che se i dati vengono utilizzati ai fini di marketing che il diretto interessato si può
opporre al trattamento in qualsiasi momento e in forma gratuita. Queste informazioni
vanno presentate chiaramente e separatamente da tutte le altre informazioni (consiglio
una sezione dedicata nella privacy policy e un campo supplementare di consenso nel
form) punto 70.
• Che se raccogliete i dati di minori di anni 16 è necessario il consenso dell’autorità
genitoriale art 8 punto 1
O N W E B
19. 19
PREVEDERE I RISCHI E COSA FARE IN
CASO DI FURTO
Prevedere i rischi
Per mantenere la sicurezza dei dati e prevenire eventuali furti degli stessi è opportuno
implementare la criptazione degli stessi punto 83.
Nel caso di dati rubati è necessario effettuare notifica
Se i dati personali da voi raccolti vengono rubati è necessario notificare questo furto,
all’attività preposta (ovvero dove fate la denuncia del furto) entro 72 ore dal momento in
cui si viene a conoscenza del fattaccio punto 85 e comunicarlo agli interessati punto 86.
Quest’ultimo aspetto è decisamente interessante in quanto se i dati sono stati rubati
come faccio ad avvertire i diretti interessati? Devo averne una copia!
O N W E B
20. 20
MODIFICA ALLA NORMATIVA ESTESA
SUI COOKIE
Come abbiamo visto è necessario chiedere una conferma per l’uso dei dati personali,
quindi per tracciare l’IP di un utente (ad esempio in un servizio come google analytics) è
necessario far accettare all’utente questa condizione. Quindi nella normativa estesa sui
cookie è opportuno spiegare questo concetto (integrando quindi le informazioni che
abbiamo visto sopra e che non dovranno risiedere quindi nella sola pagina delle
condizioni di privacy).
In più, sempre nell’informativa estesa sui cookie, è necessario fornire all’utenza la
possibilità di cancellare i cookie.
Per il resto è come prima, una azione utente diretta presuppone l’accettazione, quindi
potete salvare cookie sul computer utente solo dopo che l’utente ha compiuto l’azione e
non prima.
O N W E B