Focus 4: trattamento dati e responsabilità personali

Cosa succede se acquistiamo da un sito ecommerce un prodotto e il giorno dopo ci accorgiamo che la nostra carta di credito ha esaurito il plafond? Come vengono gestite le nostre preferenze e quindi i nostri dati quando accettiamo di navigare in un sito web o in un blog? E ancora: a chi affidiamo veramente le informazioni personali una volta compilato un form di contatto? A queste e altre domande cercheremo di rispondere in questo quarto e ultimo approfondimento dedicato alla sicurezza informatica nell’era digitale. Sì perché il trattamento dei dati va di pari passo con quelle che sono le responsabilità personali degli amministratori del sito, ovvero delle persone a cui un sito o un progetto digitale fa capo. La situazione è sempre stata frammentaria, almeno fino a qualche anno fa. Il cambiamento epocale è giunto nel 2018, con l’avvento del Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR. Partiamo proprio da questo punto e vediamo come impostare una policy di gestione dei dati a regola d’arte.

IL GDPR EUROPEO E L’AMBITO DI APPLICAZIONE EFFETTIVO

Impossibile non aver ancora mai sentito parlare del General Data Protection Regulation, ufficialmente regolamento (UE) n. 2016/679. Operativo ormai da due anni, il GDPR ha sancito l’inizio di una nuova era, innalzando il livello di protezione degli utenti per quanto concerne il trattamento dei dati personali da parte di siti web, blog, ecommerce e spazi virtuali in generale (forum, landing page, piattaforme di streaming video, motori di ricerca, ecc). Parlare in poche righe di questo sconfinato e in parte ambiguo strumento legislativo è una missione impossibile, ciò non toglie che sia nostro dovere fornire alcune linee guida utili per fare chiarezza su una questione così vasta e così complessa. Prima di esaminare i punti salienti del GDPR, cerchiamo però di capire qual è il suo ambito effettivo di applicazione.

Quali paesi sono interessati dal GDPR?

Ogni paese all’interno del quale operi un’organizzazione che si rivolge via web ai cittadini dell’Unione Europea trattando determinati dati personali è un paese nel quale il GDPR ha facoltà di applicazione. È questa la conclusione a cui si arriva sommando fra loro gli ambiti specificati dal GDRP. Da ciò si evince che a rispettare il regolamento devono essere praticamente tutte le aziende e i professionisti che hanno rapporti con l’Unione Europea, dalla Svizzera agli Stati Uniti d’America e tanti altri. Per maggiori informazioni in proposito consigliamo di leggere questa guida completa al GDPR.

Assodato che anche in Svizzera, oltre che nel resto d’Europa, il GDPR ha valore legale, vediamo punto per punto i principali aspetti da tenere presente per interpretare correttamente il regolamento e applicarlo di conseguenza.

  • ogni utente che visita il tuo sito deve confermare il suo consenso al trattamento dei dati. Il consenso deve essere libero, specifico, informato e revocabile in qualsiasi momento
  • in mancanza del consenso si presume che i dati NON vengano raccolti o che la visita al sito venga impedita
  • i consensi vanno archiviati e memorizzati, in modo che siano sempre reperibili da eventuali agenti e autorità statali
  • il registro dei consensi deve contenere una serie di informazioni essenziali, come ad esempio il momento in cui è stato prestato il consenso
  • il consenso non è la sola base giuridica possibile, ma una delle 6 previste dal GDPR. Tuttavia, in molte situazioni e per molti business il consenso rimane la strada più semplice da percorrere

LA DIRETTIVA ePRIVACY (COOKIE LAW)

Il GDPR non è l’unico riferimento da osservare. La Direttiva 2009/136/EC (anche nota come ePrivacy Directive) è il secondo strumento fondamentale per una corretta gestione dei dati personali. La normativa specifica le regole per l’uso dei cookie di terze parti all’interno del proprio spazio virtuale, o per meglio dire i requisiti che consentono l’attivazione dei cookie in occasione della prima visita di un nuovo utente. Il principio, anche qui, si basa sulla massima protezione,  offrendo all’utente piena facoltà di declinare l’accesso dei cookie ai propri dati con un semplice clic. Come vedremo nell’ultimo paragrafo, l’amministratore e quindi il responsabile del sito web deve fornire all’utente stesso un sistema, tipicamente un banner, per accettare o declinare l’accesso dei cookie.

