GDPR: Se hai un blog o un sito ecco cosa cambia per la tua Privacy Policy.

La Privacy Policy è un documento obbligatorio per chiunque abbia un sito web.

Perchè?

E sopratutto sei consapevole di cosa significhi?

I Big Data infatti stanno portando una vera e propria rivoluzione nell’advertising e nel marketing: sono terreno di decisioni, determinano la personalizzazione del contenuto e una nuova forma di creatività, ma d’altra parte portano anche conflitti.
Pensiamo all’attenzione verso la cyber-security e la privacy.
Pensiamo allo scandalo che ha coinvolto negli ultimi mesi Facebook e quanto sia importante che gli utenti siano consapevoli sull’uso dei propri dati raccolti tramite applicazioni, iscrizioni, cookies, ecc. Facebook è solo uno dei giganti che collezionano dati su di noi, quando lo usiamo, quando navighiamo in altri siti, quando andiamo a correre o al ristorante con lo smartphone in tasca. Ma non è l’unico collezionista.
Infatti con la nuova legge sul trattamento dei dati personali, qualunque sito, che raccoglie i dati degli utenti o tiene anche solo traccia delle visite al sito tramite strumenti come Google Analytics, deve essere dotato di una Privacy Policy.

Si tratta di una sfida ardua poiché, contrariamente a quanto ipotizzato in alcuni commenti in materia, non sarà utilizzabile un unico opt-in “di servizio” per tutto, ma sarà obbligatorio raccogliere un consenso specifico dell’utente. Nè, d’altro canto, potrà essere negato l’accesso ai loro servizi a tutti quegli utenti che rifiuteranno di venire profilati. Alcune parti delle loro attività rischiano quindi di essere scosse più di altre.

Uno dei principi cardine del GDPR è quello della “limitazione delle finalità“, stabilito alla lettera b), n. 1 dell’articolo 5, in base al quale “i Dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è […] considerato incompatibile con le finalità iniziali”.

La Privacy Policy non è altro che un documento all’interno del sito, che informa gli utenti circa il trattamento dei loro dati personali.

Nella classificazione di questi ultimi, non rientrano solo il nome, il cognome o l’indirizzo e-mail dell’utente, ma anche un semplice Cookie impiegato da Google Analytics.

Ma cos’è la privacy police?

La Informativa Privacy (Privacy Policy in inglese) è la comunicazione rivolta all’utente per informarlo sul trattamento dei suoi dati personali, ossia tutte le informazioni che consentono l’identificazione diretta o indiretta dell’utente ed è disciplinato dal Codice Privacy (D.Lgs. n.196/2003).

Per trattamento dei dati personali si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati personali.

Secondo il Codice della Privacy, i dati personali devono essere:

  • trattati in modo lecito e corretto;
  • raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in modo compatibile con tali scopi;
  • esatti e aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

La Privacy Policy si divide in più paragrafi, nei quali vengono indicati: il TITOLARE del trattamento dei dati, i DIRITTI degli utenti, il LUOGO e la FINALITA’ del trattamento, la TIPOLOGIA dei dati trattati, i COOKIES che vengono rilasciati dal sito internet,  la CONSERVAZIONE dei dati, i LINK a contenuti esterni ed anche le modalità per modificare le impostazioni.

Tutti i dati personali forniti attraverso un qualsiasi sito dovranno essere trattati in modo lecito e secondo correttezza al fine di fornire i servizi richiesti nonché di rispondere alle comunicazioni e alle domande degli utenti, sempre nel perseguimento degli scopi .

  1. Dati forniti volontariamente
    Il conferimento di tali dati è obbligatorio, necessario per rispondere alle richieste inviate nonché per ricontattare il mittente per ottenere precisazioni in ordine a quanto segnalato.
  2. Dati di navigazione
    In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) e altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. I dati di navigazione vengono acquisiti non per finalità di identificazione degli utenti, ma all’unico fine di raccogliere, in forma anonima, informazioni statistiche sull’utilizzo del sito e dei suoi servizi.

Quando è obbligatoria?

