Indice
- GDPR: che cos'è, a chi si rivolge e quando si applica
- Quali sono le sanzioni
- Come adeguare il proprio sito al GDPR
- Ultime novità
Anche per quest'anno è prevista una crescita delle attività online, specialmente in ambito e-commerce. Ti abbiamo già accenato del boom di questo settore nel nostro articolo dedicato ai trend di digital marketing 2021, oggi invece vogliamo parlarti di un argomento attuale già da un bel po' di tempo.
Sebbene infatti siano molti gli aspetti a cui prestare attenzione quando si decide di portare online un'attività, ce n'è uno in particolare che da un paio di anni a questa parte non può più essere ignorato: l'adeguamento della propria attività al GDPR, ovvero il Regolamento generale sulla protezione dei dati.
GDPR: che cos'è, a chi si rivolge e quando si applica
Il GDPR è un Regolamento europeo entrato in vigore il 24 maggio 2018 con lo scopo di garantire una migliore protezione dei dati e della privacy dei cittadini dell'Unione Europea. Non importa se la società che raccoglie i dati ha sede al di fuori dell'UE o se la maggior parte degli utenti di un sito web non è residente nell'UE. Il GDPR è progettato per proteggere i diritti e la privacy dei suoi residenti indipendentemente da chi gestisce le loro informazioni personali.
Un cambiamento fondamentale avvenuto con il GDPR è stata l'introduzione dell'obbligo di rendicontazione: secondo questo principio, infatti, le aziende sono tenute a dimostrare la loro conformità con il GDPR. Ciò si è tradotto nella necessità di una maggiore documentazione a cui si aggiungono anche gli obblighi di prova (elenchi delle attività di elaborazione, valutazioni dell'impatto sulla protezione dei dati e documentazioni sugli incidenti di protezione dei dati). Inoltre, i rischi dovuti alla non conformità con le normative sulla protezione dei dati sono aumentati in modo significativo: le violazioni possono essere punite con multe fino a 20 milioni di euro o fino al 4% del fatturato annuo totale realizzato a livello mondiale. Sono cresciuti anche gli obblighi di informazione nei confronti degli interessati (come la dichiarazione sulla protezione dei dati), l'uso di cookie e strumenti pubblicitari è stato reso giustificabile attraverso appositi banner che devono comparire sulla homepage del sito permettendo all'utente di fornire le proprie preferenze; i contratti con i fornitori di servizi per l'elaborazione degli ordini devono soddisfare requisiti più severi; infine, devono essere rispettati il diritto alla portabilità dei dati e le scadenze per il trattamento delle domande per esercitare i diritti degli interessati.
Pur essendo un Regolamento approvato dal Parlamento europeo le modifiche al GDPR si applicano tanto alle organizzazioni in altri paesi quanto a quelle all'interno dell'UE. Se un'organizzazione o attività, in UE o meno, offre beni o servizi o monitora il comportamento degli interessati dell'UE, è tenuta a rispettare il GDPR. Restano escluse invece tutte quelle attività a carattere esclusivamente personale o domestico.
Quali sono le sanzioni
Ad oggi si ha una violazione del GDPR quando un'azienda o un libero professionista non mette in atto tutte le misure necessarie per tutelare i cittadini.
A seconda della gravità delle violazioni gli importi possono aggirarsi attorno ai 10 milioni di euro o al 2% del fatturato annuale mondiale precedente se non addirittura a 20 milioni di euro o il 4% del fatturato annuale mondiale precedente.
Purtroppo pare che in Italia non ci sia ancora molta consapevolezza sull'importanza che ha il rispetto della protezione dati. Infatti il 2020 ha visto l'Italia al primo posto dei paesi multati per violazioni al GDPR, le stime delle sanzioni pecuniare sono circa 45.609.000 euro, dati che certamente non ci fanno onore, specialmente se collegati ad un atteggiamento di sufficienza sulla protezione dei dati emerso a seguito di queste violazioni. A controbilanciare questo trend negativo è l'atteggiamento dei cittadini che invece si mostrano sempre più attenti al rispetto della loro privacy e pronti ad assumere atteggiamenti attivi nei confronti delle istituzioni di competenza in caso di violazioni.
