Del GDPR Italiano, non ho ancora capito, se ne stiamo parlando tanto o proprio per niente. Certo è che quando si cerca qualcosa sui motori di ricerca si trovano solo due tipi di articoli.

  1. In evidenza, gli annunci pubblicitari di chi si propone di risolvere il problema.
  2. A seguire si trovano tutti i siti istituzionali che spiegano e parlano di cos’è il GDPR.

Insomma, c’è chi pone il problema e chi lo risolve.

Se si fa cenno della questione sui social, poi, nascono immediatamente lunghissime discussioni. Però, forse è solo una mia impressione, si tratti di fiammate che non portano a niente. Il problema si pone, la cosa interessa, non c’è dubbio; chi non si adeguerà si mette a rischio di sanzioni, anche molto salate.

Ma forse, sia i tecnici che i clienti, all’aggiunta di imposizioni legislative sul web rispondono con l’alienazione, con il cercare di dimenticare il problema.

GDPR acronimo

GDPR è l’acronimo di General Data Protection Regulation. Ossia, tradotto in italiano burocratico il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati.

GDPR Cosa devi fare

Dal 25 maggio 2018 in poi prima di chiedere un qualche dato identificativo, un nome e cognome, un indirizzo mail, o altro dato che possa ricondurre alla riconoscibilità di un individuo europeo, devi essere pronto ad adeguarti alla normativa del GDPR.

Per prima cosa devi fare due cose.

E quindi seguire ed eseguire la normativa indicata. Dalla lettura di questi due documenti derivano le modifiche da fare al proprio sito web e gli adeguamenti alla legge.

GDPR Italiano

Il GDPR italiano è un regolamento riguardante la privacy di tutti i cittadini che dobbiamo rispettare all’interno della comunità europea.

Si tratta di una legge che è stata approvata nel 2016 e il parlamento europeo ha dato ben due anni di tempo per adeguarsi.

Cosa è successo, invece, durante questo tempo? Che i due anni sono trascorsi bellamente senza che nessuno ogni tanto facesse un cenno o un richiamo. Almeno nella mia bolla di informazione non è arrivata traccia di questa novità. Come io così in tanti non hanno avuto il tempo di informarsi con calma; tranne ovviamente una minoranza di legali e di persone strattamente interessate.

In molti sono entrati nel panico. Anche se non è proprio necessario. Certo, bisogna adeguarsi, bisogna darsi da fare. Ma alla fine le soluzioni si trovano e la legge non è complicata. È più difficile a spiegarla che ad applicarla.

GDPR Italiano o all’italiana?

Ho parlato con un legale che mi ha risposto in maniera sincera.

Personalmente dopo il casino combinato anni fa con il DPS e la relativa normativa che fece impazzire molti legali per 6 mesi… alla fine molti se ne son fregati. Il tutto si risolse semplicemente in una bolla di sapone e nessuno venne mai controllato per vedere se gli studi si erano adeguati.

Sto gpdr sinceramente mi sembrava la stessa cosa. Tu ritieni che in provincia qualcuno può essere interessato a chiedere una consulenza? in che modo? Io sono disponibile.
Ma se tanto mi da tanto (e conosco i miei polli) qui nessuno farà nulla.

Dubito che qualcuno vorrà spendere soldi per il GPDR che nemmeno sapranno cosa è.

Non voglio pensare che abbia ragione e non so come stia messa la legislatura italiana. Sicuramente, navigando su siti di alcune micro aziende, non vedo neppure applicata la cookie law. Figurarsi se ci si preoccupa di altre incombenze digitali.

Fatto sta che stando sul web, può andar bene che non ci siano controlli, ma il giorno che ci saranno, vuoi per un puro caso, vuoi per un funzionario più zelante di altri, voi per una delazioni di un cliente scontento, qualcosa di poco piacevole arriverà di sicuro. E, come al solito, non sarà ammessa alcuna ignoranza.

GDPR italiano – Guida pratica

Intanto la guida pratica al GDPR ufficiale è scaricabile in pdf dal sito del garante della privacy. Più semplice di così non è possibile.

Wired , poi, riprendendo i punti principali della guida scrive.

Se avete una salumeria avrete ben poco da fare, se avete un blog è il caso di cambiare la privacy e la cookie policy, se avete un’azienda di software, è l’ora di darsi una mossa.

GDPR per punti secondo WIRED

Poi indica i punti principali

  1. Aumentare la consapevolezza
  2. Verificare le informazioni e i dati che si posseggono
  3. Rivedere le informative sulla privacy
  4. Occhio al consenso
  5. Garantire i diritti delle persone
  6. Saper gestire violazioni e fughe di dati
  7. Valutare se si ha bisogno del Dpo

GDPR Informativa

La cosa che, personalmente ritengo davvero rilevante è l’informativa. Cioè la scrittura da parte del titolare del come vengono trattati i dati che riceve. Quali sono questi dati, cosa ne fa il sito, perché li usa e come eventualmente può farli eliminare.

