E-privacy e GDPRE-privacy e GDPR: come passare dalla teoria alla pratica

Questo è un post tecnico di 7 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Marzo 17, 2018 Aggiornato: Febbraio 2, 2020

Dopo aver letto un po’ di tutto sul nuovo regolamento europeo in materia di protezione dei dati personali e aver seguito diversi webinar, ho pensato di fare cosa gradita riportando in questo post le principali novità e gli aspetti pratici da considerare per adeguare i nostri blog WordPress ai nuovi regolamenti europei (E-privacy e GDPR).

Per chi non l’avesse ancora letta, in quest’altra guida ho affrontato la problematica del GDPR dal punto di vista delle soluzioni operative (alcune già definitive altre ancora in fase di evoluzione) da individuare per conformare i nostri blog WordPress al GDPR e alla direttiva e-privacy. Nella guida, per le grandi aziende, rinvio alla lettura del corso Gratis di MailUp a cui ha collaborato anche Avv. Marco Maglio (Presidente dell’Osservatorio Europeo sulla Data Protection) e altri.

Principali novità in materia di protezione dei dati personali nel GDPR

(Clicca qui per passare direttamente agli aspetti pratici)

## Figura del Titolare, Responsabile, Incaricato, Interessato

Secondo l’attuale codice della privacy – Dlgs 196/03 – esistono tre attori principali:

• il Titolare non viene mai nominato: si diventa titolari (persona fisica o giuridica) in quanto tale: esempio, azienda in quanto tale;
• il Responsabile: nomina facoltativa. Ma nel GDPR diventa obbligatoria, in pratica è colui il quale elabora i dati per conto del titolare del trattamento;
• l’Incaricato: si tratta di una nomina obbligatoria. Gli incaricati si possono identificare nei dipendenti che effettivamente fanno il trattamento dei dati. Nel GDPR questa figura non è esplicitamente menzionata ma la sua presenza viene richiesta implicitamente.
• l’Interessato: è la persona fisica a cui si riferiscono i dati.

## Diritti tutelati dal GDPR

## Informazione nel GDPR

Il primo degli otto diritti previsti dal GDPR è il diritto all’informazione. Questo significa che devi avere nel tuo sito web una chiara e trasparente Privacy Policy dove indicare quali dati raccogli e per quali finalità.

## Consenso nel GDPR

Altro punto fondamentale del GDPR è il consenso che deve essere dato dagli interessati in maniera esplicita (cioè senza caselle di controllo già selezionate). Il Consenso deve essere specifico e  deve essere richiesto separatamente per ciascuna delle tue finalità. (Una casella per le newsletter commerciali, una per i termini e condizioni, una per la profilazione etc.)

• Non è ammessa la raccolta di un consenso unico ma deve essere specifico.
• L’interessato può in qualsiasi momento revocare il consenso.
• Il titolare ha l’onere di dimostrare di aver ottenuto il consenso.

Il Checkbox obbligatorio viene considerato uno strumento idoneo per raccogliere il consenso ma non sempre è necessario in quanto rappresenta solo una delle 6 basi legali per l’elaborazione e il trattamento dei dati personali. Se diventa complesso richiedere il consenso puoi fare riferimento ad un’altra base legale (giustificazione), ovvero puoi usare il consenso quando nessuna altra base legale può essere utilizzata.

## Conservazione dei dati nel GDPR

Altro aspetto fondamentale del GDPR è il periodo di conservazione dei dati. Non sono stati previsti periodi minimi o massimi. La regola generale è quella di non conversare i dati per un periodo superiore al tempo per cui i dati sono stati inizialmente richiesti.

Diventa così fondamentale inserire nella tua Privacy Policy il periodo di conservazione dei dati ovvero i criteri utilizzati per determinarne il tempo di conservazione.

## Sicurezza e Violazione dei dati nel GDPR

Il GDPR, tra gli altri obblighi, richiede di trattare i dati degli utenti in maniera sicura e protetta. Al riguardo devi attrezzarti per prevenire un uso dei dati non autorizzato e/o la perdita accidentale, la distruzione o il danneggiamento degli stessi.

## Il data breach nel GDPR

In caso di violazione dei dati personali, essa deve essere notificata entro 72 ore dal momento in cui il titolare ne viene a conoscenza ma solo se il titolare valuta che derivino rischi per gli interessati (principio di accountability).

## Trasferimento internazionale dei dati nel GDPR

Il GDPR impone inoltre limitazioni anche per quanto riguarda il trasferimento dei dati personali fuori dell’Unione Europea.

