L’arrivo del General Data Protection Regulation
L’arrivo del General Data Protection Regulation
Il GDPR che cos’è e cosa significa protezione dei dati personali per i siti internet e i siti di e-commerce
Il 25 maggio 2018 è una data epocale nella gestione dei dati personali all’interno della Comunità Europa. In questa data diventa effettivo il General Data Protection Regulation, meglio noto con l’acronimo di GDPR, una normativa che tutela le persone fisiche e la gestione dei dati personali di quest’ultime. Questa norma arriva dopo un lungo percorso legislativo, ed è la naturale conseguenza di un mondo in cui le nuove tecnologie mettono al centro proprio i dati sensibili dei vari utenti che le utilizzano. In queste righe proveremo a spiegare nel dettaglio il GDPR e a capirne l’applicazione nei siti web e nei portali di e-commerce.
Le finalità del General Data Protection Regulation
Per capire al meglio l’utilità di questa normativa varata dall’Unione Europea è fondamentale elencare quelle che sono le finalità del GDPR. Con questa nuova norma gli utenti devono anzitutto essere maggiormente consapevoli del destino dei propri dati personali e devono in primis fornire esplicito consenso. Gli stessi dati devono poi essere utilizzati con estrema parsimonia, ponendo regole rigide per permettere che gli stessi possano essere trattati fuori dalla Comunità Europa, e infine ci devono essere pene severe per coloro che violano quanto stabilito dal General Data Protection Regulation. Questi sono i punti su cui si basa questa nuova normativa in materia di privacy, ma a pochissimo dalla sua uscita il General Data Protection Regulation già presenta qualche falla.
La “ratio” degli stati membri e il pantano italiano
Il General Data Protection Regulation si è presentato come un sistema di regole che garantisce un giro di vite importante in nome della privacy. Al momento della legiferazione, tuttavia, l’UE ha lasciato agli stati membri la possibilità di poter “interpretare” le normative contenute in questo nuovo documento. Questo significa che la rigidità tanto promessa è venuta meno ancor prima di iniziare, e gli utenti francesi e spagnoli, ad esempio, potrebbero vedere i propri dati personali trattati in maniera diversi rispetto a quelli portoghesi o tedeschi. Il caso italiano è ancor più singolare: ad oggi il nostro Governo non ha ancora emanato il decreto legislativo relativo al General Data Protection Regoulation, quindi nel nostro paese vale ancora il regolamento europeo. La cosa di per sé potrebbe avere anche aspetti positivi, se non fosse che in assenza di decreto legislativo non è possibile perseguire e punire chi viola quanto previsto da questo nuovo documento in materia di privacy.
Cosa si intende per “dati personali”?
Il termine “dati personali” viene usato (e abusato) in diversi ambiti della vita di tutti i giorni, ma si tratta di un concetto fuorviante per tutti i non addetti ai lavori. Al tempo stesso, dato che parliamo di tutela dei dati sensibili e di norme contro la violazione della privacy, è fondamentale avere un’idea chiara di “dai personali”, Tutti quelle informazioni permettono di identificare un soggetto in maniera univoca dagli altri sono i cosiddetti “dati pesonali”: rientrano quindi in questa categoria nome, cognome, codice fiscale, data di nascita, indirizzo, numero di telefono e molto altro. Quando però parliamo di privacy sui portali web ci sono altri elementi che identificano in maniera univoca un soggetto, anche se sono ascrivibili più che altro ai device che lo stesso utilizza: sono da considerarsi dati personali anche gli indirizzi IP, la mail, i cookie e così via.
