Adeguamento GDPR: guida per un utilizzo consapevole

L’entrata in vigore del regolamento sulla tutela dei dati per le persone private residenti negli stati UE, detto anche GDPR (General Data Protection Regolamentation), è tra noi. Il 25 maggio 2018, è una data storica per l’Europa e per il mondo intero, è il giorno in cui per la prima volta un insieme di stati rende effettivo un regolamento per tutelare e agevolare lo scambio di dati personali in un territorio ben definito.

Se sei un webmaster, se lavori in una webagency o semplicemente hai creato un sito web, probabilmente hai sicuramente già letto diversi articoli riguardo il GDPR.

In questo articolo non ti spiegherò quindi che cos’è il GDPR – perché già lo sai – ma proverò a spiegarti i principi fondamentali del regolamento corredati da esempi pratici. In questo modo potrai analizzare se il tuo sito web è conforme al regolamento in base all’utilizzo che fai dei dati personali.

Una domanda su tutte: Devo anche io, con il mio piccolo sito web, attenermi al nuovo regolamento sulla tutela dei dati personali?

La risposta a questa domanda è molto semplice. Se il tuo sito raccoglie e conserva qualsiasi tipo di dato che possa in qualche modo individuare un soggetto, stabile in Europa anche solo momentaneamente, e riconoscerlo o distinguerlo in maniera univoca tra altre persone, allora devi attenerti e rispettare il regolamento. Hai risposto si? Allora puoi continuare a leggere!

 

I soggetti del trattamento dei dati: comprendi il tuo ruolo

Partiamo innanzitutto dai soggetti, cioè chi sono gli attori del regolamento e che responsabilità hanno in merito al trattamento dei dati. E’ in questa sezione che devi cercare di identificare a quale categoria appartieni.

Titolare del trattamento (Necessario)

É la persona fisica o azienda che, singolarmente o insieme ad altri, determina quali sono le finalità per cui i dati sono raccolti e decide i mezzi con cui vengono trattati. Solitamente è il proprietario del sito web.

Se sei il proprietario di un sito web: sei tu il titolare del trattamento. I dati degli utenti loggati o non loggati che visitano il tuo sito web, sono quelli di cui sei o sarai il responsabile. Si, parliamo anche solo di indirizzi email.

Se sei una web agency: non dovresti teoricamente avere la responsabilità dei dati come titolare del trattamento, a meno di accordi specifici presi con il proprietario del sito web.

Curiosità: É possibile che esista una contitolarità del trattamento quando ci sono più titolari del trattamento dei dati, ma ad una condizione: deve esistere un accordo interno tra i titolari che sia completamente trasparente e che consenta agli interessati di rivolgersi indifferentemente a qualsiasi dei titolari per per esercitare i propri diritti, di cui parleremo in maniera più dettagliata in seguito.

Responsabile esterno del trattamento (Necessario)

É la persona fisica o azienda che tratta i dati per conto del titolare del trattamento, previa una nomina ufficiale e controfirmata. Solitamente è la web agency ma anche il servizio di hosting rientra in questa categoria. Noi di Ergonet in queste ore, in qualità di gestori del servizio di hosting, abbiamo inviato a tutti i nostri clienti la richiesta di nomina come responsabili esterni al trattamento dei dati.

Se sei il proprietario di un sito web: se persone o aziende esterne devono avere accesso ai dati presenti nel tuo sito web, ad esempio per finalità di marketing o analisi del comportamento degli utenti, devi nominarli come responsabili esterni del trattamento dei dati e la nomina deve essere accettata o controfirmata.

Se sei una web agency: sei tu il responsabile esterno del trattamento dei dati. Puoi avere accesso ai dati presenti nel database quando esegui dei backup, quando fai dei test di funzionamento di un aggiornamento oppure quando analizzi e testi il codice per risolvere alcuni bug. Devi farti nominare dal titolare del trattamento come responsabile esterno e ci deve essere un’accettazione o controfirma della nomina.

