GDPR: scopri le nuove regole di protezione dei dati personali per E-Commerce

Dal 25 Maggio 2018 diventerà effettivo il nuovo Regolamento Europeo Ue 2016/679 in materia di protezione dei dati personali (GDPR - General Data Protection Regulation).

GDPR-ecommerce
5/5 (3)

Dal 25 Maggio 2018 diventerà effettivo il nuovo Regolamento Europeo Ue 2016/679 in materia di protezione dei dati personali (GDPR – General Data Protection Regulation).

Questa novità, come descritto dal Garante delle Privacy,  “punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini dei paesi dell’Unione Europea”.

Cos’è il GDPR?

GDRP è l’acronimo di General Data Protection Regulation e rappresenta il Regolamento Europeo in materia di protezione dei dati personali. Questa nuova normativa toccherà tutta la gestione dei dati, operata dalle aziende e non solo quelle dell’ Unione Europea.

Il GDPR infatti riguarderà sia le aziende con sede Europea, che con clienti Europei.

Cosa prevede il GDPR?

In sostanza si ampliano la definizione di “dati personali“, facendo rientrare in questa categoria moltissime informazioni.

Questo regolamento:

  • introduce regole chiare in materia di informativa e consenso
  • definisce i limiti al trattamento autorizzato dei dati personali
  • pone le basi per l’esercizio del nuovi diritti
  • stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’ UE e per casi di violazione dei dati personali

Quindi in sostanza, il Regolamento da la possibilità agli interessati di accedere, modificare, cancellare e limitare il trattamento dei propri dati. Inoltre, l’ Azienda che si occupa della raccolta dei dati, deve proteggerli, anche nel caso si affidi a terzi per alcuni servizi, e deve assicurarsi che gli interessati possano effettivamente esercitare tutti i diritti di cui ora possono godere.

Cosa si intende per “dati personali”

Come anticipato, con il GDPR, la definizione di “dati personali” si amplia e va a toccare tutti i dati e le informazioni che sono strettamente legate ad un individuo che utilizza i nostri servizi. Quindi, non solo Nome, Cognome, Email etc…, ma anche gli stessi IP che vengono utilizzati.

Il consenso al trattamento dei dati

Esattamente come ora, il consenso dell’interessato al trattamento dei dati, deve essere:

  • preventivo
  • inequivocabile
  • libero
  • esplicito
  • revocabile in qualsiasi momento

Con il nuovo regolamento, viene abolita qualsiasi forma di consenso tacito e soprattutto sarà obbligatorio non fornire nelle checkbox del consenso, scelte pre-selezionate.

Il consenso, può essere revocato in qualsiasi momento, anche se i trattamenti dei dati effettuati fino al momento della revoca del consenso, rimarranno comunque legittimi.

I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.

Chi sono i nuovi attori del GDPR?

Il nuovo Regolamento Ue 2016/679, in vigore dal 25 Maggio 2018 è caratterizzato da alcune figure chiave. Vediamo quali…

Innanzitutto abbiamo l‘interessato al trattamento dei dati, ossia, colui i cui dati vengono trattati per finalità specifiche. Questa figura può quindi esercitare una serie di diritti legati alla tutela dei propri dati.

Quello che era prima il Titolare del trattamento ora viene definito, con il nuovo regolamento Data Controller o Responsabile del trattamento. Questa figura è generalmente il titolare dell’ Azienda che tratta i dati, ed è colui che ha il potere decisionale in merito alle tecniche da adottare per garantire la conformità al Regolamento.

Un’ altra figura coinvolta è il Responsabile esterno del Trattamento, che con il nuovo Regolamento Ue, diventa Joint Controller o Co-responsabile del trattamento. Questa figura è il soggetto esterno a cui l’ Azienda da il trattamento dei dati, potrebbe per esempio essere un fornitore di servizi in Cloud.

Per quanto riguarda invece il Responsabile ed incaricato del trattamento, diventa Data Processor o Incaricato del Trattamento (o Data Handler). Questa figura sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo dopo istruzione del responsabile.

Viene poi introdotta una figura molto particolare il Data Protection Officer (DPO). E’ nella creazione di questa nuova figura che c’è una delle sostanziali differenti con la vecchia normativa sulla privacy.

DPO – Data Protection Officer: chi è e quando deve essere nominato?

Con la nuova normativa che sarà in vigore dal 25 Maggio 2018, è stata introdotta la figura del DPO – Data Protection Officer.

Questa figura si occupa di verificare il rischio legato al trattamento dei dati.

Il DPO deve essere nominato obbligatoriamente, quando il trattamento dei dati è effettuato:

  • da una pubblica amministrazione  o da un suo organismo
  • da azienda con più di 250 dipendenti
  • da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Requisiti del DPO:

  • Non è una figura certificata
  • E’ obbligatorio solo nei casi sopra indicati
  • La carica del DPO ha una durata minima di 2 anni, rinnovabili alla scadenza
  • Il DPO deve avere esperienza nell’ area “legge sulla privacy”
  • Non è un ruolo esclusivo (nel senso che può ricoprire oltre al ruolo di DPO, anche altri)
  • Deve essere indipendente e non avere conflitti di interesse
  • Deve essere in stretto contatto con il BOARD aziendale

Valutazione del rischio e misure di accountability

Con il nuovo regolamento, si vuole porre attenzione sulla “responsabilizzazione” (ossia “Accountability”) dei titolari e dei responsabili.

