Il Nuovo Regolamento europeo GDPR su trattamento dati personali.

Il GDPR -General Data Protection Regulation- 2018 regolamento sulla protezione dei dati (Privacy) , sebbene rappresenti una seccatura un po’ per tutti, va evidenziato che è stato ideato per porre freno all’uso indiscriminato della raccolta di dati personali da parte delle grandi imprese,

Privacy
Le novità WordPress Ver. 4.9.6
e non per creare problemi ai piccoli. Non siamo qui per constatare le finalità propositive della normativa, ma come ausilio per le categorie più indifese, che corrono il rischio di vedere chiuso o pesantemente penalizzato il proprio sito.

I titolari di siti web con finalità lucrative e margini consistenti, non hanno particolari problemi, perché per adeguarsi alle nuove normative possono facilmente rivolgersi a ditte specializzate, che offrono servizi a prezzi per loro sostenibili*(1).

Blogger e titolari dei siti web senza fine di lucro, o con fini di lucro in condizioni economiche precarie, sono assaliti da paura e sconforto.

L’allarmismo è tanto, e molti stanno pensando di chiudere i battenti.

Il regolamento generale sulla protezione dei dati GDPR dell’UE entra in vigore il 25 maggio 2018 .

Il nuovo regolamento introduce la responsabilità da parte dei titolari del trattamento della responsabile gestione dei dati personali, detta accountability. Il trattamento dei dati personali elettronici avrà regole più chiare per consenso e informativa. In caso di violazione delle regole di trattamento dei dati (data breach) ci sono pene più chiare e severe.

Trattamento dei dati personali.

Codice per la protezione dei dati personali è tutelato dal Regolamento europeo n. 2016/679 sulla privacy GDPR e dal Decreto legislativo 30 giugno 2003, n.196, è entrato in vigore il 1 gennaio 2004.

I dati identificativi sono quelle informazione di carattere di identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale, la fotografia, che individuano una certa persona fisica.

I dati personali sono quelle informazioni su una data persona fisica: nome, cognome, indirizzo, numero di telefono, codice fiscale, sesso.

I dati sensibili sono quei dati personali, del singolo individuo, con raccolta e trattamento soggetti al consenso dell’interessato e all’autorizzazione del Garante della privacy (Decreto Legislativo n. 196/2003, art.4). I dati sensibili sono: razza di origine, opinioni politiche, filosofiche, religione,

partito, sindacato, associazioni, organizzazioni, stato di salute, vita sessuale, dati genetici, dati biometrici, dati personali relativi alla salute.

Il Nuovo regolamento GDPR non possiede efficacia retroattiva. Trattamento dei dati anteriori al 25 maggio 2018 seguono il Codice della Privacy della precedente disciplina. Sebbene occorra accertarsi di aver raccolto i dati in modo regolare ed eventualmente adeguarsi.

I sistemi per raccogliere i dati degli utenti sono di tipo diretto, per azione volontaria del navigante che li fornisce con form di contatto, commenti ad un articolo ecc; di tipo indiretto, all’insaputa dell’utente tramite logfile o cookie.

I termini di conservazione dei dati è limitato al minimo necessario, e non siano conservati più a lungo del necessario, secondo la nuova normativa.

Il riferimento da seguire è quello del Garante della privacy.

Adeguare e rendere conforme il sito al GDPR e alla Direttiva sulla Privacy elettronica (ePR).

Tutte le informazioni di terze parti per dati sensibili o personali raccolti (anche di utenti che contattano il sito stesso autonomamente), memorizzati e visualizzati sul proprio sito, sul proprio pc o in formati cartacei o fisici diversi devono avere esplicito consenso da parte dei titolari.

Rientrano in questa fattispecie:

-Un articolo o una pagina di un sito con informazioni di terzi su dati sensibili o personali come contatti, indirizzo email, telefono ecc.;

-Il “Form di registrazione Commenti”. Finora bastava un’accettazione generale delle norme della privacy, dal 25 maggio per essere a norma con il GDPR, dovrai chiedere consensi specifici per le diverse finalità;

-plugin dei Csm come WordPress, Drupal, Joomla ecc.

I Cookie sono dati o informazioni memorizzate dai programmi che girano lato web sui server per i visitatori ospiti del sito web.

I Cookie tecnici sono i cookies che garantiscono un servizio migliore nella navigazione dell’utente e quindi non memorizzano o inviano informazioni sensibili sul navigante. Esempio login e password, lingua, carrello, raccolta dati quantitativi dei visitatori come accessi, tempo, percorso senza profilazione di terzi.

