Cos'è il GDPR
E’ la nuova normativa europea sulla protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio con lo scopo di tutelare i cittadini che prestano il loro consenso al trattamento dei dati personali e di regolamentare la gestione della privacy nei diversi stati dell'unione.
Il consenso fornito dagli utenti del tuo sito web deve essere informato ed esplicito; i visitatori del tuo sito web devono quindi confermare di voler prestare il proprio consenso al trattamento dei loro dati personali. Inoltre il sito web deve mostrare una Privacy Policy che indichi quali dati verranno raccolti e memorizzati, da chi e per quanto tempo. Deve anche essere data la posibilità ai visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali.
I dati personali sono qualsiasi informazione riguardante una persona fisica, come il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP. L'elaborazione dei dati è qualsiasi operazione avvenuta sui dati, quindi anche la memorizzazione dell’IP tramite i cookie: quando attraverso i cookie si elaborano dati personali identificabili, questi cookie sono soggetti al nuovo del GDPR europeo. Ad esempio se viene usato Google Analytics senza mascherare l’indirizzo IP, tramite i cookie di Analytics presenti sul sito web, viene memorizzato l’IP dei visitatori, cioè vengono elaborati dei dati personali degli utenti ed entra il rispetto di tuti gli obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati personali relativamente ai servizi di terze parti che rilasciano cookie sui browser dei visitatori mentre questi navigano all’interno del tuo sito web.
Il tuo sito è conforme alla nuova normativa Europea?
La verifica riguarda una molteplicità di aspetti, variabili nelle diverse tipologie di siti web.
In sintesi è necessario:
- Realizzare una verifica di tutti i dati personali collezionati
- Aggiornare l’informativa sulla privacy
- Rendere esplicita la scelta di utulizzo dei cookie o meno
- Creare processi opt-in tali in fase di registrazione al sito o iscrizione a newsletter
- Rendere obbligatorio il consenso alla gestione dei dati personali nella compilazione di moduli e/o iscrizioni
- Tenere traccia in un file di log dei consensi acquisiti
- Rendere immediata la possibilità di gestione e o cancellazione dei dati personali
- Garantire un adeguato livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
- Controllare che tutti i moduli non siano “flaggati” di default: l’utente deve confermare l’invio delle informazioni
- Abilitare una procedura che garantisca la portabilità dei dati
- Registrare e monitorare i log di sistema degli amministratori e dei webmaster
E' necessario adeguarsi?
La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo se superiore.
