Dati personali — è un’espressione molto diffusa che sta invadendo le notizie e ci costringe a riflettere sulla nostra identità online e su come è utilizzata da altri siti web e aziende.
Le attività online e i proprietari di siti web spesso agiscono come custodi dei dati personali sensibili che hanno raccolto. Con l’implementazione recente del GDPR — normative ampie che regolano la sicurezza dei dati e la privacy nell’UE — potresti preoccuparti di come stai memorizzando e proteggendo le informazioni altrui, e se questi dati sono sicuri e protetti.
Non lo sei?
Le nuove leggi sui dati personali dell’UE pongono su di te la responsabilità di assicurarti di essere conforme, ma noi siamo qui per darti alcuni suggerimenti. Il Regolamento Generale sulla Protezione dei Dati si concentra sul dare ai cittadini più controllo sui loro dati sul web.
Oltre a consentire agli utenti di decidere cosa fare con le loro informazioni, il GDPR include anche nuove regole su come le organizzazioni dovrebbero gestire tali dati. Tutto ciò potrebbe richiedere un’azione da parte tua — anche se non sei basato nell’UE. Ecco cosa devi sapere e cosa puoi fare per rimanere aggiornato.
Correlato: DreamHost è conforme al GDPR
Cosa Devi Sapere sul GDPR
1. Il GDPR è arrivato.
Esatto: il GDPR è entrato in vigore il 25 maggio 2018. Questo significa che se non hai ancora aggiornato il tuo sito web per conformarti, devi iniziare a recuperare. Il resto di questo articolo ti fornirà alcuni consigli e risorse su cosa comporta. Non allarmarti! Dopo aver letto questo articolo, ti consigliamo di visitare il sito ufficiale del GDPR per aggiornarti.
2. Il GDPR si applica ai “dati personali” delle persone nell’UE.
Potrebbero esserci molte ragioni per cui un sito web raccoglie dati degli utenti: per facilitare un acquisto, distribuire una mailing list, indirizzare la pubblicità, o determinare il tipo di contenuto più popolare. Qualunque sia lo scopo, se i dati riguardano un individuo che visita il sito da uno stato membro dell’UE, si applica il GDPR.
I visitatori del sito non hanno nemmeno bisogno di essere cittadini dell’UE — se stanno visitando l’UE da, per esempio, Ghana o Brasile, e visitano il tuo sito, il tuo sito deve proteggere i loro diritti secondo il GDPR.
Anche se la normativa ha origine in Europa, in realtà è più ampia di quanto possa sembrare a prima vista. Se la tua attività ha qualsiasi collegamento con l’Europa, sia attraverso clienti o partner (anche solo uno!), dovresti essere a conoscenza di ciò che la legge richiede.
3. La definizione di dati personali è ampliata nel GDPR.
Quando pensiamo ai dati personali, ci vengono in mente cose come nome, indirizzo e numero di telefono. Ma secondo la definizione del GDPR, c’è molto di più. Oltre ai dettagli che normalmente sarebbero considerati informazioni personali identificabili, il GDPR afferma che qualsiasi informazione “specifica dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona” è sotto protezione.
Date queste ampie definizioni, è sicuro supporre che qualsiasi cosa che identifichi una persona possa rientrare nella definizione di dati personali. Se non sei sicuro che sia così, probabilmente lo è! Infatti, la definizione di informazioni personali identificabili del GDPR è “qualsiasi informazione relativa a una persona fisica identificata o identificabile.” Quindi, ecco fatto.
4. Qualsiasi entità che controlla ed elabora questi dati deve attenersi.
I documenti effettivi del GDPR fanno riferimento a chi raccoglie ed elabora dati personali. Non sei sicuro se sei un responsabile o un elaboratore? Continua a leggere.
Un responsabile del trattamento è un’entità — un’azienda, organizzazione o individuo — che prende decisioni su quali dati vengono raccolti e come vengono utilizzati. Un elaboratore di dati raccoglie, memorizza e trasferisce tali dati una volta raccolti. Quindi, se la tua organizzazione gestisce qualsiasi tipo di dato di persone nell’UE, o collabora con uno che lo fa, è tempo di adeguarsi.
5. Le nuove leggi richiedono il consenso per la raccolta di dati.
Potresti aver notato che ultimamente molti siti web e app hanno aggiornato le loro politiche sulla privacy e i termini di utilizzo. Questo è tutto a causa del GDPR. Se un’organizzazione si aspetta che qualcuno nell’UE visiti il suo sito web, l’azienda deve includere informazioni che chiedono il consenso per raccogliere i dati degli utenti.