I Cookie di profilazione sono i cookies atti a consentire al titolare del sito di ottenere, memorizzare, informazioni sull’utente quali dati sensibili o autorizzare trasferimento dei dati personali a terze parti per fini consentiti dalla legge (come il remarketing, passaggio ad altri social network). Le informazioni possono riguardare età, interessi, abitudini, siti visitati, dati bancari, residenza, indirizzo IP ecc.

Normativa di riferimento ePrivacy – cookie.

Art.122 maggio 2012 del Codice della privacy, che recepisce la Direttiva comunitaria 2009/136/CE – Provvedimento 8 maggio 2014 n. 229 entrato in vigore il 20 giugno 2015.

Secondo la normativa, i cookie vanno indicati con banner e informativa del trattamento dei dati informatici, a seconda dell’uso dei cookie e chi effettua il tracciamento online.

Per rendere il sito web conforme al GDPR Europeo occorre analizzare:

modalità che il sito personale usa per la raccolta dei dati degli utenti;

la documentazione in materia di trattamento di dati personali del sito secondo le direttive della nuova normativa europea;

chiedere il consenso di trattare i dati personali degli utenti;

mettere a disposizione degli utenti degli strumenti per controllare, aggiornare, rimuovere i loro dati;

plugin e tool attivi nel sito web devono essere conformi al GDPR.

Per minimizzare le problematiche occorre raccogliere dati utenti strettamente necessari.

Alcune considerazioni portano a credere che il Consenso del cliente dei dati dovrà essere conservato su dati criptati e supporti esterni al sito. Come i dati fiscali andranno conservati 5 anni.

I siti che utilizzano esclusivamente cookie tecnici non devono inserire banner per accettazione cookie e non devono inviare comunicazione al Garante. Vanno segnalati nell’informativa sulla privacy i cookie tecnici ma non è indispensabile il banner e chiedere il consenso ai visitatori.

Modulo contatti o commenti di WordPress.

Nel modulo commenti di WordPress non installiamo cookie di profilazione ma trattiamo dati (nome e email utente), e per essere in regola con il GDPR occorre creare il quadratino non spuntato, disattivato, e l’utente dovrà decidere di attivarlo nel form contatti, dando seguito al messaggio: “Ho letto l’informativa sulla Privacy del vostro sito web. Acconsento il trattamento dei dati personali per le finalità indicate in essi. I miei dati personali da voi raccolti (nome + indirizzo email) saranno utilizzati al solo scopo di rispondere al messaggio. Non verranno diffusi o comunicati a terze parti. Non invierò dati sensibili nel contenuto del messaggio.” Quindi proporre il link alla privacy policy completa con la spiegazione della finalità.

Per essere in regola la casella deve essere ben visibile ma non pre-spuntata.

I visitatori di un sito web devono attestare se prestare il proprio consenso al trattamento dei dati personali. Il consenso dell’utente è implicito anche se egli continua la navigazione sul sito, basta che questa sia indicata esplicitamente sull’informativa della privacy. I siti web hanno il dovere di mostrare una trasparente e dettagliata politica della Privacy in relazione al trattamento dei dati personali degli utenti che visitano il sito.

I siti che utilizzano cookie di profilazione di terze parti non devono fare comunicazione al Garante.

Uso di misuratori di traffico come Alexa, Google Analytics, Slimstat, WebTrends, ecc. per monitorare il vostro sito per statistiche per sesso, età ed altre modalità; uso condivisioni social; raccolta dati di terze parti generici per scopi diversi; uso di video incorporati di Vimeo, Youtube ecc. negli articoli o pagine dell’informazione vostro sito.

In questi casi il Garante della privacy obbliga ad inserire un avviso visibile (banner che rinvia direttamente al nostro regolamento per la raccolta di dati di terze parti, la personale politica della privacy e dei cookie) sul vostro sito, nella home page e nelle altre pagine del sito. Lo scopo è quello di informare gli utenti sul nostro scopo e intento per l’utilizzo di cookies e privacy per la raccolta dei dati, e quindi l’accettazione della politica della privacy affinché si possa continuare a navigare il sito.

I siti che utilizzano cookie di profilazione personali o che hanno accesso a informazioni di profilazione trattati in maniera disaggregata provenienti da cookie di terze parte, devono fare comunicazione al Garante.