I dati possono essere trasferiti fuori dall’U.E. ma solo verso quei paesi che la Commissione Europea ha ritenuto sicuri ovvero in possesso di un adeguato livello di protezione e di strutture adeguate.

Il problema in questo caso è che molti blogger utilizzano servizi, quali Email Marketing, servizi hosting, che nella maggior parte dei casi vengono forniti da società con sede negli Stati Uniti e che quindi vengono considerate come società appartenenti a paesi non sicuri.

In questi casi devi affidarti solo a quelle società che sono in possesso degli standard minimi richiesti dalla Commissione Europea per la protezione dei dati personali.

## Il diritto alla portabilità del dato nel GDPR

Diritto dell’interessato di ricevere i dati che egli ha comunicato a un Titolare in formato elettronico per poterli conservare o trasferire ad altro titolare (es. Cambio provider email).

## Il diritto all’oblio nel GDPR

Gli interessati hanno diritto di chiedere al titolare la cancellazione dei dati che li riguardano nei casi consentiti. Non solo è prevista la revoca del consenso ma anche il diritto alla cancellazione dei dati.

## Raccolta dati, aggiornamento e cancellazione nel GDPR

In questo caso devi sapere quali dati stai memorizzando sul tuo sito web, con quale applicazione (plugin) e in che modo estrapolarli (di solito in cvs) nel caso di richieste da parte dei tuoi utenti.

## Il principio dell’accountability nel GDPR

L’accountability (rendicontazione): il titolare ha maggiore discrezionalità ma anche responsabilità sui trattamenti che va ad effettuare. In particolare deve:

• Effettuare una valutazione basata sul rischio.
• Tenere il registro dei trattamenti per aziende con più di 250 dipendenti.

## Privacy by Design e Privacy by Default

– Privacy by Design: nelle prime fasi di progettazione di un progetto informatico, le problematiche relative alla privacy devono essere affrontate da subito per valutarne l’impatto.

– Privacy by Default: il titolare deve essere in grado di fornire agli interessati un progetto con impostazioni di default che proteggono la privacy.

## Il Data Protection Impact Assessment (DPIA)

E’ il processo interno all organizzazione che permette al titolare:

• di valutare i rischi inerenti a una nuova attività di trattamento;
• di rendere effettivi i principi di privacy by design e default.

Il DPIA può prevedere anche il coinvolgimento dell’autorità di controllo ovvero la consultazione con il Garante ma sempre dopo una valutazione preliminare legata al trattamento dei dati che si intende effettuare.

## Il Registro del Trattamento

Obbligatorio per le aziende con più di 250 dipendenti, è la fotografia dei trattamenti che effettua il Titolare. Deve contenere:

• quali dati vengono trattati;
• le finalità del trattamento;
• chi accede ai dati all’interno e all’esterno della azienda;
• se avviene il trasferimento dei dati all’estero;
• se si adotta una politica di data retention (conservazione dei dati entro un tempo massimo).

## Il Data Protection Officer (DPO)

E’ lo specialista con poteri di supervisor, consultivi ed il punto di contatto tra l’azienda e il mondo esterno (garante privacy o altri).

Deve essere nominato obbligatoriamente quando:

• il trattamento viene effettuato da un’autorità di un organismo pubblico;
• le attività principali del titolare consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
• le attività principali del titolare consistono in trattamenti di dati sensibili o giudiziari.

Non è una figura certificata e non esistono albi specifici.

Non è un ruolo esclusivo ma può coesistere con altri ruoli aziendali ad es responsabile legale.

Deve essere indipendente e avere sufficienti risorse per poter esercitare il suo ruolo oltre ad essere in diretto contatto con i vertici aziendali.

Aspetti pratici del GDPR e WordPress

Non c’è dubbio a questo punto che il nuovo regolamento europeo (GDRP) introduce norme molto stringenti per la protezione dei dati personali.

Se nel tuo sito web stai memorizzando dati personali dei cittadini appartenenti all’U.E. sei soggetto agli obblighi previsti dal GDPR.

Elevate sono anche le sanzioni stabilite dal nuovo regolamento europeo ma la questione deve essere affrontata senza troppi allarmismi perché è stato comunque previsto un maggior coinvolgimento da parte delle autorità di controllo nella risoluzione delle problematiche.

Il vero intento del GDPR non è quello di punire i siti web che non si adeguano ma è di dare maggior valore alla tua azienda e ai tuoi acquirenti, proteggendo i dati personali e uniformando le privacy policy in tutto il territorio europeo.

## Cosa devi fare per adeguarti al GDPR?

Premetto che non sono un legale e che queste informazioni sono il risultato delle ricerche che ho fatto su Internet per cercare di adeguare il mio e il tuo blog WordPress al GDPR, pertanto se qualcosa non ti sembra corretto, fammelo sapere subito contattandomi qui.