E se hai un sito web rendere pubblica questa informativa.

Motivazione (18)

Sui social ho avuto una discussione grottesca, dove un mio ex contatto (ex perché mi ha cancellato dai contatti) voleva aver ragione riguardo la motivazione 18 dell’introduzione del GDPR.

Cosa dice questa motivazione?

Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività.
Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico.

Questa motivazione riguarda lo scambio di informazioni che avremo con le persone che incontriamo, in ambito personale e domestico. Quindi gli indirizzari che abbiamo nelle agende (esistono ancora?) nel pc o i biglietti da visita che abbiamo nel cassetto, che ci siamo scambiati non rientrano all’interno del regolamento.

Dice anche che possiamo continuare a scambiarci dati sui social, e in tutte le attività online che rientrano sempre in attività personali e domestiche. Sempre che i social hanno l’obbligato ad avere titolari e responsabili del trattamento.

Il parere del legale nello specifico

Ho letto molti tentativi di interpretazione di questa motivazione. Per cui, approfittando dei numerosi webinar che si stanno svolgendo sul web ho chiesto il parere di un legale. Trovi la domanda e la risposta al minuto 30:28.

Il sito o il blog personale rientra nella GDPR?

Il GDPR riguarda la privacy dei cittadini europei. E non l’attività che svolgi sul sito o blog. Al momento 30 maggio 2018, in assenza della ricezione della legge da parte del parlamento italiano, se si raccolgono, collezionano e analizzano dati, online e offline, si è soggetti al GDPR. Cioè si è obbligati ad informare i lettori.

Per esempio, dalla semplice possibilità di commentare un post un blog raccoglie dati sensibili come nome, cognome e indirizzo mail. Dunque si è soggetti al GDPR.

Anche se questi dati non vengono usati per vendere, la persona che affida anche volontariamente questi dari, deve poter sapere come verranno usati questi dati che lui lascia sul sito. Anche fosse solo per rispondere alla domanda.

Questa attività non può essere considerata attività personale e domestica. Non è personale perché non intercorre tra persone fisiche ma attraverso piattaforme e/o server; non è domestica, perché avviene online. Il GDPR è stato scritto appositamente affinché le persone siano consapevoli dei dati che divulgano online e offline. Ed anche affinché chi detiene questi dati fosse il più trasparente possibile.

Ancora peggio se si analizzano dati con Google Analitycs o equivalenti. Non è possibile analizzare dati di cittadini europei senza che questi vengano informati.

Cosa posso fare per non rientrare nel GDPR?

Proprio in base alla Motivazione 18 è possibile continuare ad avere corrispondenze e scambi di dati tra persone fisiche senza ricadere negli obblighi del regolamento europeo.

In pratica significa eliminare dal proprio sito o blog i codici di tracciamento, chiudere i commenti ed eliminare qualsiasi banner pubblicitario. Poi mettere in bella evidenza la propria mail e chiedere ai lettori di scrivere a quella mail. Oppure scrivere su Messenger di Facebook, o altra chat.

A quel punto lo scambio di dati nell’epistolario diventa personale e domestico e ci si può scambiare tutto quello che si vuole senza avvertire niente e nessuno.

La soluzione c’è ed è questa, se non si vuole scrivere l’informativa alla privacy. Ovviamente nessuno vuole rinunciare ai dati. Nessuno vuole rinunciare a sapere se il proprio blog o sito è visitato o no. Tutti vogliamo entrare nella privacy delle persone e sapere cosa ne pensano di noi, senza chiederlo. E a quanto pare c’è anche chi neanche glielo vorrebbe far sapere!

GDPR Regolamento

La prima cosa da fare online è quella di scrivere una privacy policy chiara e correggere la cookie policy. Nell’informativa bisogna specificare di quali dati si viene in possesso e perché si vanno a prendere questi dati. È un atto di estrema trasparenza che le aziende o i blog devono fare nei confronti dei propri clienti/lettori.

Le grandi aziende saranno obbligati ad avere specifici responsabili della privacy interni (e indipendenti). Questi devono essere facilmente identificabili dai clienti per eventuali informazioni e/o lamentele. Inoltre il regolamento prescrive l’obbligo di una metodologia interna nella conservazione dei dati. Metodologia che deve essere chiara e inequivocabile e che, in caso di emergenza, faccia trovare immediatamente i dati, affinché possano essere corretti, restituiti o eliminati.