Nel momento in cui si accede alle pagine di un sito web che usa i cookie di profilazione deve comparire in primo piano un banner contenente l’informativa in breve che indichi: l’uso di Cookie di profilazione per il sito, che il sito consente l’invio di cookie s terze parti, il link all’informativa, possibilità di negare consenso all’installazione di cookies, il consenso all’uso dei cookies permette di continuare la navigazione.

Il Regolamento, prevede immediata vigenza in tutta Europa della norma senza alcun obbligo di recepire il testo del Regolamento nelle legislazioni nazionali.

Diritto di rimozione.

Il gestore del sito web deve impegnarsi a dare la possibilità agli utenti di modificare o negare il consenso al trattamento dei dati personali a richiesta dell’utente stesso.

Esistono plugin WordPress per adeguarsi alla normativa europea e anche l’installazione di certificati SSL gratuiti, backup a livello avanzato.

La comunicazione al Garante della Privacy va effettuata telematicamente compilando il modello al link https://web.garanteprivacy.it/rgt/. La notifica inviata al Garante (prima notificazione – modifica – cessazione) è soggetta al pagamento dei diritti di segreteria dell’importo di 150 euro.

Nel caso che il vostro sito abbia delle particolarità non trattate potrete seguire il principio per il quale per ogni finalità di trattamento dei dati personali di un utente dovrete chiedere il consenso e spiegare che i dati sono richiesti e trattati esclusivamente per quello scopo. Per ulteriori informazioni a riguardo siamo sempre a disposizione, potete richiedere cortesemente tramite commento o inviando una email al nostro indirizzo email.

Ricordate inoltre che qualsiasi dubbio può essere sciolto attraverso la lettura del sito di riferimento del Garante della Privacy raggiungibile al link: http://www.garanteprivacy.it/

Verifica dell’installazione di cookie sul sito personale è possibile grazie a cookieMetrix, Chrome

WordPress utilizza di default cookie di navigazione (vengono cancellati quando l’utente esce dal vostro sito) che corrispondono a cookie tecnici.

Verifica cookie del sito personale.

Per visualizzare i cookie che il sito personale usa basta navigare per qualche pagina sul proprio sito dal browser Chrome. Digitare la seguente stringa nella barra degli indirizzi: chrome://settings/cookies e poi premere >Invio dalla tastiera. Compariranno tutti i cookie che il sito ha generato.

Violazione delle regole di trattamento dei dati -data breach.

Il GDPR sarà applicabile dalla giurisdizione ordinaria e dal Garante direttamente.

La normativa è applicabile a qualsiasi sito web dell’Unione Europea che tratta i dati degli utenti comunitari.

Le sanzioni sono molto consistenti arrivando ad un massimo di 20 milioni di euro o 4% del fatturato annuo complessivo. Gli utenti hanno la possibilità di controllare il flusso dei dati forniti.

Il Titolare dei dati violati ha l’obbligo di provvedere, immediatamente, entro le 72 ore, alla notifica delle violazioni all’Autorità garante della privacy competente, agli interessati che hanno violato le regole, se vi sono rischi per propri diritti e libertà.

WordPress.

Il WordPress GDPR Team ha lavorato alla versione 4.9.6 per avere la possibilità di esportare i dati da importare o da eliminare per gli utenti. Lo strumento è utilizzabile da >Strumenti >Export personal data> Privacy policy page. Inoltre ha creato uno strumento per la creazione automatizzata di una pagina da adibire come advice per gli utenti che si rivolgono al sito. Chiaramente la pagina va aggiornata secondo le necessità del sito personale.

Per avere in hompage del sito personale costruito con WordPress un banner con l’advice per la privacy si può installare il plugin WordPress Frontpage Banner oppure Cookie notice.

Alternativamente si può inserire codice nella home page (body). Altra soluzione è quella di usare un widget di testo nella sidebar.

Contact Form non lascia traccia nel database del sito. Si ha un momentaneo tracciamento dell’IP per l’esclusiva navigazione del sito.

Donazioni -Give. Registra i dati del donatore in apposito pannello di gestione del database.

WooCommerce. Registra i dati nel pannello di gestione del database.

Newsletter di MailPoet. Registra indirizzi e-mail, nome, cognome, clic, aperture,

Plugin di WordPress.

Molto utilizzati sono Yoast seo , plugin per la cache, Slimstat.

Informativa sulla privacy.

