Nuova Privacy 2018

16 maggio 2018

GDPR: adeguamento del sito web di professionisti e aziende

privacy policy dati personali sicurezza
Adeguare le misure per mettere in regola il proprio sito web è uno dei presupposti base richiesti dal nuovo Regolamento (UE) 679/2016.

In vista dell’imminente entrata in vigore, per chi non l’avesse già fatto, è necessario quindi seguire tutti gli step di adeguamento che delineeremo di seguito.

Tutti i siti web che posseggono un modulo di contatto, di raccolta dati, che utilizzano la tecnologia dei cookies o che posseggono anche un’area dedicata all’e-commerce, dovranno mettersi in regola con le disposizioni del nuovo Regolamento. Il GDPR si rivolge infatti alle aziende con siti web ed, eventualmente, e-commerce che raccolgono e gestiscono dati nell’UE, comprese quelle con sede legale al di fuori dell’Unione (con regole uniformate in tutto il territorio dell’UE).

La protezione del dato personale in un’era digitale evoluta deve essere posta al centro del business delle imprese.

Tutti i gestori di siti web per essere conformi al GDPR dovranno:
  • fornire una chiara e dettagliata Privacy Policy;
  • comunicare all’utente il soggetto che sarà Responsabile del trattamento dei dati;
  • informare l’utente dei tempi di conservazione dei dati, le modalità di cancellazione, la modifica degli stessi;
  • comunicare all’utente i propri diritti (diritto di cancellazione; diritto di accesso; diritto alla portabilità ecc.);
  • abilitare le procedure che consentano all’utente di agevolare l’esercitazione dei propri diritti (cancellazione, portabilità ecc.);
  • controllare che tutti i moduli non siano “flaggati” di default: l’utente deve confermare l’invio delle informazioni;
  • informare l’utente nel caso in cui nel sito web siano previste procedure tecniche volte a profilarne la navigazione e le preferenze (cookies ecc.);
  • predisporre il sito di un software che permetta, nel caso in cui l’utente scelga di poter navigare con i cookies non attivi, di bloccare preventivamente qualsiasi attività di tracciamento che non sia espressamente confermata da parte del navigatore. L’utente dovrà avere la facoltà di poter navigare sul sito decidendo quali cookies potranno rimanere attivi e quali no.

La prima regola da verificare è controllare che il processo di ricezione dei consensi sul proprio sito online sia conforme al nuovo Regolamento ed eventualmente adattare i procedimenti alle nuove norme.

Consenso – Ogni titolare del trattamento dei dati personali dovrà innanzitutto adottare quelle misure atte a consentire all’utente di confermare il proprio consenso all’attività di trattamento e tracciamento dei dati personali. Il consenso dovrà inoltre rispondere di determinati requisiti per essere valido, deve essere registrato per averne prova, e deve potere essere revocabile in ogni momento da parte dei proprietari dei dati, deve essere inoltre esplicito e informato.

Diritti dell’interessato – Con il nuovo Regolamento UE sulla protezione dei dati, i diritti degli interessati al trattamento vengono fortemente rafforzati.

Il nuovo Reg. UE 2016/679 prevede difatti diversi diritti a cui l’utente può far affidamento a garanzia di un utilizzo lecito dei propri dati: art. 15 (diritto di accesso); art. 16 (diritto di rettifica); art. 17 (diritto all'oblio); art. 18 (diritto di limitazione di trattamento); art.20 (diritto alla portabilità dei dati); ecc.

Il diritto all’oblio è uno dei principali assi su cui si pone il Regolamento. L’interessato ha il diritto di cancellazione (art. 17.1) nei seguenti casi:
  • esaurimento della finalità per cui i dati sono stati raccolti o trattati;
  • revoca del consenso da parte dell’interessato e assenza di altra condizione di liceità per il trattamento;
  • buon esito dell’opposizione al trattamento da parte dell’interessato;
  • illiceità del trattamento;
  • cancellazione prevista per obbligo di Legge;
  • raccolta dei dati di minori in relazione ai servizi della società dell’informazione di cui all’art. 8.1 GDPR.

Tutti diritti attraverso i quali l’interessato può esercitare un maggiore controllo sull’utilizzo dei propri dati.

Privacy Policy – Risulta essere di fondamentale importanza fornire espressamente all’utente una Privacy Policy chiara e le finalità per cui i dati vengono raccolti.

I dati personali possono essere trattati solo se l’interessato ha prestato il proprio consenso esplicito al trattamento dei dati personali per una o più finalità: ricordiamo infatti che, per ogni finalità, andrà richiesto un nuovo consenso e il tutto dovrà essere espresso nell’informativa che dovrà visualizzare l’utente.

Come lo stesso considerando 32 specifica: “Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”.

L’informativa e il consenso sono gli elementi chiave di tutto il processo, essendo questi fra più importanti presupposti perché il trattamento dei dati possa essere considerato legittimo. Vige dunque il divieto di abbinare più consensi.

Informativa – Dovrà essere fornita necessariamente all’utente che intende usufruire dei servizi offerti dal sito web, prima della raccolta del consenso. L’interessato dovrà ricevere tutte le informazioni necessarie dal titolare in relazione al contenuto del trattamento e alla finalità per cui è effettuato. Nell’informativa dovrà essere indicato sia il periodo di conservazione dei dati, sia il criterio per stabilire tale periodo di conservazione: ad ogni modo dovranno essere conservati per un periodo non superiore a quello strettamente necessario.

In particolare, l’informativa dovrà sempre avere una forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; dovrà utilizzare un linguaggio chiaro e semplice, e per i minori occorrerà prevedere informative idonee.

Quanto al contenuto, deve essere sempre specificato all’utente:
  • chi sia il Responsabile del trattamento dei dati;
  • se si trasferiscono i dati personali in Paesi terzi;
  • se si fa ricorso a processi automatizzati.

Profilazione e sistemi automatizzati – Cookies, strumenti per il monitoraggio e misure di targetizzazione, dovranno orientarsi sul GDPR. L’utente deve essere informato qualora il sito web preveda procedure tecniche volte a profilarne la navigazione e le preferenze (es. cookies). Dovrà avere inoltre piena facoltà di decidere se bloccare tutte le attività di tracciamento o decidere, ad esempio, quali cookies lasciare attivi o meno (v. articolo del 10.05.2018 Privacy: la sfida dell’era tecnologica digitale e dei processi automatizzati).

Caselle prespuntate - Non dovrebbe inoltre configurare consenso il silenzio, l'inattività o la preselezione di caselle. È espressamente vietato dal Regolamento difatti, “flaggare” di default i moduli. L’utente deve confermare volontariamente l’invio delle informazioni.
Autore: Enza Mancuso
 © Informati S.r.l. – Riproduzione Riservata
Categorie: Privacy > Disposizioni generali

Per inserire i vostri commenti dovete registrarvi.