Curiosità: Il responsabile esterno può nominare a sua volta dei sub-responsabili, ma nella nomina deve essere esplicitato chiaramente se il titolare deve o meno approvare la nomina dei sub-responsabili. Ad esempio un freelance che aiuta una web agency a terminare un progetto e che avrà accesso ai dati, diventa un sub-responsabile del trattamento e deve essere ufficialmente nominato.

DPO (Data Protection Officer) o responsabile della protezione dei dati (Non sempre necessario)

É è la figura che supporta e controlla i processi, forma ed informa il personale in relazione all’applicazione del regolamento. E’ necessario esclusivamente se si opera un monitoraggio regolare e sistematico degli interessati su larga scala oppure se si trattano particolari tipi di dati, come quelli riconducibili ad interessi politici, religiosi, relativi alla salute dell’individuo oppure alla sua condizione economica.

Se sei il proprietario di un sito web: è altamente probabile che tu non debba nominare un DPO, a meno che non tratti categorie particolari di dati come quelle sopra menzionate.

Se sei una web agency: è altamente probabile che tu non debba nominare un DPO, a meno che non tratti categorie particolari di dati come quelle sopra menzionate. Perché farlo allora? Potresti volerlo fare per dichiarare di aderire in maniera completa al GDPR e di rispettare appieno il principio di accountability, cioè di piena responsabilizzazione – perdonami la traduzione forzata – e assicurazione sul rispetto del regolamento.

Curiosità: Il DPO è una figura prevista soprattutto per semplificare e velocizzare il rapporto con un’autorità – il Garante della privacy in Italia – nel caso nasca un processo di verifica da parte di quest’ultimo. Se nominato infatti deve essere comunicato necessariamente al Garante. Per questo motivo che il DPO è necessario in grandi organizzazioni, che generalmente trattano un grande numero di dati e cioè su larga scala, proprio come indicato nella descrizione del responsabile della protezione dei dati.

Ora che abbiamo definito chi sono i soggetti e hai quindi individuato il tuo ruolo, valutiamo ora quali sono gli argomenti su cui il proprietario di un sito web – quindi il titolare del trattamento – deve concentrarsi per rispettare il regolamento. Ci concentreremo quasi esclusivamente sulle modifiche che introduce il regolamento, parto con il presupposto che tu stia già rispettando l’attuale legge sulla privacy.

L’atto del consenso, un’azione fondamentale

Il consenso al trattamento dei dati deve essere un atto positivo e inequivocabile, con il quale l’utente deve manifestare la sua volontà di accettare il trattamento dei dati personali. Non è possibile pre-selezionare il consenso al trattamento dei dati sul tuo sito web in fase di acquisizione dei dati.

Ci deve essere un consenso specifico per ogni finalità. Non puoi proporre un consenso con una specifica finalità e poi utilizzarlo per una completamente diversa. Un esempio di cambio di finalità potrebbe essere chiedere un indirizzo di residenza dichiarandolo necessario per la spedizione di un prodotto e successivamente utilizzarlo per finalità di marketing, come l’invio di un volantino pubblicitario. Oppure chiedere un indirizzo email per confermare la registrazione sul sito web necessario alla gestione di un servizio e poi iscrivere l’utente alla newsletter del blog del sito stesso.

Da parte del titolare del trattamento deve essere sempre possibile dimostrare che l’individuo abbia acconsentito al trattamento dei dati. Devi quindi sempre poter dimostrare che un utente abbia dato il consenso al trattamento dei dati, ma come? lo vedremo nella sezione dedicata ai CMS.

Il consenso deve poter essere revocato con la stessa facilità con cui è stato accordato. Non puoi chiedere ad un utente di inviare un fax, una raccomandata o un piccione viaggiatore per revocarlo.

Per concludere, il consenso non può essere espresso da un minore di 16 anni, per questi utenti serve il consenso di un genitore o di chi ne fa le veci.

I diritti degli utenti e come rispettarli

Il regolamento sancisce in maniera molto ben definita quali siano i diritti degli utenti, approfondiamone insieme il significato e scopriamo come i CMS ti vengono in aiuto per rispettarli.