Alcuni cookie sono esenti da questo tipo di consenso, ma è molto probabile che un sito vetrina di un business ospiti almeno un token digitale, o cookie appunto. La policy in materia di privacy deve essere riportata in un apposito documento, e questo vale anche per la policy in materia di cookie. Al momento la direttiva ePrivacy, o cookie law, è in discussione, perché le intenzioni dei legislatori mirano al passaggio a quello che sarà il Regolamento ePrivacy, operante di concerto con il GDPR. Con ogni probabilità, tuttavia, non ci saranno cambiamenti significativi nelle disposizioni, motivo per cui è bene fin da ora adeguarsi e arrivare preparati all’approvazione del regolamento, destinato all’ufficializzazione nel giro di qualche anno.

IL CALIFORNIA CONSUMER PRIVACY ACT (CCPA)

Dal 1° luglio 2020 è entrato in vigore il California Consumer Privacy Act, una delle forme di tutela più strutturate approvate al momento negli Stati Uniti, nonché linea guida di riferimento per ogni stato americano al di fuori della California. Come avviene per l’Europa con il GDPR, anche per gli USA il CCPA ha ripercussioni enormi, tali da superare i confini del proprio paese. Pur non essendo così restrittivo, il CCPA può avere un impatto concreto anche sulla tua attività con sede in Svizzera o in qualsiasi altro paese.  Le condizioni da soddisfare, oltre al fatto di rivolgersi ai cittadini californiani, includono:

  • avere un fatturato annuo lordo superiore a 25 milioni di dollari oppure
  • avere almeno il 50% del proprio fatturato deriva dalla vendita di dati personali

oppure

  • acquistare, ricevere, vendere o condividere ogni anno per finalità commerciali le informazioni personali di 50.000 o più consumatori.

Difficile? Non proprio. Poiché gli indirizzi IP rientrano tra i dati personali, è probabile che qualsiasi sito web che in un anno riceva dalla California 50.000+ visitatori unici rientri nell’ambito di applicazione del CCPA. Questo è solo un esempio di come ormai la globalizzazione, anche e soprattutto informatica, abbia creato connessioni e interdipendenze fra legislazioni nazionali.

COME ADEGUARSI ALLE DIRETTIVE IN MATERIA DI DATI

Alla luce di quanto scritto finora, l’adeguamento alle direttive nazionali, europee e internazionali non è certo un compito accessibile senza avvalersi di strumenti idonei. Non a caso, negli ultimi anni, sono state sviluppate intere piattaforme pensate per gestire gli obblighi del GDPR (e non solo) con un approccio veloce, pratico e in parte automatico. L’amministratore del sito web, vale a dire il titolare dell’organizzazione, il web master o l’agenzia che segue il progetto, non deve fare altro che iscriversi a queste piattaforme e compilare i dati richiesti dal sistema (titolare dei dati, url del sito, ecc). A questo punto il software e il relativo plugin mostreranno agli utenti il banner in cui vengono riassunte le modalità e condizioni di tracciamento dei dati e attivazione dei cookie.

Le stesse piattaforme, quantomeno le più famose, sono in grado di generare i documenti di privacy policy, cookie policy ed eventuali termini e condizioni, con un testo preformattato che è sufficiente compilare e personalizzare alla bisogna. Tra i nomi delle piattaforme di maggiore successo ricordiamo in ordine sparso l’italiana Iubenda, l’americana Quantcast o la danese Cookiebot, ognuna specializzata in una normativa o in un’insieme di normative. Le soluzioni fornite sono gratuite ma in questo caso prevedono funzionalità limitate. Noi di Innovando consigliamo pertanto di scegliere il piano che meglio corrisponde alle dimensioni e alle effettive modalità di raccolta dati dell’organizzazione, scongiurando così qualunque ipotesi di reato. Con i dati degli utenti non si scherza, tanto più perché le sanzioni, in caso di inadempimenti, possono essere molto, molto salate.

Speriamo di averti dato tutte le informazioni che ti occorrevano. Se così non fosse, ti invitiamo a contattarci senza impegno per una consulenza gratuita e personalizzata in materia di protezione dati.