Regolamento Europeo Privacy: nuove norme dal 25 maggio

Regolamento Europeo Privacy: cos’è?

Mediante il Regolamento Europeo Privacy o GDPR, il legislatore intende sia tutelare i cittadini che prestano il consenso al trattamento dei dati personali, che regolamentare la materia in maniera uniforme in tutta Europa.

Secondo la normativa, il consenso accordato dagli utenti che navigano all’interno di un sito internet deve essere informato ed esplicito. Ciò significa che ogni utente che raggiunge il tuo sito web deve confermare l’accettazione al trattamento dei dati personali. Ogni sito, inoltre, deve palesare la sua Privacy Policy. Ogni portale deve dichiarare quali dati dell’utente che raggiunge il sito raccoglierà e memorizzerà, da chi verranno trattati e per quanto tempo saranno custoditi.

Secondo la norma europea, quindi, devi fornire ai visitatori la possibilità di negare il consenso al trattamento dei dati personali o comunque di modificarlo in qualsiasi momento. In buona sostanza, se un utente che ha visitato il tuo sito ha fornito il consenso ai dati personali e successivamente non intende più accordartelo deve avere la possibilità di cancellare i suoi dati in qualsiasi momento.

La Legge sulla e-privacy coinvolge tutti i siti web i cui titolari hanno sede nell’Unione Europea o i siti che interagiscono con utenti residenti in Unione Europea, in buona sostanza interessa tutti i siti internet del mondo.

Per prendere coscienza della portata del nuovo Regolamento Europeo sulla Privacy, puoi leggerlo per intero sulla Gazzetta Ufficiale dell’UE.

Il Regolamento Europeo Privacy in pratica

Sul web il trattamento dei dati personali è l’elemento che riveste maggiore importanza. La norma intende come “dati personali” qualsiasi genere di informazione che riguardi la persona fisica. Rientrano, quindi, nei dati personali il nome, l’indirizzo e-mail, l’indirizzo di residenza, i dati bancari, l’indirizzo IP e la foto.

I siti internet hanno la capacità di elaborare questi dati. Per elaborazione dei dati si intende, ad esempio, la memorizzazione dell’IP di un utente, così come qualunque operazione che prevede l’utilizzo dei dati personali. Un esempio di tale utilizzo è proprio la memorizzazione dell’IP mediante i cookie.

Il nuovo regolamento europeo privacy regolamenta sia l’uso dei singoli dati che l’utilizzo dei dati combinati, ovvero qualsiasi elaborazione che conduca all’individuazione di un utente.

La differenza fra il nuovo GDPR e la Cookie Law

Al punto 30 delle Considerazioni che precedono il Regolamento Europeo Privacy (UE) 2016/679 si legge:

“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Il punto 30 fa quindi riferimento ai cookie, ed peraltro l’unico in tutta la norma. Alcuni potrebbero pensare che non vi sia alcun mutamento rispetto alla Cookie Law.

Così non è. Attraverso questa considerazione il legislatore europeo sottolinea come i cookie abbiano un impatto considerevole sull’identificazione di un individuo attraverso il suo dispositivo. I dati che i cookie riescono ad ottenere durante la navigazione sono da ritenersi personali, quindi devono essere trattati conformemente alla nuova normativa.

Prendiamo l’uso di Google Analytics, lo strumento di Big G. adoperato ormai su quasi tutti i siti web. Se all’interno del tuo sito web adoperi Google Analytics in forma non anonima, allora i suoi cookie memorizzeranno tutti gli indirizzi IP dei visitatori che approdano sul tuo sito. Ogni volta che attraverso il tuo sito vengono elaborati in qualche modo i dati personali degli utenti che visitano il tuo sito entra in gioco il rispetto del nuovo Regolamento Europeo sul Trattamento dei Dati Personali.

Quando la GDPR soppianta la Cookie Law

Tutti i cookie, sia di proprietà del tuo sito che di terze parti, come i cookie di pubblicità o quelli di servizio, i  cookie che effettuano analisi non anonimizzate e i tool adoperati per effettuare sondaggi o per dar vita a chat, devono essere conformi alla legge.

Ai sensi del nuovo regolamento europeo sulla e-privacy tu, in qualità di titolare del tuo sito sei:

• Responsabile della protezione dei dati dei tuoi visitatori, raccolti o memorizzati tramite i cookie di terze parti;
• Obbligato a informare gli utenti sul modo in cui i dati saranno utilizzati.

Ciò significa che nel caso in cui sul tuo sito sono presenti cookie che elaborano dati diretti o collegabili ad un utente, mediante i quali è possibile rintracciarlo è necessario aggiornare il consenso ai cookie secondo quanto previsto dal regolamento europeo Privacy.

Il GDPR impone ad ogni sito di possedere la documentazione di ogni consenso al trattamento dei dati personali ricevuto dai visitatori. La documentazione deve contenere quali dati saranno condivisi con servizi e strumenti di terze parti, e dove verranno inviati questi dati.

In sostanza ogni sito deve sottolineare all’interno del consenso:

• Quali dati personali sono registrati
• Quale servizio attua la monitorizzazione
• Lo scopo dell’elaborazione dati
• Dove andranno a finire i dati
• Per quanto tempo saranno conservati

Cosa succede a chi non si adegua? Le sanzioni

I siti internet che entro il 25 maggio 2018 non si adegueranno al GDPR, verranno sanzionati con una pena pecuniaria. Le multe possono raggiungere i 20 milioni di euro o il 4% del fatturato annuo, riferito all’esercizio precedente.

A valutare gli adeguamenti sarà una società, istituita entro il 25 maggio 2018 in ogni Stato Membro. Sarà quindi tale società ad indicare le misure necessarie per correggere il sito e infliggere le multe.