Diritto di accesso ai dati

Gli utenti devono avere la possibilità di conoscere se i propri dati siano o meno trattati da un’azienda e, se trattati, poter richiedere una copia dei dati personali oggetto del trattamento. Insieme alla copia dei dati è necessario anche indicare il periodo di conservazione degli stessi.

Diritto di cancellazione (oblio)

Gli utenti devono avere la possibilità di richiedere la cancellazione dei dati personali che li riguardano, se non sono più necessari alle finalità per i quali sono stati raccolti o trattati o se hanno revocato il consenso su cui si basa il trattamento stesso.

Per fare un esempio pratico, se erogate un servizio in abbonamento per un anno, l’utente non può richiedere la cancellazione dei suoi dati finché il servizio non è scaduto, mentre se ha prestato il consenso esclusivamente per attività di marketing e successivamente lo ha revocato, potrete – anzi siete obbligati – eliminare i suoi dati.

Dal diritto di cancellazione sono escluse ovviamente tutte le casistiche in cui il titolare del trattamento è obbligato per legge alla conservazione dei dati.

Se ad esempio avete un e-commerce, un utente ha acquistato un prodotto da voi e successivamente richiede la cancellazione dei suoi dati, ha tutto il diritto di farlo; salvo per la fattura che, come prevede la legge italiana, è obbligatorio conservare per dieci anni.

Diritto di limitazione del trattamento

Gli utenti devono poter chiedere la limitazione del trattamento, che prevede una sorta di congelamento dei dati.

Se un utente chiedesse di esercitare questo diritto, la modalità dovrebbe prevedere lo spostamento dei dati su un sistema di trattamento ad hoc, i dati dovrebbero essere segnalati come “limitati” e non dovrebbero essere più trattati in alcun modo, né modificati.

La limitazione può essere richiesta nei casi in cui l’utente verifichi un illecito nel trattamento e si opponga alla cancellazione dei dati oppure nel caso ne abbia necessità di mantenimento poiché utili a fini giudiziari.

Diritto alla portabilità

Gli utenti devono poter richiedere la portabilità dei dati personali conservati in un formato strutturato e di uso comune, per poterli eventualmente trasmettere ad un altro titolare del trattamento. Un file excel per esempio potrebbe tranquillamente essere considerato un formato sufficientemente portabile, ma se utilizzi un CMS prosegui la lettura e scopri come ti aiuterà a rispettare anche questo diritto.

CMS e applicazioni web vengono in tuo aiuto

Ora che conosci quali sono i diritti dei tuoi utenti, passiamo ad una delle più importanti novità introdotte, la necessità dell’agevolazione dell’esercizio dei diritti. In pratica è la possibilità di agevolare la richiesta da parte degli utenti di chiedere un trattamento specifico dei loro dati personali. A mio parere è questa la novità più importante del GDPR.

Ho analizzato come le community dei software più utilizzati dai nostri clienti nei nostri servizi di hosting, quindi Joomla!, WordPress, PrestaShop e Moodle, abbiano valutato ed implementato soluzioni al fine di coadiuvare l’adeguamento al GDPR. Vediamo insieme come ti vengono in aiuto e possano agevolare l’esercizio dei diritti dei tuoi utenti.

Joomla! e GDPR

La versione di 3.9, non ancora rilasciata nel momento in cui scrivo questo articolo, introdurrà il componente com_privacy che presenta diverse features riguardanti il GDPR.

Saranno infatti disponibili: la richiesta di consenso per i form di registrazione o contatto, API apposite per gli sviluppatori di estensioni, la possibilità sia per gli utenti che per gli amministratori di tracciare lo stato delle richieste, scaricare i dati e accedervi facilmente sia da frontend che da backend.

WordPress e GDPR

La versione 4.9.6, rilasciata il 17 maggio 2018 permette di impostare molto facilmente una pagina di privacy e policy e di estrapolare, trattare ed eliminare i dati degli utenti lato backend e introduce in fase di commento sul sito la possibilità agli utenti di scegliere se salvare i loro dati nel browser per i commenti successivi. Ecco il link ufficiale della release 4.9.6 di WordPress.

