La legislazione europea relativa al trattamento dei dati personali si arricchisce di un tassello molto importante con l'entrata in vigore del GDPR, il General Data Protection Regulation, prevista per il 25 maggio del 2018. Lo scopo di questo regolamento, valido per tutti i Paesi che aderiscono alla Ue, è quello di mettere a disposizione dei cittadini europei nuove modalità di tutela a proposito dei dati personali, il cui trattamento d'ora in avanti sarà più omogeneo a livello continentale. A cambiare non sono i principi di tutela della privacy, i quali rimangono gli stessi previsti fino a questo momento, ma solo le assicurazioni che vengono fornite ai proprietari dei dati personali, che potranno essere certi del fatto che le informazioni che li riguardano verranno trattate in maniera corretta e appropriata. Sempre che le prescrizioni contenute nel GDPR vengano rispettate, ovviamente.
Indice
Applicazione del nuovo regolamento
Sul sito Internet del Garante della Privacy è possibile rintracciare una guida relativa all'applicazione del Regolamento europeo in materia di protezione dei dati personali, di cui ci si può servire per usufruire di un quadro completo degli obblighi che dovranno essere rispettati dalle imprese. Ogni soggetto sarà tenuto a identificare un responsabile del trattamento dei dati personali, e cioè un data protection officer che sarà chiamato a rispondere alle esigenze di rendicontazione e di gestione.
Tutela dei dati personali
La novità normativa, in ogni caso, non riguarda solo i professionisti e le imprese, ma anche tutti coloro che gestiscono un sito web: nel GDPR, infatti, si fa riferimento ai dati personali, e tutti noi sappiamo che quando usiamo Internet forniamo una mole molto consistente di informazioni, anche se a volte non ce ne rendiamo conto. Non si tratta solo dei classici dati anagrafici o delle password con cui accediamo a forum e servizi vari, ma anche, per esempio, delle coordinate bancarie attraverso le quali inviamo o riceviamo dei pagamenti o semplicemente l'indirizzo IP che deriva dal computer che usiamo per navigare. Non è difficile intuire che tutti questi dati, aggregati e combinati tra loro, possono consentire una semplice identificazione degli utenti.
Nel regolamento europeo che entrerà in vigore il prossimo 25 maggio rientrano anche i cookie, se utilizzati per il trattamento dei dati personali. Essi, in effetti, vengono annoverati nei servizi di terze parti impegnate nella raccolta di informazioni relative agli utenti. D'ora in poi, chiunque visiterà un sito web dovrà essere messo nella condizione di sapere in che modo i dati che lo riguardano saranno trattati e conservati. Per il GDPR, tutti i servizi che memorizzano i dati di cittadini europei devono essere indicati in maniera chiara ed esplicita nelle policy: in questo modo gli utenti possono sapere anche che cosa devono fare nel caso in cui abbiano intenzione di cancellare o di modificare le informazioni fornite.
Benché nella maggior parte dei casi non ne siamo consapevoli, tutte le volte che navighiamo su un sito Internet - che si tratti di un quotidiano online, di un blog di ricette, di un forum o di un e-commerce - i nostri dati personali vengono memorizzati: ecco perché si è deciso di intervenire attraverso il GDPR, con una serie di obblighi relativi alla questione della sicurezza.
Come adeguare il sito web al GDPR
Il responsabile del trattamento dei dati deve poter garantire la sicurezza dei dati che si trova a gestire, ma anche assicurare che le eventuali comunicazioni da trasmettere ai soggetti interessati siano corrette e tempestive. Il titolare dei dati non può fare a meno di monitorare in modo costante il trattamento degli stessi, anche in previsione di una eventuale contestazione relativa a un ipotetico illecito. Valutando con attenzione i cambiamenti che i dati memorizzati hanno subìto nel corso del tempo è possibile rendersi conto di quanto siano realmente gravi le violazioni riscontrate. Ciò permette non solo di quantificare gli eventuali danni, ma anche di stimare le misure che devono essere intraprese. Le violazioni ai danni dei possessori dei dati personali vanno segnalate non oltre le 72 ore successive al momento in cui vengono scoperte.
Un piano di regolamento
Per redigere un piano di regolamento in linea con le prescrizioni contenute nel GDPR, è essenziale identificare le criticità che devono essere risolte: solo in questo modo è possibile stabilire quali misure devono essere adottate per ciò che concerne la rendicontazione sul trattamento dei dati. La valutazione iniziale consente di verificare quali informazioni devono essere trattate nell'ambito della policy, una volta che si è appurato di possedere dati riguardanti i cittadini europei. Tali dati vanno archiviati in modo tale che in caso di necessità possano essere rintracciati. I proprietari dei dati devono fornire il proprio consenso affinché le informazioni possano essere trattate; in presenza di più servizi non è sufficiente un consenso unico e cumulativo.
I dati raccolti sui siti web
Ma quali sono i dati che vengono raccolti e utilizzati sui siti web a cui si fa riferimento nella normativa europea? Per esempio le credenziali di accesso, ma anche i dati sensibili relativi agli utenti e i plugin che tengono traccia dei dati degli utenti. Inoltre, rientrano in questa categoria gli strumenti di tracciamento e di Analytics a cui si ricorre per scopi di web marketing, così come tutti i dati che vengono inseriti nei moduli di contatto o nei forum dei commenti. Per tutti questi dati deve essere richiesto e ottenuto un esplicito consenso.