## WordPress e GDPR

WordPress è un progetto open source nato negli Stati Uniti e come tale non ancora conforme al GDPR, ma già dalle ultime versioni, sono state integrate tantissime funzioni utili all’adeguamento dei nostri siti web al GDPR.

Date queste premesse, il miglior consiglio che posso darti è quello di raccogliere solo i dati che sono effettivamente necessari alle tue finalità.

Meno dati memorizzi sul tuo sito web, meno saranno i problemi di cui ti dovrai preoccupare.

Elimina anche tutti quei dati che fino a questo momento hai raccolto senza il consenso degli interessati.

## Privacy Policy nel GDPR

La Privacy Policy è un documento che informa gli utenti del tuo sito web in merito al trattamento dei loro dati personali.

La Policy è obbligatoria quando:

• il sito web raccoglie dei dati personali. Esempi di dati personali: un indirizzo di posta elettronica, nome e cognome dell’utente, un cookie;
• i dati sono raccolti per fini non esclusivamente personali;
• è chiamato in causa un terzo soggetto tra mittente e destinatario dello scambio di dati.

Si compone delle seguenti informazioni:

• 📌 I dati personali raccolti.
• 📌 Le modalità di raccolta.
• 📌 Gli scopi di tale raccolta di dati.
• 📌 Titolare del sito web.

Deve indicare i dati del titolare del sito web:

• 🔎 URL del sito web.
• 🏬 Indirizzo della sede legale.
• Città, Cap, Stato.
• Indirizzo di posta elettronica 📧.
• ☎ Numero di telefono fisso / mobile.

La Policy deve specificare 🤔:

• tutti i diritti tutelati dal GDPR;
• i servizi di terze parti che profilano gli utenti con l’indicazione per ciascun servizio della relativa privacy policy (es. Google Analytics, GetResponse, etc.)
• come proteggi i dati dei tuoi utenti, ad esempio attraverso una costante scansione Malware;
• le policy di sicurezza 🔐 che il tuo sito web sta utilizzando attraverso l’hosting web;
• come vengono processate le transazioni se gestisci un negozio online (in questo caso, ti consiglio di installare un certificato SSL), ad esempio attraverso un gateway provider (es. Paypal) piuttosto che conservarle presso il tuo hosting.

📌 La Privacy Policy deve rimandare anche ad una chiara e dettagliata Cookie Policy 🍪

Se il tuo sito usa cookies devi tener presente che i cookies sono dati personali degli utenti e quindi costituiscono presupposto per la redazione obbligatoria della Privacy Policy e per il rispetto degli obblighi imposti dal GDPR.

Tramite i cookie è possibile tracciare la navigazione dell’utente al fine di individuare le sue preferenze e mostrargli prioritariamente in occasioni di visite future contenuti per lui più interessanti.

In questo caso, devi obbligatoriamente inserire nel tuo sito web anche una chiara e dettagliata Cookie Policy e questo documento integrativo deve specificare se usi cookies e perché. In aggiunta, devi anche ricevere il consenso in maniera esplicita (il consenso deve essere preventivo, informato e documentato).

Generatore di Privacy Policy GRATIS conforme al regolamento europeo in materia di protezione dei dati personali (GDPR): Prova il generatore Privacy Policy conforme al GDPR

Quali soluzioni offre la rete?

Per risolvere il problema del consenso e della Informativa Privacy completa (Privacy Policy + Cookie Policy) e, quindi, essere in regola con le nuove normative europee, durante le mie ricerche ho individuato diverse soluzioni, alcune già complete altre in fase di sviluppo:

• • Cookiebot che utilizzo personalmente (utile per il consenso lato cookie + Cookie Policy) e le cui caratteristiche sono state descritte ampiamente in questa guida. Tra gli altri, offre anche un servizio per verificare se il tuo sito web è conforme al GDPR che puoi utilizzare direttamente da qui;
  • Cookie-script conforme al GDPR e alla direttiva e-privacy per quanto riguarda il banner per il consenso sui cookie. Questa soluzione rappresenta una valida alternativa economica agli altri tool oggi presenti su Internet.
  • Cookie Control: un altro tool utile per il consenso lato cookie, perfettamente compatibile con la direttiva e-privacy e il regolamento europeo in materia di protezione dei dati personali (GDRP).
  • Iubenda Cookie Solution: si tratta della soluzione integrata di Iubenda per il blocco preventivo dei cookie e per la redazione della Privacy Policy + Cookie Policy.
  • EUCookieLaw il famoso plugin di Diego La Monica che già in passato ha rappresentato la migliore soluzione Gratis definitiva per essere veramente in regola con la Cookie Law Italiana.Finalmente disponibile EUCookieLaw3:
    – La versione Javascript per chi volesse implementarlo in qualsiasi sito senza passare dal Builder https://github.com/diegolamonica/EUCookieLaw3
    – La versione per WordPress https://github.com/diegolamonica/EUCookieLaw3-wp
    Buon adeguamento a tutti!!!

Infine, ricorda sempre di invitare gli utenti a controllare periodicamente la Privacy Policy del tuo sito web per individuare eventuali aggiornamenti apportati dal titolare.

Fino al 25 Maggio 2018 era in vigore il vecchio codice privacy. Dopo tale data, devi aggiornare la Privacy Policy ai nuovi obblighi europei.

Come già ti ho consigliato in questa guida, la soluzione più semplice, economica e completa per generare una Privacy Policy adeguata e aggiornata alle nuove normative europee (GDPR) è rappresentata dal sito Iubenda.

Approfondimento: guarda il video che spiega la nuova privacy nella pratica: risponde l’avv Maglio (Presidente dell’Osservatorio Europeo sulla Data Protection). Si tratta di un webinar dedicato alla riforma europea per passare dalla teoria alla pratica, e adeguarti alle nuove disposizioni normative.

## Hosting Web nel GDPR

Se come me hai scelto Siteground come hosting web, queste sono le informazioni sulla loro politica di sicurezza dei dati che andranno aggiunte alla tua privacy policy:

• Sicurezza fisica di alto livello: tutte le strutture sono protette da vigilanza 24/24, allarmi su tutti gli accessi, atrio antiproiettile e video sorveglianza.
• Ridondanza di impianti elettrici: le interruzioni di energia elettrica, sono impedite da più alimentazioni, generatori propri di energia e la tecnologia UPS di classe aziendale.
• Site Scanner Malware Monitoring: questo scanner ti aiuta a proteggere il tuo sito scannerizzando e analizzando le tue pagine contro possibili malware.
• Backup istantaneo On Demand: oltre ai backup automatici giornalieri, Siteground ha aggiunto l’opzione per creare autonomamente backup istantanei su richiesta.
• Sede legale SiteGround Italia Srl.: via Agnello 8 – 20121, Milano (MI).

Considera di aggiungere tutte le informazioni sulla politica di sicurezza dei dati ospitati sul tuo hosting web all’interno della tua Privacy Policy.

## Moduli contatti, commenti e newsletter nel GDPR

Ovunque ormai su Internet si parla di utilizzare una checkbox obbligatoria da far spuntare agli utenti per richiede il consenso al trattamento dei loro dati personali.

Pur essendo il consenso un punto principale del GDPR non sempre è necessario. Se la richiesta del consenso diventa complessa sarà sempre possibile scegliere una diversa base legale per richiedere l’autorizzazione all’uso dei dati personali.

In generale, non è necessario il consenso se esso rappresenta una precondizione per l’utilizzo del servizio.

Con ciò non voglio sostenere che non deve essere utilizzata la casella di controllo obbligatoria per richiedere il consenso ma semplicemente che non sempre è necessaria.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso (non ambiguo dell’individuo), cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se:

• è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte (Esigenza contrattuale);
• è necessario per adempiere ad un obbligo legale (Conformità a obblighi legali);
• è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona (Interesse vitale dell’individuo);
• è necessario per l’esecuzione di un compito di interesse pubblico (Interesse pubblico);
• è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati (Interesse legittimo del controllore dei dati).

Faccio un esempio pratico!

Nel modulo commenti classico che normalmente viene utilizzato sui siti web WordPress per scambiarsi informazioni con i propri visitatori (di cui non si conosce assolutamente nulla), la richiesta del consenso può rappresentare una precondizione per l’utilizzo del servizio.

Per l’interessato:

non posso usare il servizio commenti se non fornisco i miei dati e sono perfettamente a conoscenza che sto commentando un articolo piuttosto che registrami alle newsletter del sito web.

Per il titolare:

non è possibile rispondere ad una richiesta se non si conosce il nome o l’indirizzo email dell’utente.

Essendo perfettamente chiaro all’interessato che i suoi dati sono necessari per riscontrare una sua richiesta, sarà possibile applicare un’altra base giuridica equivalente al consenso, ovvero all’art 6 (1) (e) del GDPR:

art 6 (1) (e) – il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Ciò non ti esime però dal rispetto degli altri obblighi di carattere generale imposti dal GDPR, ovvero:

• inserire nel modulo commenti un link alla Privacy Policy dove vengono spiegate in modo chiaro e trasparente le finalità di utilizzo dei dati raccolti tramite il modulo;
• disporre di un apposito sistema per raccogliere, aggiornare e cancellare questi dati su semplice richiesta.

Quando è veramente necessario il consenso tramite checkbox?

Dalla mia personale interpretazione, questo tipo di consenso è sicuramente necessario in presenza di sistemi di email marketing inseriti come parte di un altro processo di raccolta dati.

Mi spiego meglio!

Non è legale utilizzare un modulo contatti per scambiarsi informazioni e poi tramite questo modulo aggiungere gli utenti alle tue liste di email marketing.

Se il tuo scopo è aggiungere gli utenti alle tue newsletter, devi inserire nel modulo contatti una checkbox obbligatoria anche per richiedere agli utenti il consenso per l’invio di email commerciali.

Stabilisci nella tua Privacy Policy quali sono le basi giuridiche da utilizzare per i diversi form (contatti, commenti, newsletter, etc.) presenti nel tuo sito web.

Aggiungi su ognuno di questi moduli un link alla tua Privacy Policy indicando che i dati saranno trattati e conservati in linea con la tua normativa sulla privacy.

Conservazione dei dati

Se raccogli dati personali devi poi conservarli. Stabilisci quindi nella tua Privacy Policy il periodo di conservazione al termine del quale dovrai procedere o manualmente o automaticamente tramite plugin alla loro eliminazione.

## I plugin sono una parte minima rispetto al GPDR

Anche se è vero che i plugin WordPress rappresentano una parte residuale rispetto alla totalità degli obblighi imposti dal GDRP è anche vero che bisogna distinguere caso per caso, azienda per azienda, sito web per sito web.

Per la quasi totalità dei siti web (non grandi aziende) con servizi più o meno standardizzati, i plugin WordPress rappresentano la migliore soluzione per adeguare il tuo sito WordPress alle nuove normative europee.

Tenendo conto di quest’ultima considerazione, ti segnalo alcuni plugin gratis e premium che si propongono di assolvere a tutti gli obblighi imposti dal nuovo regolamento europeo per la protezione dei dati personali.

• WPGDPR e Delete Me: già ampiamente descritti in questa guida.
• GDPR Swascan (Trial 3 mesi): si propone di aiutare il Data Controller, il Data Processor e il Data Protection Officer (DPO) a soddisfare gli obblighi e i diritti imposti dal GDPR.

Precisazione: non necessariamente devi utilizzare tutti i plugin indicati in questa guida. Scegli solo quelli che ti servono in base alle specifiche esigenze del tuo sito web.

##  E-commerce nel GDPR

Il plugin WordPress WooCommerce memorizza i dati degli utenti all’interno del tuo database di WordPress.

Inoltre, se utilizzi anche altre estensioni WooCommerce devi sempre verificare se queste ultime memorizzano dati personali e se quindi sono conformi al GDPR.

Conservazione dei dati

Woocommerce per impostazione predefinita conserva i dati per un tempo indeterminato. In questo caso devi indicare e stabilire nella tua Privacy Policy il periodo di conservazione di questi dati tenendo conto delle leggi fiscali vigenti. Decorso questo termine devi eliminarli.

Riassumendo…

• 📌 una Privacy Policy dove, tra gli altri punti sopra indicati, specificare in maniera semplice le finalità e le basi giuridiche rispetto alle quali stai effettuando il trattamento dei dati;
• 📌 una Cookie Policy chiara e dettagliata 🍪;
• 📌 un banner per il consenso che sia in grado, in qualsiasi momento, di documentarlo;
• 📌 un modo per aggiornare, modificare e/o cancellare i dati dei tuoi utenti;
• 📌 una checkbox obbligatoria o un’altra base giuridica (a seconda dei casi) + un link alla Privacy Policy dove viene indicato che i dati saranno trattati e conservati in linea con la tua normativa sulla privacy, in tutti i moduli (commenti, newsletter, contatti etc.) del tuo sito web;
• 📌 un sito sicuro ospitato su un server altrettanto sicuro (Personalmente, per la sicurezza 🔐 del mio blog ho scelto l’hosting web Siteground, già GDPR-compliant.

Spero con questa guida di aver dato un utile contributo al mio e a tutti i blog WordPress, che dal 25 Maggio 2018, devono uniformarsi alle nuove leggi europee.

Vuoi creare un sito web professionale?

Tutto quello che serve in un'unica guida

Acconsento al trattamento dei miei dati personali. Leggi la Privacy Policy.

si

SCARICA LA GUIDA PDF