PrestaShop e GDPR

Riguardo le versioni 1.7 è già presente un modulo nel backoffice, cercate “GDPR” nel tab moduli.

Per le versioni 1.6 è presente un modulo a pagamento creato proprio da PrestaShop, che permette di adeguare il proprio e-commerce al GDPR, lo trovate qui nel marketplace presente sul sito ufficiale.

Per le versioni 1.5 invece non è ancora stato rilasciato un modulo apposito per il momento, tieni d’occhio il marketplace perché anche il modulo per questa versione sarà a pagamento.

Moodle e GDPR

La versione 3.5 di Moodle uscita il 17 maggio 2018, è conforme al GDPR. Sono state introdotte più di venti features per aiutare gli amministratori dei siti web a trattare i dati degli utenti.

Per le versioni di Moodle 3.3 e 3.4 invece, sono disponibili a questo link due plugin, ma ricordati che è necessario aggiornare moodle all’ultima release della versione 3.3 e 3.4 per poterli installare ed utilizzare correttamente.

Attenzione: utilizzare un CMS o un software che ti aiuti ad essere compliant con il regolamento, non significa esserlo automaticamente. Gli strumenti non ti saranno utili se non analizzi la tua situazione personale o aziendale e valuti autonomamente che utilizzo fai dei dati personali dei tuoi utenti.

Ogni sito web è diverso dall’altro e tratta i dati personali diversamente, non è quindi possibile adottare una soluzione pronta che sia davvero valida.

Più in generale ogni CMS, plugin di newsletter, plugin di form di contatti, soluzione per e-commerce e così via, dovrebbe essersi adattato al nuovo regolamento. Abbiamo informazioni relative a diverse aziende che sviluppano questi plugin che hanno rilasciato versioni apposite per il nuovo regolamento.

Il modo migliore per adeguarsi al GDPR è quindi usare strumenti conformi, in modo consapevole. Verifica sui siti web dei produttori dei plugin che utilizzi se sono state rilasciate nuove versioni e quali sono le nuove funzionalità.

Come adeguare l’informativa sulla privacy

L’informativa sulla privacy e policy del tuo sito dovrà essere modificata per rispettare il nuovo regolamento. Sei sicuramente nella condizione di partire con una base solida perché dovresti già avere un’informativa pubblicata sul tuo sito, devi solo verificare ed eventualmente aggiungere se non presenti, alcune informazioni. Ecco cosa deve contenere l’informativa:

• L’identità e i dati di contatto del titolare del trattamento.
• Dove esistente, i dati di contatto del DPO. Ricorda che il DPO non è sempre necessario, ne abbiamo parlato nella descrizione dei soggetti all’inizio dell’articolo.
• La finalità del trattamento dei dati, quindi per quale motivo tratterai i dati. Ad esempio per l’erogazione di un servizio, per la consegna di un prodotto o per finalità di marketing.
• Gli eventuali destinatari o categorie di destinatari dei dati personali.
• Il periodo massimo di conservazione dei dati personali ove non più necessari.
• L’esistenza del diritto da parte dell’utente di chiedere al titolare del trattamento l’accesso, la modifica e la cancellazione dei dati o la revoca del consenso in qualsiasi momento.
• L’esistenza del diritto da parte dell’utente di fare un reclamo a un’autorità di controllo dei dati.
• Se la comunicazione dei dati è necessaria per la conclusione del contratto e se l’utente ha l’obbligo di fornire i suoi dati personali, comprese le conseguenze della mancata comunicazione dei suoi dati.
• L’esistenza di un processo decisionale completamente automatizzato, compresa la profilazione, la sua eventuale logica di funzionamento, l’importanza e le conseguenze previste di questo trattamento automatizzato.

Come cambia il WHOIS dopo il GDPR

Il whois dei domini è sempre stato uno strumento molto potente per internet. Fino ad ora lo hai utilizzato per ottenere informazioni come indirizzo email, nome e cognome del proprietario di un dominio, il provider che lo mantiene e così via.

