- Il Gdpr è il regolamento generale sulla protezione dei dati, e stabilisce le norme sul trattamento dei dati personali a livello europeo, da parte delle aziende.
- Il Gdpr è importante per le imprese, soprattutto se utilizzano piattaforme online raccogliendo i dati degli utenti, o usano gestionali e programmi informatici similari.
- Un sito web aziendale privo di Gdpr può portare a multe anche salate per l’azienda.
Con la sigla Gdpr si identifica il regolamento europeo generale per la protezione dei dati personali (General Data Protection Regulation). Queste normative vanno a regolarizzare il modo in cui imprese, aziende e altri soggetti trattano, conservano e utilizzano i dati personali.
In particolare è importante conoscerne le linee guida se si utilizzano piattaforme web, gestionali e altri programmi informatici che raccolgono i dati personali degli utenti. Il Gdpr propone delle regole per la gestione di questi dati non solo da parte delle aziende interessate direttamente, ma anche da parte di soggetti terzi che possono accedere a questi dati.
Per fare un esempio molto semplice, una azienda che dispone di un sito web in cui raccoglie dati degli utenti che vi navigano, è obbligata a seguire le regole del Gdpr, proponendo all’utente di accettare o rifiutare alcune autorizzazioni, altrimenti il rischio è quello di incorrere in sanzioni.
Il Gdpr contiene delle normative europee, che sono valide anche in Italia. Vediamo come funziona il Gdpr e come le aziende possono regolarizzare questa gestione dei dati.
Indice
Cos’è il Gdpr
Come anticipato, il Gdpr racchiude una serie di regole rivolte alle imprese per la gestione, la raccolta, l’elaborazione, e la conservazione dei dati raccolti, ad esempio attraverso piattaforme online. Le norme si riferiscono prevalentemente alla tutela della privacy degli utenti e di tutti coloro che lasciano informazioni, anche sensibili, all’interno di piattaforme web.
Come anticipato, a dover rispettare queste norme sono diversi soggetti:
- Le aziende che raccolgono e trattano direttamente i dati degli utenti;
- Le aziende terze che possono accedere ai dati degli utenti.
Ad essere responsabili del trattamento dei dati possono quindi essere diversi soggetti: dalle imprese che dispongono di uno strumento informatico, ai fornitori di software e piattaforme web, ma sono coinvolti anche i soggetti che, all’interno di un determinato strumento informatico, tracciano il comportamento degli utenti sul web, o compiono delle profilazioni in base ai dati.
Ciò che è importante è che l’utente venga sempre informato nel dettaglio su qual è il trattamento dei dati, quali sono le eventuali metodologie di conservazione e utilizzo di queste informazioni.
Qual è l’obiettivo del Gdpr
Le normative sul Gdpr sono state introdotte negli ultimi anni, con l’entrata in vigore del regolamento nel 2016. L’aumento dell’utilizzo di strumenti informatici, la digitalizzazione e il moltiplicarsi di piattaforme web di aziende che profilano la propria utenza online, hanno portato alla necessità di introdurre un regolamento apposito sulla gestione di questi dati.
L’obiettivo principale del Gdpr è quello di tutelare gli utenti, ovvero la privacy dei dati personali. Si può dire che questo regolamento affida all’utente stesso la scelta sulla gestione dei propri dati da parte delle aziende o di soggetti terzi.
Questo regolamento è il più importante in questo senso, e garantisce norme per la tutela della privacy a livello europeo, ma anche sui dati che vengono trasferiti in zone extra Ue.
Le aziende devono quindi rispettare alcuni requisiti di legge anche in Italia, per la raccolta e la gestione dei dati personali degli utenti. Inoltre, sono previste specifiche norme che coinvolgono le aziende fuori dall’Unione Europea che esportano o utilizzano i dati personali dei cittadini UE.
In mancanza del rispetto di queste norme, le aziende possono essere sanzionate in denaro, per mancato rispetto della privacy degli utenti e per il trattamento dei dati non regolamentato.
Cosa dice la normativa italiana sul trattamento dei dati
La normativa italiana sul Gdpr segue le linee guida del regolamento europeo, che, soprattutto nei primi anni di entrata in vigore, hanno subìto diverse modifiche, al fine di un adeguamento a tutte le casistiche possibili.
Va tenuto presente che se un utente naviga all’interno di un sito web, questo non implica l’accettazione automatica dell’utilizzo dei dati. Per questo motivo chi ha la responsabilità della privacy, ovvero un’azienda, o un soggetto specializzato che lavora per l’azienda, deve comunicare chiaramente a chi naviga sul sito quale trattamento dei dati è previsto.
La normativa sul trattamento dei dati riguarda principalmente due parti importanti: la gestione della privacy degli utenti, ovvero il modo in cui vengono trattati i dati personali, e l’uso dei cookie, ovvero quei programmi e file usati per il tracciamento dell’attività dell’utente online.
Senza entrare troppo nello specifico, ecco quali sono i principali diritti degli utenti verso i dati personali sul web:
- diritto ad avere accesso ai propri dati: l’utente deve poter avere accesso ai propri dati, ricevendo una copia di quali sono oggetto del trattamento, soprattutto per ciò che riguarda il periodo di conservazione di tali informazioni;
- diritto all’oblio: si tratta del diritto di cancellazione dei propri dati personali, su richiesta del diretto interessato;
- diritto di limitazione del trattamento: l’utente ha il diritto di limitare il trattamento dei dati in alcune situazioni particolari, ovvero se i dati personali non sono esatti, se il trattamento è illecito, se i dati sono necessari per la difesa di un diritto in sede giudiziaria, e se l’interessato si è opposto al trattamento;
Va ricordato che in Italia, a tutela dei diritti e delle libertà fondamentali nel trattamento dei dati interviene una autorità amministrativa apposita, ovvero il Garante della Privacy (GPDP).
