Adeguare un sito web alle disposizioni del GDPR non può ridursi ad una informativa standard, che non esiste, proprio perché il concetto di adeguamento è per definizione profondamente diverso. Ha a che fare, infatti, con la tipologia di dati trattati e con gli strumenti, di carattere tecnico, utilizzati per i trattamenti. Per questo motivo, inoltre, non è una attività che può essere svolta una tantum per poi dimenticarsene.
La prima cosa da fare, per un sito esistente è l’analisi sia delle componenti tecniche, sia delle tipologie e modalità dei dati trattati.
Un sito web, anche se in apparenza uguale ad un altro, in realtà può contenere degli strumenti tecnici (Google Analitics ad esempio che richiede il consenso al trattamento anche se l’utente visitatore non può verificarne l’utilizzo) o trattare dei dati in modo diverso. Va da se che dovranno essere implementate misure diverse di trattamento e protezione.
E non può essere sufficiente una analisi dall’esterno, proprio perché le componenti tecniche, le finalità e le misure di trattamento non sono visibili ad un utente esterno.
Per questo motivo, il procedimento di adeguamento, dovrà essere necessariamente personalizzato.
L’informativa è l’insieme delle informazioni che devono essere date ad un interessato per spiegare come e perché vengono trattati i dati.
In realtà bisognerebbe parlare al plurale, informative, almeno nella maggior parte dei casi. Anche qui un modello standard non può esistere proprio perché non compatibile col concetto di adeguamento del sito web ma, più in generale, con i principi del GDPR.
Per redigere correttamente la, o meglio le informative del sito basta fare riferimento alla normativa; agli articoli 13 e 14 del GDPR sono sicuramente il modello da cui partire: contengono tutte le informazioni che, obbligatoriamente, devono essere contenute nella informativa stessa. Non è un modello standard già pronto all’uso ma può essere considerato un fac simile da seguire alla lettera.
Non si dimentichi che un trattamento illecito dei dati è punito con sanzioni amministrative fino a 20 milioni di euro, ma anche civili e penali.
A questo punto si tratterà di individuare correttamente le informazioni da dare agli interessati, e qui torna in gioco l’analisi di cui abbiamo detto al paragrafo precedente, che ci fornirà quelle che dovremo inserire all’interno della informativa.
Abbiamo detto che, a proposito della informativa, bisognerebbe parlare al plurale. Infatti questo adempimento ha a che fare col numero di trattamenti che vengono effettuati: più trattamenti equivalgono a più informative: l’iscrizione ad una newsletter avrà una informativa diversa dalla compilazione di un form coi dati di contatto per richiedere informazioni o completare un acquisto on line.
Diversa è la questione riguardante il consenso. La raccolta del consenso non ha alcun legame con la informativa. Il consenso infatti è una delle basi giuridiche per il trattamento dei dati: dove richiesto o raccolto non esime il titolare dall’obbligo di fornire la informativa.
Anche nei casi in cui sia l’utente a fornire spontaneamente i dati, il consenso deve essere richiesto ove necessario. In questi casi, ad esempio con la compilazione di un form, il fatto che l’utente agisca in autonomia non cambia di una virgola la situazione.
Anzi, di fronte al modulo da compilare con i dati, vanno spiegati chiaramente quale dati si richiedono, come avverrà il trattamento e per quali finalità. Inoltre il titolare dovrà tenere traccia di questo consenso (conservando i file di log) al fine di poter dimostrare che il consenso è stato rilasciato dall’interessato e quando, ma anche le eventuali revoche dello stesso consenso.
Non bisogna infatti dimenticare che i dati, anche se rilasciati volontariamente dall’utente, possono essere utilizzati per un periodo di tempo determinato.
La scadenza dipende dalla finalità e quindi, se scaduto, dovrà essere richiesto un nuovo e ulteriore consenso, mancando il quale saremo di nuovo di fronte ad un trattamento illecito.
Abbiamo visto, quindi, che l’adeguamento di un sito, richiede una attività costante nel tempo oltre che complessa.
A questo si aggiunga, in conclusione, che il principio della privacy by design, prevede l’adozione di metodo e misure idonee a garantire la compliance del sito fin dalla fase della progettazione proprio perché, il corretto trattamento necessita di adottare misure tecniche ed organizzative previste dalla normativa che sono le garanzie per gli interessati.