Per creare un’informativa sulla privacy gratuita del sito personale è possibile tramite l’ausilio di alcuni siti online. Con il semplice inserimento dell’Url (dominio) del sito personale e alcune informazioni basiche è possibile generare una Informativa sulla policy da ricopiare in banner e/o pagine specifiche dedicate. Molto spesso sono a pagamento.

Alternativamente sono disponibili plugin di WordPress, che consentono il collegamento alle pagine legali di base.

Un’altra possibilità è quella di usare la versione aggiornata di WordPress 4.9.6 che ha già molte delle incombenze da impostare. Per quanto riguarda, il trattamento dei dati personali specifici per il proprio sito si può seguire la comprensibilissima traccia indicata dal sito ufficiale della Commissione europea al link: http://ec.europa.eu/ipg/docs/cookie-notice-template.zip ed eventualmente integrarla con quella più tecnica indicata da WordPress. Per finire, consigliare l’utente di far riferimento al seguente sito, per tutte le problematiche e perplessità nei riguardi di cookie e trattamento di dati personali: https://www.aboutcookies.org/

Chiaramente non c’è garanzia che queste indicazioni contenute sull’articolo calzino perfettamente con il vostro sito in quanto le situazioni sono sempre molto differenti e vanno indagate con scrupolo. Quindi non ci assumiamo alcuna responsabilità.

Rimanete in attesa, per gli aggiornamenti e passate per commenti in caso di perplessità o per aiutare gli utenti in difficoltà. Buona navigazione e a presto.

Note.

*(1) DPO -Data Protection Officer

Per le grandi realtà come Aziende e pubbliche amministrazioni, il nuovo regolamento prevede di prevedere nel proprio organigramma delle privacy la figura del DPO con una adeguata competenza professionale. Il DPO dunque è una figura professionale libero professionista o dipendente con competenze informatiche, giuridico, amministrative scevro da marcato conflitto di interessi

Il compito fondamentale del DPO è quello di verificare che i dati elettronici/web/informatici aziendali rispettino normative sulla privacy europee e nazionali e conferire con il titolare e il responsabile del trattamento dei dati.

In penisola ad esempio si sta lavorando sulla Uni 11506.

Il nuovo regolamento non è chiaro sulle aziende obbligate ad avere un Dpo e neppure riguardo ai titoli che il Dpi dovrebbe conseguire.

L’articolo 37 stabilisce che la nomina di un DPO si rende obbligatoria quando il trattamento dei dati:

-è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le funzioni giurisdizionali;

-le attività principali del titolare o responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; o le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Il regolamento Gdpr prevede delle tecniche e strategie denominato PIA – Privacy Impact Assessment quale strumento di analisi per ricorrere a soluzioni tecnologiche per la protezione dei dati personali (pseudonimizzazione, anonimizzazione, cifratura).

La profilazione ha lo scopo di individuare le caratteristiche di un utente. Presuppone, dunque, di mantenere la corrispondenza tra utente e dati trattati.

Il Regolamento prevede oltre al rispetto delle disposizioni in materia di privacy, al data protection impact assessment, che tendono alla salvaguardia dei dati degli utenti.

L’anonimizzazione ha come obbiettivo di svincolare l’utente dai dati ad esso riferiti (per fini esclusivamente aggregati di elaborazione statistici, ad esempio).

Per conciliare le due esigenze si stanno escogitando dei codici irreversibili che si sostituiscono alle informazioni identificative, con l’uso di tecniche crittografiche. Da questa situazione nasce la pseudonimizzazione.

Divieto di accesso ai siti e ai social per i minori di una certa età.

Il Garante per l’infanzia e l’adolescenza (Agia) è l’Autorità competente per l’accesso al web dei minori. L’accesso ai social o ai servizi online non è vietato ai minorenni.

Il Garante ha stabilito che le novità introdotte con il decreto legislativo Gdpr lasciano inalterate ai 16 anni l’età minima per fornire consenso digitale senza che sia necessario un intervento da parte dei genitori. Trattamento dei dati, accesso ai social, a web e applicazioni per i minori di 16 anni è possibile solo con l’intervento dei genitori.

Chiaramente la raccolta dati dei minori, devono avere servizi e informative adeguate ossia, children friendly. Si richiede che i dati personali siano trattati allo scopo di  tutela dei diritti delle persone di minore età e classificati nel rispetto di principi di non discriminazione, pari opportunità. Rimangono immutate le possibilità di richiesta di accesso, rettifica, portabilità e cancellazione delle informazioni personali. Al passaggio alla maggiore età hanno la facoltà di decidere se autorizzare o meno il trattamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *