Cos’è il GDPR?

E’ una nuova legge sulla protezione dei dati personali che entrata in vigore dal 25 Maggio 2018.

Lo scopo di questa legge è duplice: da una parte, tutela i cittadini europei che prestano il loro consenso al trattamento dei dati personali e, dall’altra, regolamenta in maniera più uniforme la privacy.
Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito.

Implica quindi che tutti i visitatori del tuo sito web debbano confermare il proprio consento al trattamento dei loro dati personali e, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.

Come proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).

Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e i siti web che hanno a che fare con utenti provenienti dai paesi dell’UE.

Il trattamento dei dati degli utenti diventa quindi un punto cardine del provvedimento.

Per “dati personali” si intende qualsiasi tipo di informazione riguardante una persona fisica, come ad esempio, il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.

Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.

Il GDPR riguarda sia i dati personali sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie si elaborano dati personali , questi cookie sono soggetti al nuovo del GDPR europeo:

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

Quindi se i cookie identificano una persona, allora sono considerati dati personali e quindi soggetti al decreto.

Se, ad esempio si fa uso di Google Analytics memorizzando l’IP dei tuoi visitatori, si stanno elaborando dei dati personali dei tuoi utenti ed e quindi si è soggetti alle regolamentazioni del GDPR.

Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificarla, sono soggetti alla normativa europea sul trattamento dei dati personali. I servizi di sondaggio e di chat sono due esempi pratici.

Tutti questi servizi non sono di tua proprietà ma sono esempi di terze parti presenti sul tuo sito web che rilasciano cookie sui browser dei tuoi visitatori mentre questi navigano all’interno del tuo sito web. E qui il GDPR parla chiaro:

sei responsabile della protezione dei dati che sono stati raccolti tramite questi cookie;
sei tenuto a fornire agli interessati una chiara informazione sulle modalità con cui verranno utilizzati i loro dati.
Se nel tuo sito utilizzi cookie che contengono dati personali diretti o dati potenzialmente collegabili per identificare o rintracciare una persona (cookie di profilazione), devi rivedere il consenso sui cookie alla luce della nuova normativa europea (direttiva UE sulla e-privacy e GDPR).

Se si dispone, invece, di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non sei soggetto al GDPR ma si applicheranno le normative precedenti (Cookie Law, ovviamente, fino all’entrata in vigore della nuova normativa europea). Non tutti i cookie sono considerati dati personali. In altre parole: solo se i cookie possono essere utilizzati per identificare un individuo sono considerati dati personali nel GDPR.

La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato.

Il GDPR richiede la documentazione di ciascun consenso, specificando anche quali saranno i dati utente condivisi con i servizi di terze parti presenti nel tuo sito web, e in quale parte del mondo verranno inviati tali dati. Due sono gli aspetti principali su cui si focalizza il nuovo GDPR europeo.

Aspetto relativo alla privacy: cosa viene registrato?
Aspetto inerente alla trasparenza: chi ti sta monitorando? per quale scopo? dove andranno i dati e per quanto tempo resteranno in giro?
Direttiva UE sulla e-privacy + GDPR: il consenso deve essere preventivo, informato e documentato.