  1. Quando il sito raccoglie dati personali;
  2. Quando i dati raccolti non sono per fini “esclusivamente personali”;
  3. Quando un soggetto terzo è coinvolto nel trattamento dei dati personali

Pertanto, nell’informativa privacy si devono indicare le attività effettivamente svolte (invio di e-mail promozionali per conto proprio e per conto terzi, profilazione, comunicazione dei dati a soggetti terzi per finalità promozionali) e si deve acquisire un consenso specifico in relazione a ciascuna finalità perseguita (marketing e comunicazione di dati a terzi).

La privacy policy si usa anche quando i prodotti o servizi vengono offerti ad utenti stranieri. In questi casi è possibile creare il documento in lingua inglese o in doppia lingua per facilitarne la consultazione.

Cosa succede se un sito ne è sprovvisto? 

Rischia delle multe piuttosto costose, e sono molto più probabili di quanto tu possa immaginare. Le sanzioni vanno infatti da un minimo di 3.000 euro, ad un massimo di 50.000 euro.

Molti servizi controllano che ogni sito all’interno del proprio network sia provvisto di una Privacy Policy, e se non ne trovano una che informi gli utenti circa il loro servizio, bloccano l’account del titolare.

Guarda come esempio la nostra privacy policy

Da tener presente:

-Una definizione di dati personali ( articolo 4 ). I dati personali sono “qualsiasi informazione relativa a una persona fisica identificata o identificabile”. Denominazione delle informazioni più rilevanti che costituiscono dati personali (il GDPR sceglie il nome o “un numero di identificazione”, tra gli altri) e stabilisce un diverso insieme di condizioni per l’elaborazione di “categorie speciali di dati personali”, incluso ma non limitato a dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale o l’orientamento sessuale.

-Espansione sul consenso. L’articolo 4 del GDPRil consenso come una “indicazione libera, specifica, informata e inequivocabile dei desideri della persona interessata . Tramite  una dichiarazione o con una chiara azione affermativa, si da il consenso al trattamento dei dati personali relativi alla persona.”

L’articolo 7 del GDPR delinea le condizioni per il consenso. Il consenso esplicito, chiaro e informato dovrebbe essere una parte fondamentale di qualsiasi legge sulla privacy . I consumatori dovrebbero essere chiaramente informati di ciò che accadrà ai loro dati personali. Se il GDPR è implementato come previsto, gli utenti dovranno esplicitamente e in modo chiaramente informato accettare di condividere i propri dati con terze parti, in particolare i data broker.<br> Molti probabilmente accetteranno di condividere i loro dati. Ma avranno un’opzione chiara per dire di no.

Il consenso può essere ritirato in qualsiasi momento. Inoltre, si specifica che se il consenso non è dato chiaramente, non è valido se reso contingente per la fornitura di un servizio per il quale non è necessaria una categoria specifica di dati personali – in altre parole, le organizzazioni non possono imporre il consenso a dati non necessari condivisione per una fornitura di un servizio che non richiede tali dati per funzionare.

-Lavorazione legale basata sul consenso contrario. Talvolta le organizzazioni possono essere autorizzate a elaborare i dati senza consenso, date circostanze ristrette e specifiche ( articolo 6 ). Il GDPR consente altri casi in cui un’organizzazione può raccogliere ed elaborare dati personali senza consenso, come il legittimo interesse di elaborare un contratto o garantire la sicurezza della rete.

-Dati pseudonimi ( articolo 4 e considerando 28 ). Il GDPR definisce la pseudonimizzazione come “trattamento di dati personali in modo tale che i dati personali non possono più essere attribuiti a un soggetto specifico senza l’uso di ulteriori informazioni” . La pseudonimizzazione può facilitare l’elaborazione dei dati oltre gli scopi di raccolta di originali e la ricerca scientifica. Allo stesso modo, è anche importante sapere che le organizzazioni non dovranno garantire i diritti degli utenti individuali se i dati non servono ad identificare una persona specifica. I dati anonimi non rientrano nell’ambito di applicazione del GDPR ( considerando 26).

-Minimizzazione dei dati ( articolo 5 ). Il GDPR stabilisce che l’elaborazione dei dati deve utilizzare tutti i dati necessari per eseguire correttamente una determinata attività. Inoltre, il GDPR chiarisce che i dati raccolti per uno scopo non possono essere riproposti senza ulteriore consenso.