Correlati: La tua lista di controllo per la ristrutturazione del sito web 2020
Le politiche aggiornate devono includere informazioni su quali dati vengono raccolti, perché sono raccolti, per quanto tempo saranno conservati, oltre a come verranno utilizzati e chi avrà accesso ai dati. Tutto ciò deve essere dichiarato chiaramente sul sito web in un punto ben visibile.
Il rispetto del GDPR richiede un consenso attivo — non metodi passivi, come una casella pre-selezionata. Il GDPR avrà poca tolleranza per le pratiche di UX oscure che ingannano le persone facendole accettare o iscriversi a cose o per un cattivo design del blog che nasconde informazioni pertinenti.
Questi avvisi sono necessari anche se viene raccolto solo il tipo più basilare di dati. USA Today ha adottato un approccio interessante alla conformità GDPR ospitando due istanze separate del loro sito web — una per gli utenti dell’UE e un’altra per tutti gli altri. Il sito orientato verso l’UE non raccoglie alcuna informazione eccetto l’indirizzo IP di un utente per poterlo indirizzare al sito corretto — ma USA Today deve comunque notificare agli utenti che l’azienda sta raccogliendo tali informazioni.
6. Ci sono requisiti più rigorosi per la sicurezza dei dati secondo il GDPR.
Rispetto alla precedente legislazione dell’UE sulla privacy dei dati personali (la Direttiva sulla Protezione dei Dati, implementata nel 1998), il GDPR impone responsabilità più prescrittive ai responsabili e ai processori dei dati per quanto riguarda la sicurezza.
Se stai gestendo le informazioni personali identificabili delle persone, devi fare la tua dovuta diligenza per garantire che le informazioni siano pienamente protette. Ci possono essere molteplici soluzioni a questo, a seconda dei dati raccolti, delle tecnologie disponibili e del tuo budget. Alcune misure di sicurezza suggerite dal GDPR includono la cifratura dei dati, garantendo che i sistemi e i servizi consentano la riservatezza, fornendo la capacità di ripristinare l’accesso ai dati personali, e mantenendo un processo per valutare la sicurezza del sistema.
Queste sono solo alcune delle strategie che le organizzazioni possono utilizzare per dimostrare di essere in conformità con il GDPR. Potresti averle già prese in considerazione, oppure potresti dover aggiungere alcuni componenti al tuo piano di sicurezza.
Con questi nuovi standard, potresti preoccuparti del costo per la tua azienda per conformarti. Tuttavia, la sicurezza non deve essere costosa. Diversi fornitori — inclusa DreamHost — includono certificati SSL/TLS gratuitamente per criptare il traffico web verso i siti dei clienti.
7. Le violazioni dei dati devono essere segnalate alle persone i cui dati sono stati compromessi.
Un altro nuovo aspetto delle leggi sulla privacy, come stabilito dal GDPR, è l’obbligo di notificare agli utenti quando si verifica una violazione dei dati che potrebbe aver interessato le loro informazioni personali. Il GDPR definisce una violazione dei dati personali come un evento che porta alla “distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o altrimenti trattati.” Questo protegge ben oltre il rischio di frode o furto d’identità (che deriverebbe dall’accesso ai registri finanziari) includendo l’accesso non autorizzato a qualsiasi cosa definita come informazione identificabile personalmente.
Se si verifica una violazione dei dati personali che “è probabile che comporti un alto rischio per i diritti e le libertà degli individui”, i responsabili del trattamento hanno l’obbligo di notificare rapidamente le persone interessate. Esistono poche eccezioni a questa regola, come quando i dati crittografati risultano incomprensibili agli utenti non autorizzati o quando il responsabile adotta misure dopo la violazione per prevenire il rischio. I particolari di questa regola possono essere soggetti a interpretazione e discussione, ma in caso di dubbio, il GDPR adotta un approccio forte e completo nella protezione dei dati degli utenti.
Se il responsabile del trattamento ha una sede principale nell’UE, deve anche notificare l’autorità di controllo nello stato membro dell’UE dove si trova l’organizzazione. Questa comunicazione deve essere effettuata entro 72 ore da quando la violazione è identificata.
Ospitare il sito web della tua organizzazione su un server sicuro e stabile aiuta a prevenire violazioni dei dati personali. I piani di DreamHost dispongono tutti di una sicurezza di prim’ordine attraverso certificati SSL/TLS Let’s Encrypt, che criptano in modo sicuro i dati che viaggiano attraverso un sito DreamHost.