Tante aziende di cybersecurity lo utilizzano per notificare, ai proprietari dei nomi a dominio e agli hosting provider come noi, violazioni della proprietà intellettuale, problemi di sicurezza o comportamenti criminali come il phishing. Si tratta quindi di uno strumento essenziale al fine di rendere internet un posto migliore per le persone.

Ma..dal 25 Maggio 2018 il whois dei domini diventa incompatibile con i principi della privacy dei dati che il GDPR introduce. 

Il 17 maggio 2018 – davvero pochi giorni fa – l’ICANN ha deliberato la specifica temporanea sui dati di registrazione dei gTLD. Nella delibera viene indicato che i dati del proprietario del nome a dominio non debbano essere pubblicati nel whois per adeguamento al GDPR, al contempo il GDPR indica che sia possibile per “legittimo interesse” ottenere dati personali e abbiamo detto prima che i dati del whois sono essenziali per alcune interrogazioni mirate alla stabilità della rete. Quindi come si risolve l’intreccio?

L’idea è quella di consentire, esclusivamente ad aziende o enti che ne hanno legittimo interesse, l’accesso ai dati presenti nel whois. Una sorta di whois “chiuso” (detto anche gated whois) e non pubblico tramite il quale si possano continuare ad eseguire alcuni controlli sui proprietari dei nomi a dominio.

Come indicato prima, la specifica è temporanea ed è stata deliberata pochi giorni fa, attendiamo e vediamo cosa ci aspetta nel prossimo futuro.

Ecco gli unici i dati che da oggi vedrai nel whois pubblico

Da oggi quando farai un whois di un dominio non vedrai più alcun dato personale del registrante. Gli unici dati del dominio che saranno disponibili saranno:

• Le date di registrazione e scadenza
• Lo status
• I nameserver
• Il provider presso cui è registrato

L’opzione della privacy del dominio è ancora necessaria?

La domanda che ora sorge spontanea è: a cosa serve adesso l’opzione della privacy del dominio, se di base nessun dato del proprietario del dominio sarà visualizzato nel whois pubblico?

La verità è che l’opzione della privacy si è trasformata. Se prima oscurava i dati del whois pubblico, ora invece conferisce queste caratteristiche:

• Oscura i dati anche nel whois chiuso, accessibile esclusivamente ad aziende o enti particolari.
• Permette al registrante del dominio di essere contattato tramite l’indirizzo email (fake) presente nel whois pubblico.

Il secondo punto potrebbe farti pensare che non hai alcun interesse a farti contattare. In realtà ci sono delle occasioni in cui sarebbe auspicabile che, come registrante del dominio, tu sia potenzialmente raggiungibile. Parlo di controversie legali, violazioni del copyright anche non volute, avvisi sullo stato di sicurezza del dominio e così via, ti consiglio di attivare questa opzione, non si sa mai.

Conclusioni

No, il GDPR non è un argomento facile da trattare e non è facile adeguarsi o analizzare se il tuo sito web rispetta il regolamento oppure no. Spero che questo articolo ti sia d’aiuto per la tua analisi e che possa guidarti ad un adeguamento davvero consapevole.

Ricorda che il GDPR nasce per tutelare i dati delle persone ma soprattutto per favorirne la libera circolazione e quindi creare un mercato europeo – anche mondiale, ormai l’abbiamo capito – più leale e con più concorrenza.

Nel regolamento infatti, in particolare per quanto riguarda la portabilità dei dati, l’Unione Europea auspica una collaborazione tra le aziende che erogano servizi o vendono prodotti, volta a trovare uno standard unico e consentire così all’interessato il passaggio facilitato da un titolare del trattamento ad un altro.

Pensa ad esempio quanto sarebbe facile passare da un operatore telefonico ad un altro, se i tuoi dati fossero esportabili e importabili nei sistemi gestionali delle due aziende, grazie ad uno standard ben definito. Sogno o realtà? Lascia la tua opinione nei commenti.