In sostanza si vuole abituare all’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

La prima cosa importante è sintetizzata nell’espressione “data protection by default and by design” e quindi la necessità di fare un trattamento dei dati consapevole, che preveda sin dall’inizio le garanzie indispensabili che soddisfino il nuovo Regolamento. Tutto quindi quindi deve essere previsto, prima del trattamento dei dati vero e proprio e pertanto viene prevista un’analisi preventiva e un impegno applicativo da parte dei titolari, che devono adoperarsi in una serie di attività specifiche, ma soprattutto dimostrabili.

La valutazione del rischio sul trattamento dei dati (DPA – Data Protection Impact Assessement), deve essere fatta dal Titolare.

Tale valutazione definisce se il rischio al trattamento dei dati è alto, medio o basso. Fatta la valutazione, il titolare deve consultare il Garante della Privacy che da poi delle direttive a riguado.

Registro dei trattamenti

Tutti i titolari e i responsabili del trattamento, tranne coloro che hanno meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio) devono tenere un registro dei trattamenti.

Tale registro deve riportare:

  • Quali dati sono stati trattati
  • La finalità del trattamento dei dati
  • Chi accede ai dati
  • Possibilità di trasferimento dei dati all’estero
  • Termini di cancellazione
  • Misure di sicurezza adottate

Con questo registro, il Titolare può attestare che ha effettivamente trattato i dati in maniera corretta

Notifica di violazione dei dati personali (Data Breach)

Quando si verifica la violazione di alcuni dati personali, il Titolare dovraà comunicare all’ Autorità nazionale di protezione dei dati, la violazione.

La violazione viene comunicata anche all’interessato se rappresenta una minaccia per i diritti e le libertà delle persone. In questo caso, il Titolare dovrà anche dare indicazioni s come intende limitare le possibili conseguenze negative.

Si può invece non informare l’interessato se:

  • la violazione non comporta un rischio elevato all’interessato
  • il titolare può dimostrare di aver adottato misure di sicurezza a tutela dei dati violati
  • l’informazione degli interessati può comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato)

Il diritto all’oblio

Viene introdotto il cosiddetto “diritto all’oblio“, con il quale gli interessati possono ottenere la cancellazione dei propri dati personali, anche online, da parre del titolare del trattamento, qualora ricorrano alcune caratteristiche previste dal trattamento:

  • se i dati sono trattati solo sulla base del consenso
  • se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti
  • se i dati sono trattati illecitamente
  • se l’interessato si oppone legittimamente al loro trattamento

A questo diritto si associa anche l’obbligo per il titolare del trattamento che ha pubblicato i dati, di comunicare la richiesta di cancellazione a chiunque li stia trattando.

La portabilità dei dati

L’interessato ha diritto di portabilità dei dati e può richiedere al titolare la consegna dei dati su un supporto digitale ed eventualmente consegnarla ad un altro titolare.

Ad esempio, si può passare ad un nuovo gestore di telefonia, chiedendo al vecchio di dare tutte le informazioni al nuovo.

Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

Cosa fare nel proprio E-Commerce con il GDPR?

Il lavoro da fare sul proprio E-Commerce per adeguarlo correttamente, non è sempre semplicissimo, ma vediamo alcuni aspetti su cui possiamo porre attenzione.

In particolare occorre verificare che:

  • la correttezza della Privacy Policy e la corrispondenza con i requisiti introdotti dal GDPR
  • le estensioni o applicazioni di terze parti, eventualmente presenti sul sito, siano conformi al GDPR
  • ci sia bisogno o meno di nominare un “Responsabile” della protezione dei dati
  • se occorre fare una valutazione del Rischio in merito al trattamento dei dati
  • che sia presente la giusta formula per la richiesta di consenso dei dati dei  clienti
  • che sia possibile garantire il pieno godimento dei diritti in questa materia, da parte dei clienti
  • creare anche dei pop-up per il consenso ai cookies, con una richiesta esplicita di consenso (ad esempio: mettere una check box, non pre-selezionata, con l’indicazione di spuntarla per accettare i cookies)

Sanzioni

Il GDPR introduce anche un nuovo sistema sanzionatorio, più rigido del precedente. Attualmente infatti le sanzioni relative possono ammontare a poche centinaia di euro. Con il nuovo Regolamento Ue, le sanzioni invece possono essere molto più alte (si parla del 4% del fatturato o addirittura 20 milioni di euro).

Queste sanzioni poi, non saranno rilasciate solo per danni ai dati, ma anche a chi per esempio, pur essendo in obbligo, non tiene un Registro del Trattamento dei dati.

Quindi in sostanza cosa cambia con il GDPR?

Con il nuovo Regolamento Ue, abbiamo visto, sono state introdotte diverse novità.

Vediamo un piccolo riepilogo:

  • Vengono introdotte regole più chiare sulle informative e sul consenso al trattamento dati
  • Sono stati introdotti dei limiti più rigidi per il trattamento automatizzato dei dati personali
  • L’interessato può esercitare nuovi diritti in materia di trattamento dei dati
  • Sono stati stabiliti dei criteri particolari per il trasferimento dei dai dati al di fuori dell’ Ue
  • Sono state fissate delle norma specifiche per i casi di violazione dei dati (data breach)
  • Sanzioni più rigide

Vuoi saperne di più?

Per saperne di più, guarda anche il video:

Risorse utili:

Per approfondire il discorso ecco alcune utili risorse:

Ti è piaciuto questo articolo? Votalo!

Magento è un marchio registrato di Magento Inc. MagenTiamo è un progetto indipendente non affiliato direttamente dal progetto Magento o chi ne detiene il trademark.