Come rispettare le regole del Gdpr
Per essere in regola con le regole del Gdpr, l’azienda deve prima di tutto individuare quali sono i software, le piattaforme online e gli strumenti informatici che utilizza quotidianamente e che raccolgono dati di persone esterne all’impresa, ovvero di utenti sul web.
Una volta individuati, può essere necessario rivolgersi ad un legale o ad una azienda specializzata per redigere il documento specifico per il Gdpr.
All’interno del sito web o del portale, è necessario infatti inserire una documentazione composta di due parti importanti:
- Privacy Policy: questo documento deve essere conforme alle regole del Gdpr, ovvero la piattaforma web deve contenere un testo di natura legale con le informazioni sull’utilizzo dei dati, il trattamento e le finalità, sia da parte del soggetto responsabile (il titolare dell’azienda) sia da parte dei soggetti terzi che possono accedere ai dati;
- Cookie Policy: questo documento è un testo legale che contiene tutte le indicazioni sull’utilizzo dei cookie, ovvero file di informazioni che i portali web memorizzano all’interno del computer dell’utente durante la navigazione. Alcuni sono importanti per l’utilizzo stesso del sito web, mentre altri tracciano i percorsi degli utenti. Il documento deve contenere la lista di tutti i cookie usati, la descrizione e la durata di utilizzo.
In entrambi i casi, è consigliato che il sito web sia munito di diverse possibilità di scelta per l’utente, che può decidere di acconsentire all’uso di tutti i cookie oppure solo quelli necessari al funzionamento del sito, e può approvare o meno determinati utilizzi dei dati personali.
Riassumendo, le informazioni che non devono mai mancare fanno riferimento a:
- quali dati vengono raccolti dallo strumento informatico;
- quali sono le finalità del trattamento dei dati;
- quali sono le normative di riferimento;
- quali sono i metodi di conservazione dei dati;
- quali sono i soggetti terzi che hanno accesso ai dati: pensiamo ad esempio a strumenti di analisi come Google Analytics, oppure altri servizi esterni che elaborano i dati;
- quali sono i dati che vengono trasferiti a paesi extra UE;
- altre informazioni relative all’azienda titolare.
Per poter mettersi in regola, è possibile rivolgersi a professionisti che si occupano di questi obblighi, oppure da servizi web appositi facilmente individuabili online.
Quanto conta il Gdpr per le imprese italiane
A livello di impresa, rispettare l’adeguamento al Gdpr è di fatto un obbligo di legge, per cui in mancanza di tali adempimenti, è possibile che l’azienda incorra in sanzioni in denaro.
Per tutte le imprese che utilizzano strumenti informatici legati al web, è consigliato rivolgersi ad un esperto come un professionista legale, per svolgere questo adeguamento.
Va ricordato che esiste una figura professionale apposita che può rientrare nello staff dell’impresa, ovvero il Responsabile della protezione dei dati.
Questa figura può essere interna o esterna all’azienda, tuttavia i suoi principali compiti sono quelli di assicurare il rispetto delle regole del Gdpr, seguendo anche gli aggiornamenti di questa materia legale. Il professionista deve essere un esperto di questa materia, meglio ancora se nell’ambito specifico in cui si muove l’impresa.
In assenza di tale figura, va ricordato che la responsabilità del rispetto delle norme è interamente a carico del titolare dell’impresa.
Quali sono le sanzioni per mancato rispetto del Gdpr
Nel caso in cui una azienda non rispettasse le direttive imposte dalle regole del Gdpr, può incorrere in importanti sanzioni, come anticipato. Si parla di una multa che può arrivare anche a cifre da capogiro, ovvero fino a 20 milioni di euro, ma può comportare anche una sanzione calcolata sul 4% del fatturato annuo dell’azienda.
Chi non segue le linee guida per la protezione dei dati, può essere sottoposto a controlli specifici, anche da parte del Garante della Privacy, può subire richiami, verifiche periodiche, oppure essere sanzionato. Inoltre possono essergli imputati danni derivati da queste responsabilità.
Gli utenti, se ritengono che sia avvenuta una violazione della tutela dei dati, possono presentare un reclamo apposito, per cui per le imprese adeguarsi alle linee guida del Gdpr risulta essere particolarmente importante.
Inoltre, l’impresa deve conservare accuratamente tutti i permessi inviati da parte degli utenti, anche con appositi software, per poter dimostrare che il consenso è stato lasciato.
Gdpr – Domande frequenti
Il Gdpr è il regolamento generale sulla protezione dei dati, e stabilisce le norme sul trattamento dei dati personali a livello europeo, da parte di aziende o altri soggetti.
Il Gdpr ha l’obiettivo di tutelare i dati delle persone, specialmente degli utenti che inseriscono informazioni personali sul web navigando nei portali di proprietà di aziende o altri soggetti.
Il Gdpr è importante per le imprese per rispettare gli obblighi di legge in materia di protezione dei dati, ovvero attraverso la Privacy Policy e la Cookie Policy: leggi l’articolo per sapere come funzionano.
Valeria Oggero
Giornalista