Pare che EcoCare, un sito fatto sviluppare dal Parlamento Europeo, non rispetti la stringente normativa europea prevista per la tutela dei dati personali. Se anche i “regolatori” hanno difficoltà ad osservare le norme scritte da loro stessi vuol dire che c’è un problema nell’affrontare una norma con troppa leggerezza. La norma impone un’autovalutazione che spesso necessita dell’insostituibile consulenza di esperti in più settori. Guarda il video sull’argomento pubblicato dall’Avvocato Stefano Nardini che ha affrontato questo caso particolare sul suo canale YouTube.
Scritto da: Luigi DuraccioIl 31 gennaio scade un termine importante del punto di vista fiscale: la conservazione digitale a norma delle fatture elettroniche. In realtà il termine è slittato al 10 marzo a seguito della proroga disposta dal decreto ristori alla presentazione della dichiarazione dei redditi. Questo perchè il termine per la conservazione delle fatture si calcola proprio a partire da quello per la presentazione della dichiarazione dei redditi. Occorre avere le idee chiare per poter adempiere a quanto richiesto dalla normativa. Le norme...
Scritto da: Luigi DuraccioUn recentissimo studio sulle imprese lombarde ha evidenziato come l’emergenza sanitaria abbia reso evidente l’esigenza di migliorare il grado di digitalizzazione * Lo studio ha anche evidenziato che la digitalizzazione delle imprese genera un risparmio Una impresa su tre ha avuto un risparmio immediato che si è attestato nel 40,4% dei casi in una somma tra i 10.000 euro e i 50.000 euro, e addirittura il 2,1% delle imprese ha dichiarato risparmi per più di mezzo miliardo di euro. E il 79% di questi...
Scritto da: Luigi DuraccioLa nuova legge di Bilancio 2021 prevede una lunga serie di bonus ed agevolazioni. Anche in questo caso districarsi in questa giungla non è facile. Ancora una volta ci affidiamo all’avv. Stefano Nardini, in un breve video, per capire quanti e quali sono i bonus previsti, chi può richiederli, come accedervi. Buona visione!
Scritto da: Luigi DuraccioIl furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Il furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Nei primi 6 mesi del 2020 sono state scoperte oltre 11.200 frodi creditizie tramite furto d’identità (Fonte Osservatorio Crif – Mister Credit). Il danno stimato supera i 65 milioni di Euro, mentre l‘importo medio della singola frode si è attestato a 5.792 €, in aumento del +24,2% rispetto a quello rilevato nei primi...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili, e tutte le protezioni possono essere superate. Ma esistono soluzioni per recuperare i file criptati? Scopriamo insieme una soluzione semplice, potente, veloce. Ripetiamo ormai da molto tempo che la protezione al 100% non esiste e le strategie degli hacker, per superare le difese si evolvono e traggono continuamente nuova linfa dall’aumento degli strumenti utilizzati. Se a questo aggiungiamo l’evoluzione del contesto, il lavoro remoto ad esempio, la scarsa alfabetizzazione degli utenti e la quasi totale mancanza di...
Scritto da: Luigi DuraccioL'Agenzie delle Entrate e la Polizia Postale mettono in guardia su l'utilizzo del Bonus 110% per campagne di phishing. L'argomento è, in questo periodo, di grande attualità e molto sensibile. E' quindi molto facile cadere nella trappola e, nonostante gli avvertimenti delle autorità, in molti sono già caduti vittime di questa massiccia campagna di phishing. Il phishing è una particolare tipologia di frode online. Lo scopo dei malintenzionati è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Più...
Scritto da: Luigi DuraccioDalla incapacità di proteggere in maniera adeguata le informazioni, i dati, deriva la estrema insicurezza dei sistemi informatici. E tutti coloro che hanno un qualche potere decisionale in merito fanno finta di non vedere, o forse non vedono proprio. Con i continui allarmi sui pericoli che comporta l’adozione indiscriminata delle tecnologie digitali grazie all’eco suscitato da alcuni attacchi particolarmente significativi dell'ultimo anno, che hanno attirato l’attenzione dei media anche non specialistici attorno al tema della cybersecurity si è creato un certo...
Scritto da: Luigi DuraccioIl marketing diretto può essere fatto senza il tuo consenso ma con alcuni limiti non troppo chiari e spesso oltrepassati da molti con offerte commerciali molto invasive. C’è ancora grande confusione e poca consapevolezza, quasi sempre una scarsa conoscenza della normativa in materia, sia negli operatori che, ancor di più, negli interessati, che subiscono, a volte azioni molto invasive, rinunciando, di fatto, ai propri diritti in materia. Ancora una volta, con l’aiuto del nostro esperto in materia di protezione di dati personali,...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.
Another Project By: Marketing:Start!