Il GDPR (General Data Protection Regulation) è il nuovo regolamento europeo in materia di privacy che entrerà in vigore il 25 maggio 2018 sostituendo il d.lgs. 196/2003 (o Codice Privacy) e le altre leggi privacy nazionali degli Stati Membri dell’Unione Europea. Questo uniformerà la normativa privacy a livello europeo.
Con il GDPR l’informativa Privacy diventa semplice, trasparente, comprensibile, senza riferimenti normativi, scritta in linguaggio corrente. La lettura deve essere a più livelli, un primo livello di lettura molto semplice a cui far seguire paragrafi di approfondimento.
Tutte le aziende dovranno aggiornare e completare la Privacy Policy e condividerla con utenti indicando principalmente le finalità e le modalità del trattamento dei loro dati personali e i soggetti ai quali i dati possono essere comunicati.
Dovranno nominare un DPO (Data Protection Officer), responsabile dati con il compito di verificare il corretto trattamento dei dati e predisporre della documentazione che raccoglie tutte le attività legate alla gestione dei dati e valutare le attività necessarie per gestire il trattamento dei dati in modo efficace. Nella documentazione ci deve essere ogni misura da attuare quando la sicurezza dei dati è a rischio.
I dati degli utenti possono essere usati per l’esecuzione di un contratto (esempio acquisto sul proprio ecommerce) e con la presenza di un consenso dell’utente (esempio iscrizione alla newsletter). Il consenso deve essere esplicito, libero, quindi non obbligatorio, specifico indicando le finalità d’uso dei dati, informato e sempre revocabile.
Il responsabile dati deve dimostrare con assoluta certezza che l’utente ha prestato il proprio consenso e deve archiviare questi consensi con tecnologie adatte a raccoglierli. I consensi acquisiti prima del 25 maggio restano validi purché il titolare sia in grado di dimostrare di averli raccolti in ottemperanza alla legislazione privacy in vigore prima del GDPR.
I dati non possono essere utilizzati liberamente per azioni di marketing diretto in assenza di un consenso informato.
Il consenso all’invio di comunicazioni commerciali può essere raccolto con una checkbox non preselezionata con un testo tipo “Acconsento a ricevere comunicazioni commerciali” oppure con una finestra che si apre con la domanda “Vuoi ricevere comunicazioni commerciali?” e le risposte “Sì/No” oppure con l’invio di una mail con il double opt-int con la verifica del proprio indirizzo email.
Se l’utente ha effettuato un acquisto e non ha tolto il consenso si possono inviare comunicazioni commerciali e newsletter riguardanti prodotti o servizi simili a quelli acquistati.
Novità del GDPR sono la portabilità del dato e il diritto all’oblio. L’utente deve potere accedere ai propri dati per modificarli o cancellarli.
La Cookie Law resta invariata, quindi è necessario predisporre e mostrare agli utenti una Cookie Policy, con le varie tipologie di cookie installate sul sito, mostrare alla prima visita di ogni utente un Cookie Banner con il link alla Cookie Policy, bloccare i codici che installano cookie di profilazione prima di aver raccolto il consenso degli utenti e registrare il consenso dell’utente.
Per avvisare i propri utenti cliente e rinfrescare i dati a questo punto per le aziende è utile inviare una comunicazione ai propri iscritti che indichi queste nuove norme.
Le sanzioni imposte dal GDPR arrivano fino a 20 milioni di euro e al 4% del fatturato mondiale. Le autorità competenti restano i singoli Garanti nazionali (in Italia il Garante per la protezione dei dati personali) ed i giudici competenti.
A differenza dei paesi UE, nel Regno Unito vale il meccanismo dell’opt-out, cioè viene automaticamente presunto il consenso a meno di una negazione esplicita.
Con l’introduzione del GDPR, Google invita a controllare le impostazioni di conservazione dati in Google Analytics impostandone il periodo di tempo di conservazione. Le impostazioni avranno effetto a partire dal 25 maggio 2018. Link: https://support.google.com/analytics/answer/7667196.
Google consiglia ai publisher (siti, blog) come ottenere il consenso all’uso dei cookie attraverso questa pagina https://www.cookiechoices.org/.