GDPR Normativa

La normativa, bisogna ammettere, è molto chiara. La legge è scritta bene e la guida italiana è stata ben progettata, per cui ti guida passo passo a ciò che maggiormente interessa. Vuole solo essere letta.

GDPR italiano cosa cambia

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti;
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
  • Fissate norme rigorose per i casi di violazione dei dati (data breach).

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.

Sanzioni che vanno dalla semplice ammenda amministrativa, quindi un invito perentorio a mettersi in regola, ad una multa pecuniaria di 20 milioni di euro. A seconda della violazione.

GDPR lato tecnico

Fin qui la parte teorica. Ma c’è un lato tecnico rilevante. Cioè il modo di dare la possibilità agli utenti di accettare o rifiutare il tracciamento.

Mentre per esempio con la cookie law, bastava inserire un banner ad inizio di pagina, ora questo banner deve essere interattivo.

Mi spiego. Fino al 25 maggio noi possiamo leggere i vari banner dei siti che visitiamo per la prima volta in cui veniamo informati sull’uso dei cookie sul sito. Generalmente se premiamo ok o continuiamo a leggere accettiamo di default. E il banner scompare.

Con la GDPR invece, le persone dovranno accettare consapevolmente e devono avere la possibilità di accettare o meno parte di questi cookie e lo devono poter fare in qualunque momento. Cosa che tecnicamente richiede strumenti e l’impostazioni di questi strumenti. E quindi tempo.

GDPR Consulenza

Chi vuole mettersi in regola con GDPR italiano deve innanzitutto rivolgersi ad un legale di fiducia che abbia dimestichezza con le leggi sulla privacy. Se poi ha pure dimestichezza con il web non sarebbe male.

Le grandi aziende, con oltre 250 dipendenti istituiranno uffici ad hoc o caricheranno di ulteriore lavoro i propri uffici legali. I più piccoli, potranno affidarsi anche ai propri webmaster o a chi già si occupa della propria strategia di comunicazione in quanto informati di quanto sta accadendo.

Così come io sto informando le persone a me vicine, anche attraverso questo post. L’invito è quello a mettersi in regola. Ma poi ciascuno, anche in virtù di questa legge, risponde delle proprie responsabilità.

Il mio consiglio è quello di leggersi la legge e adeguarsi. Si tratta di un paio di giorni di lavoro. Valutate il tempo che impieghereste voi, se ne vale la pena, altrimenti affidatevi a chi, come me, sta studiando il tema.

Ricordo semplicemente che io non sono un legale e che anche a rivolgersi ad un legale la responsabilità è personale. Alla fine deve essere il titolare a chiarire bene come sta la faccenda; la responsabilità è la sua.

GDPR investimento

Sul sito dell’agenda digitale il GDPR viene presentato come un investimento.

Perché il GDPR è un investimento necessario per il futuro di aziende e PA

Le imprese e le PA devono considerare l’attuazione del GDPR non come un costo ma come un investimento. Necessario a sostenere il proprio futuro nel mercato e istituzionale. Proteggere i dati significa anche assicurarne la qualità, presupposto per ogni sviluppo nell’internet delle cose e intelligenza artificiale. Approfondisci qui.

Ossia, se stai pensando di vendere o di far parte di una azienda che vuole uscire dal proprio orticello, l’adeguamento è obbligatorio.

Conclusioni

Insomma, il GDPR è una cosa importante. In molti si adegueranno, in tantissimi copieranno per forza di cosa, quello che faranno i più grossi. Così come è accaduto con la cookie law. Però mentre per la cookie law è bastato un semplice annuncio di cui nessuno pare abbia consapevolezza, adesso questa consapevolezza ci deve essere.

Perché la cookie law era superabile dalla mancata consapevolezza degli utenti. Adesso la responsabilità è passata ai siti web. Come a dire che dato che le persone non hanno avuto nessuna cura dei propri dati, chi possiede questi dati li deve curare per loro.

E tu?

E tu? Ti sei messo in regola? Ti metterai in regola? Oppure aspetterai che il destino faccia il suo corso?

Se vuoi arricchire questo articolo, trovi inesattezze, o cerchi una consulenza, puoi commentare (il commento non è immediatamente visibile, richiede la mia approvazione). Il tuo commento mi darà la possibilità di vedere il tuo nome, cognome, indirizzo mail (obbligatori per evitare lo spam) e la città da cui mi scrivi. Ossia dati personali che rientrano all’interno della legislazione GDPR Italiano. E la tua mail sarà utilizzata per risponderti. Di tutto questo ne devi essere consapevole e me lo devi pure scrivere. Altrimenti non puoi commentare.

Pin It on Pinterest

Share This