-Conoscere i propri diritti (lato utente) ( capitolo 3 ). Nell’era digitale, è importante che i consumatori conoscano i loro diritti in relazione ai loro dati personali. Non pensiamo che tutti i diritti delineati nel GDPR siano desiderabili, e siamo particolarmente diffidenti nei confronti del Diritto all’oblio ( articolo 17 ), poiché temiamo che possa essere facilmente abusato contro l’interesse pubblico – ad esempio un politico corrotto che corre per la rielezione per eliminare le informazioni pubbliche riguardanti i suoi errori.

Ci sono altri diritti dal capitolo 3 da tener presente, in particolare:

  1. Il diritto alla portabilità dei dati ( articolo 20 ) aumenterebbe la trasparenza e il controllo degli utenti obbligando le piattaforme a condividere con i propri utenti in formato leggibile da una macchina i dati personali che le piattaforme hanno raccolto su un utente specifico. È importante tenere a mente che mentre il diritto alla portabilità dei dati potrebbe aumentare la concorrenza tra piattaforme, questo sarebbe un sottoprodotto del GDPR. Infatti, nelle linee guida per la comprensione del diritto alla portabilità dei dati, le autorità della privacy dell’UE scrivono che “il GDPR regola i dati personali e non la concorrenza”.
  2. Il diritto all’informazione trasparente ( articolo 12 ) stabilisce che le organizzazioni devono informare gli individui “in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e chiaro, in particolare per qualsiasi informazione indirizzata specificamente a un bambino” quando sono raccolti i loro dati . Responsabilizzare gli utenti inizia con informazioni chiare.
  3. Il diritto di essere informato e di accedere ( articoli 13 , 14 , 15 ): le persone hanno il diritto di essere informate sulla raccolta e l’uso dei propri dati personali. Se un’organizzazione ottiene dati da altre fonti, deve fornire agli individui informazioni riguardanti gli usi e la gestione di tali dati entro un mese.
  4. I diritti relativi al processo decisionale automatizzato, incluso il profiling, ( articolo 22 ) sono progettati per proteggere le persone quando le organizzazioni intraprendono processi decisionali automatizzati che comportano effetti legali o altri significativi effetti su di essi. Il GDPR chiede alle organizzazioni di fornire ai singoli informazioni sul trattamento, consentire ai consumatori di richiedere l’intervento umano o contestare una decisione e verificare regolarmente che i sistemi funzionino come previsto.
  5. Il diritto di opporsi al trattamento dei dati ( articolo 21 ) consentirà di opporsi al trattamento dei dati (ad esempio per scopi di marketing diretto).

– Autorità di controllo indipendenti ( articolo 6 ). Ogni paese dell’UE dispone di una o più agenzie indipendenti per la protezione dei dati (DPA) incaricate di sorvegliare l’attuazione e l’applicazione del GDPR. Le agenzie europee per la protezione dei dati sono state fondamentali per lo sviluppo di una cultura della protezione dei dati in Europa e l’aggiornamento delle leggi sulla privacy in tutta Europa.

SE SEI INTERESSATO AD APPROFONDIRE L’ARGOMENTO SEGUICI SULLE NOSTRE PAGINE SOCIAL O ISCRIVITI ALLA NOSTRA NEWSLETTER.

Nel prossimo articolo un focus sulla privacy police aziendale relativa al GDPR .

COMMENTA PER FARCI SAPERE QUALI SONO LE TUE PERPLESSITÀ ED OPINIONI A RIGUARDO. OPPURE COMPILA IL QUESTIONARIO AL SEGUENTE LINK PER OTTENERE UN REPORT GRATUITO SULLO STATO DELLA TUA AZIENDA : TEST AZIENDA

Il 25 Maggio sta per arrivare, il nostro obiettivo è di rendervi consapevoli sulle novità ed adempimenti introdotti dalla normativa.

2018-04-17T13:59:42+00:00

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Iscriviti alla Newsletter

Resta sempre informato su le ultime novità. Inserisci la tua email per ricevere aggiornamenti utili alla tua attività.

Newsletter mensile

 

contrast_data_protection_officer_uk

Inserendo l’email dichiari di accettare la nostra privacy policy