Il GDPR una nuova legge sulla protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio 2018.
GDPR: le sanzioni amministrative pecuniarie e/o penali
Il GDPR, agli articoli successivi, invece, disciplina le ipotesi per cui è prevista l’applicazione di sanzioni amministrative pecuniarie e/o penali. Per quanto riguarda le prime esse possono raggiungere i 10 milioni di euro o, se superiore, il 2% del fatturato mondiale nei casi di, a titolo esemplificativo:
– violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione; |
– trattamento illecito di dati personali che non richiede l’identificazione dell’interessato; |
– mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente; |
– violazione dell’obbligo di nomina del DPO; |
– mancata applicazione di misure di sicurezza. |
Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.
In qualità di proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).
Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!)
Per meglio comprendere il nuovo regolamento europeo, dai un’occhiata alla sua pubblicazione sulla Gazzetta Ufficiale.
In questo nuovo contesto europeo, l’aspetto più importante per i siti web è il trattamento dei dati personali degli utenti.
Per “dati personali” si intende qualsiasi informazione riguardante una persona fisica, come ad esempio, il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.
Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.
Il GDPR riguarda sia i dati personali sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie si elaborano dati personali (identificabili), questi cookie sono soggetti al nuovo del GDPR europeo:
(Considerando 30 del GDPR) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.
In tutto il lunghissimo regolamento europeo (pagine n. 88), questo è l’unico riferimento ai cookie, il che potrebbe indurre il lettore poco attento a ritenere che nulla sia cambiato rispetto alla specifica legge sui cookie, la cosiddetta “Cookie Law“, in realtà queste poche righe hanno un impatto significativo sulla conformità dei cookie al GDPR europeo. In sintesi: quando attraverso i cookie è possibile identificare un individuo tramite il loro dispositivo, questi dati sono considerati dati personali. Quindi dati personali = GDPR.
Ti faccio un esempio parlando di uno dei servizi più utilizzati dalla maggior parte dei siti web: Google Analytics.
Se usi Google Analytics non anonimizzato (ovvero senza mascherare l’indirizzo IP) significa che tramite i cookie di Analytics presenti sul tuo sito web stai memorizzando l’IP dei tuoi visitatori.
In questo caso particolare stai elaborando dei dati personali dei tuoi utenti ed è qui che entra in gioco il GDPR e quindi il rispetto di tuti gli obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati personali.
Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificare un individuo, sono soggetti alla normativa europea sul trattamento dei dati personali. In pratica, ciò riguarda gran parte dei cookie (propri o di terze parti), compresi i cookie di analisi non anonimizzati, di pubblicità e di servizi come tool di sondaggio e di chat.
Tutti questi servizi non sono di tua proprietà ma sono esempi di terze parti presenti sul tuo sito web che rilasciano cookie sui browser dei tuoi visitatori mentre questi navigano all’interno del tuo sito web. In questi casi, ai sensi del nuovo GDPR europeo:
- sei responsabile della protezione dei dati che sono stati raccolti tramite questi cookie;
- sei tenuto a fornire agli interessati una chiara informazione sulle modalità con cui verranno utilizzati i loro dati.
Se nel tuo sito utilizzi cookie che contengono dati personali diretti o dati potenzialmente collegabili per identificare o rintracciare una persona (cookie di profilazione), devi rivedere il consenso sui cookie alla luce della nuova normativa europea (direttiva UE sulla e-privacy e GDPR).
Se si dispone, invece, di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non sei soggetto al GDPR ma si applicheranno le normative precedenti (Cookie Law, ovviamente, fino all’entrata in vigore della nuova normativa europea). Non tutti i cookie sono considerati dati personali. In altre parole: solo se i cookie possono essere utilizzati per identificare un individuo sono considerati dati personali nel GDPR.
La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato.
Il GDPR richiede la documentazione di ciascun consenso, specificando anche quali saranno i dati utente condivisi con i servizi di terze parti presenti nel tuo sito web, e in quale parte del mondo verranno inviati tali dati. Due sono gli aspetti principali su cui si focalizza il nuovo GDPR europeo.
- Aspetto relativo alla privacy: cosa viene registrato?
- Aspetto inerente alla trasparenza: chi ti sta monitorando? per quale scopo? dove andranno i dati e per quanto tempo resteranno in giro?
Direttiva UE sulla e-privacy + GDPR: il consenso deve essere preventivo, informato e documentato.