Alla luce di questa definizione, una domanda sorge spontanea: ma quand’è che gli utenti decidono di affidare i propri dati sensibili ad un sito web? Nella stragrande maggioranza dei casi questa operazione avviene durante la fase registrazione al portale, sia essa finalizzata alla creazione di un’area riservata o anche solo per l’iscrizione ad una newsletter. Nello specifico, poi, molti siti di e-commerce hanno accesso anche ad altre tipologie di dati che possono essere definiti “sensibili”: in primo luogo quelli di natura finanziaria (codici bancari, IBAN e domiciliazione fiscale), che sono evidentemente fondamentali per poter effettuare le transazioni online. Meno considerati ma comunque ascrivibili alla categoria dei dati personali sono anche le abitudini di consumo: che social network usi? Qual è la tua bevanda preferita? Qual è l’ultimo oggetto che hai acquistato online? Queste domande apparentemente banali tendono a creare un profilo consumatore, affinché all’utente siano proposti solo beni e servizi che possano realmente solleticare la sua curiosità. Anche l’utilizzo di questi dati per fini commerciali deve essere chiaramente esplicitato all’utente, sempre secondo quanto prevede il General Data Protection Regulation.
Cosa fare con il nuovo General Data Protection Regoulation
Approfondire gli aspetti teorici che ci sono dietro la protezione dei dati personali è fondamentale, ma tutti coloro che gestiscono portali web e siti di e-commerce vogliono sostanzialmente capire quelle che sono le nuove operazioni da fare per quel che riguarda questa nuova normativa sulla privacy.
Moduli di contatto abbinati a Privacy Policy
Come abbiamo scritto anche in precedenza, gli utenti devono essere consapevole che i propri dati personali possono essere raccolti e trattati per determinati fini. Ed è quindi fondamentale che l’utente, nel fare registrazioni sui siti e-commerce o visitando un portale internet eserciti in maniera esplicita il suo consenso. È per questo motivo che il General Data Protection Regoulation obbliga tutti i siti internet ad avere una Privacy Policy, ovvero una documentazione in cui agli utenti sia spiegato quali tipi di dati vengono raccolti, chi è il soggetto che li raccoglie e perché fa questo, ma soprattutto deve esplicitare se questi vengono ceduti a terzi e per quanto tempo sono conservati nel database del portale. Dato che un documento del genere è il più delle volte particolarmente lungo e noioso, e gli utenti sul web (a dispetto della propria sicurezza personale), tendono a evitare siti internet in cui ci sono lunghi testi da leggere, è stato stabilito che le Privacy Policy dovevano essere abbinate a quei form in cui l’utente va materialmente a inserire i propri dati personali. È per questo motivo che quando, ad esempio, ci si iscrive ad una newsletter di un sito web, oltre a mettere proprio nome, cognome e indirizzo mail, l’utente deve “fleggare” la casella relativa all’autorizzazione del trattamento dei dati personali.
Il data logging e Google Analytics
Questa nuova normativa, tra le altre cose, oltre a regolamentare la protezione dei dati personali obbliga anche i gestori dei siti di e-commerce e di portali web a registrare e conservare i riferimenti sensibili degli utenti. Non solo, perfino la data in cui l’utente ha acconsentito al trattamento dei suoi dati personali deve essere facilmente riscontrabile. Da qui nasce l’esigenza dei siti internet di avere un vero e proprio database a cui attingere in qualsiasi momento, al quale deve essere abbinato uno strumento di data logging. Quest’ultimo è un software che registra l’indirizzo IP del device con cui l’utente accede al portale, e in questo modo è possibile verificare in qualsivoglia momento provenienza, data e ora del consenso prestato.
Devono ricorrere agli strumenti di data logging, ad esempio, tutti quei portali in cui gli utenti hanno una propria “area riservata”, dove gli stessi non solo possono verificare in qualsiasi momento i propri dati sensibili, ma all’occorrenza possono anche modificarli e/o cancellarli. Uno degli strumenti di data logging più famosi al mondo è Google Analytics, il software dell’omonima azienda di Mountain View che gli utenti utilizzano per verificare le prestazioni del proprio sito web. Google Analytics registra per ogni utente indirizzo IP, pagine visitate, tempi di permanenza e molti altri dati. I gestori dei siti web che utilizzano questo software, sempre nel rispetto di quanto previsto dal General Data Protection Regulation, devono esplicitare all’interno del proprio portale l’utilizzo di programmi come Google Analytics.