Come puoi ben capire da questo quadro, anche se magari la tua azienda rientra tra le PMI, i costi di violazione del GDPR possono essere molto alti, non solo in termini economici, ma soprattutto nell'immagine che dai della tua attività: rispetta il GDPR e soprattutto i tuoi consumatori.
Come adeguare il proprio sito al GDPR
Immagine via Freepik.com
Sei arrivato al punto centrale di tutta la questione: come posso mettere in regola il mio sito web?
La chiave è il consenso da parte degli utenti che deve essere:
1) Antecedente all'elaborazione dei dati: Il consenso deve essere prestato prima del primo trattamento dei dati. Nel caso dei cookie essi devono essere bloccati fino all'ottenimento del consenso da parte dell'utente.
2) Trasparente e leggibile, fornito in risposta a informazioni precise e specifiche su come, perché e da dove viene utilizzato il trattamento dei dati. Questo deve essere fatto in una forma comprensibile e accessibile e in un linguaggio semplice.
3) Approvazione volontaria. Il consenso deve essere prestato liberamente e mai come presupposto per la fruizione di un servizio o l'esecuzione di un contratto per il quale i dati trattati non sono richiesti.
4) Documentazione. Ogni consenso fornito deve essere conservato come prova in modo che il consenso possa essere dimostrato in caso di controllo.
5) Reversibile: l'utente deve poter accedere al proprio consenso in qualsiasi momento nel modo più semplice possibile al fine di poter cancellare il consenso.
6) Rinnovabile: L'approvazione deve essere rinnovata annualmente. Tuttavia, alcune linee guida nazionali sulla protezione dei dati raccomandano rinnovi più frequenti, ad esempio 6 mesi. .
Inoltre, il tuo sito deve disporre di:
1) Privacy Policy: la Privacy Policy è il documento con cui si viene a spiegare il trattamento dei dati personali. In particolare, per essere completa dovrà contenere:
- la tipologia di dati raccolti dal sito e la ragione per cui vengono raccolti;
- da chi e in che modo i dati vengono raccolti;
- come e per quanto tempo saranno conservati;
- se e in che modo verranno ceduti a terzi;
2) Cookie e Tracking: per avere un sito web conforme al GDPR in materia di Cookie e Tracking è necessario attuare:
- un banner conforme per acconsentire ai cookie;
- una informativa sui cookie aggiornata e specifica;
- un'archiviazione sicura di tutti i consensi concessi;
- la possibile revoca del consenso.
3) Moduli e Form di raccolta dati: I moduli e form presenti in un sito web, come ad esempio quelli per le newsletter, dovranno essere provvisti di spunta per il consenso al trattamento dei dati personali.
4) Plug-in e CMS: non è possibile adottare una soluzione unica per ogni sito web in quanto ognuno presenta le proprie peculiarità e tratta i dati personali diversamente. Generalmente CMS e plugin di vario tipo (e-commerce, form di contatti, newsletter) devono essere adattati al GDPR. È sempre possibile verificare sui siti web dei produttori di plugin informazioni e funzionalità relative alle ultime versioni rilasciate.
Ultime novità
La scorsa estate la Corte di Giustizia dell’Unione Europea (CGUE) ha invalidato il Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico. Di fatto la normativa degli Stati Uniti non è stata ritenuta adeguata per garantire un livello di protezione equivalente a quello previsto dal GDPR. Di conseguenza, aziende europee che utilizzano servizi di aziende statunitensi dovrebbero ricorrere a provider di servizi che siano conformi al GDPR, assicurandosi di non avere a loro volta server localizzati oltre oceano. Resta comunque possibile trasferire dati verso paesi extra europei purché l’azienda europea, titolare del trattamento, stipuli un contratto idoneo con l’azienda destinataria ubicata nel paese terzo extra-UE. Tale contratto dovrà rispettare gli standard europei di protezione dei dati.
Questo articolo ti è stato d'aiuto? Tieniti informato su tutte le ultime novità del mondo web seguendo i nostri canali social e il nostro blog.