Se stai scegliendo tra hosting condiviso e VPS puoi stare tranquillo che le informazioni personali identificabili sono protette. I nostri piani di hosting dedicato tengono i dati personali sotto un controllo ancora più stretto.
8. I responsabili del trattamento devono dare accesso agli utenti ai loro dati quando richiesto.
Il significato di questo aspetto del GDPR è semplice: se un utente desidera vedere i dati che hai raccolto su di lui, devi consegnarli entro un tempo ragionevole. Il percorso per raggiungere questo obiettivo potrebbe essere però un po’ più tortuoso, a seconda delle tue attuali circostanze.
Per soddisfare queste richieste, avrai bisogno di un sistema che permetta ai clienti di inviare richieste e di personale in grado di evaderle. Sarà inoltre necessaria una tecnologia che consenta l’esportazione dei dati personali. Nell’Articolo 15, il GDPR delinea vari altri diritti correlati alle informazioni, come chi ha accesso ai dati e per quanto tempo saranno conservati.
9. Gli utenti nell’UE hanno “il diritto all’oblio”.
Un’altra disposizione relativa all’accesso ai dati è ciò che il GDPR definisce “il diritto all’oblio.” Nell’Articolo 17, ai cittadini viene dato il diritto di richiedere che i loro dati vengano cancellati dal sistema del gestore. Possono farlo per svariati motivi, che includono la revoca del consenso al trattamento dei dati.
La legge sembra prevedere che possa esserci una ragione legittima per richiedere la cancellazione dei dati personali. Tuttavia, fornisce indicazioni su quando un’organizzazione potrebbe negare tale richiesta. Se il trattamento dei dati è ritenuto necessario per “l’esercizio del diritto di libertà di espressione e di informazione”, per adempiere obblighi legali o per stabilire rivendicazioni legali, o per servire l’interesse pubblico in determinati modi, un’organizzazione non è tenuta a conformarsi.
10. La Brexit non esclude il Regno Unito dal GDPR — per ora.
Il GDPR continua ad essere applicato alle aziende nel Regno Unito, nonostante l’imminente uscita del paese dall’UE. Una volta che il Brexit avverrà formalmente, il GDPR non regolerà più la sicurezza dei dati britannici. Tuttavia, la Legge sulla Protezione dei Dati del paese è quasi identica al GDPR — fino alla stessa data di inizio, il 25 maggio. Se sei conforme al GDPR, dovresti essere coperto anche dalla legge del Regno Unito.
11. Violare i termini del GDPR comporta una multa salata.
Non cercare di sfuggire o ignorare il GDPR — ti costerà caro. Le sanzioni più alte per la non conformità includono multe fino a €20 milioni (più di $23 milioni) o il 4 percento del fatturato globale, a seconda di quale sia maggiore. Questo livello di punizione sarebbe riservato ai peggiori trasgressori, ma non vale la pena scoprire come verranno gestiti i piccoli misfatti.
Oltre a prendere i tuoi soldi, le autorità di protezione dei dati dell’UE potrebbero anche togliere alcuni privilegi di raccolta dati alla tua azienda — o addirittura vietarti di raccogliere dati completamente. Fai semplicemente la cosa giusta!
12. L’accento delle nuove regole è sull’uso lecito e il commercio equo.
Il GDPR è destinato a unificare la normativa sui dati di tutti gli stati membri dell’UE. Con le nuove leggi, le regole sono più chiare e il campo di gioco è più equo nel modo in cui le aziende dell’UE gestiscono la raccolta e l’uso dei dati personali. Allo stesso tempo, ciò comporta un onere per le aziende di altri paesi per essere conformi.
Tuttavia, la spinta verso la sicurezza e la trasparenza potrebbe essere vantaggiosa per gli affari a lungo termine, e tutto ha a che fare con la percezione dei clienti. Negli ultimi anni, c’è stato un aumento delle violazioni della sicurezza dei dati, così come una maggiore pubblicità intorno alla raccolta e all’uso dei dati delle persone.
In quest’era di scambio di dati, il GDPR mira anche ad aumentare la fiducia dei cittadini nelle aziende fornendo loro maggiori protezioni. I regolamenti sono ampiamente considerati una vittoria per i diritti alla privacy individuale. Tuttavia, sebbene possa essere doloroso dover aggiornare gli avvisi sulla privacy — e possibilmente cambiare le politiche di utilizzo dei dati nella tua azienda — il GDPR ha il potenziale di dare ai clienti maggiore fiducia nel commercio. La filosofia, in poche parole, è che ciò che è buono per il cliente è buono per l’azienda.