Arriva il Data Protection Officer
Le nuove norme per la sicurezza dei dati personali prevedono una specifica figura professionale che si deve assumere la responsabilità della gestione e della protezione di quanto gli utenti affidano ai portali web. Questa figura è conosciuta con i nomi di Responsabile della Protezione Dati o Data Protection Officer (abbreviato in DPO). Il Responsabile della Protezione Dati deve essere anzitutto un profondo conoscitore non solo del General Data Protection Regulation, ma anche di tutte altre normative vigenti in materia di privacy, che siano passate, presenti o future. Deve essere poi una figura assolutamente indipendente rispetto alla proprietà del sito web, che non riceve ordini da nessuno e che deve interloquire direttamente con i vertici dell’organigramma dell’azienda. Al tempo stesso, infine, deve poter attingere a risorse finanziarie e umane che gli permettono di svolgere al meglio quanto stabilito dalle nuove normative per la sicurezza dei dati personali. In realtà, anche dietro la figura del DPO vi sono diverse falle e aspetti da chiarire. Una su tutte riguarda proprio le competenze del Data Protection Officer: questa figura in realtà non dovrebbe solo avere le giuste competenze circa le normative sulla privacy, ma dovrebbe anche essere competente delle tematiche trattate dal portale web, soprattutto se hanno una certa importanza (si pensi ai portali che trattano temi di natura medico-scientifica). Va da se che trovare in un unica figura tutte queste competenze è il più delle volte difficile, se non impossibile.
Cosa si rischia a violare il General Data Protection Regulation?
Come abbiamo anche accennato in precedenza, il quadro sanzionatorio relativo a questa nuova normativa in materia di privacy è ancora lacunoso, soprattutto qui in Italia dove l’assenza di un apposito decreto legislativo rende i trasgressori, almeno sulla carta, non perseguibili. Tuttavia, volendo fare un brevissimo riassunto di quelle che sono le sanzioni in cui incorrono coloro che non mettono al primo posto la sicurezza dei dati personali degli utenti, possiamo dividerle in due macro aree:
- violazioni gravi e meno gravi. In realtà, in entrambi i casi la pena pecuniaria è tutt’altro che lieve: per le sanzioni di minor gravità si rischia un multa fino a 10 milioni di euro o un’ammenda pari al 2% del fatturato che l’azienda aveva maturato nell’anno precedente.
- Le violazioni gravi possono far salire queste sanzioni a 20 milioni di euro o al 4% del fatturato. Tra i “reati” di minor gravità ci sono la mancata nomina di un Responsabile di Protezione Dati, la violazione delle condizioni relative al consenso dei minori e la mancata applicazione delle misure di sicurezza.
- Chi invece, ad esempio, traffica illecitamente dati sensibili con un Paese terzo incorre in una sanzione grave. In casi particolarmente gravi il General Data Protection Regulation, infine, può anche prevedere sanzioni di natura penale.
Potresti essere interessato anche a:
Un innovativo aiuto finanziario per le giovani leve del motorsport
Da Talents’ Dream due metodi di raccolta fondi: un equity crowdfunding con Opstart e un sistema reward per investitori non professionisti
Un ufficio per le infrastrutture sostenibili nei Paesi in via di sviluppo
Trasparenza finanziaria, sostenibilità ambientale e sociale, resilienza climatica e inclusione: a Parigi la sede operativa del Blue Dot Network
L’innovativa soluzione svizzera per la salute mentale dei bambini
Così la Commissione Federale per l’Infanzia e la Gioventù chiede un intervento forte e duraturo in favore dei giovani con problemi psichici
A biogas il primo impianto Volvo a impatto climatico zero in Cina
La transizione dal gas naturale nell’impianto della Casa svedese nello Zhejiang comporta una riduzione di oltre 7.000 tonnellate di CO2 l'anno
//