Pubblicato il Lascia un commento

GDPR: un’opportunità per gli eCommerce

Gli interventi formativi e le pubblicazioni contenenti i passaggi decisivi e le conseguenze pregiudizievoli previste dal regolamento europeo non sono certo stati esigui in tutti questi mesi, eppure negli operatori permane ancora incertezza sul percorso da intraprendere verso la compliance al GDPR. La preoccupazione è ben comprensibile in quanto il GDPR rappresenta una vera e propria svolta epocale che porta le aziende a prevedere un nuovo sistema, inspirato alla trasparenza, alla legalità ed alla correttezza nel trattamento dei dati personali.

Il punto di partenza è senza dubbio la consapevolezza. L’adeguamento ai nuovi adempimenti deve essere frutto di presa di coscienza da parte del responsabile del trattamento e/o responsabile  in ordine ai nuovi obblighi ed alle sanzioni che a breve diverranno applicabili. Vediamo quindi cosa cambierà.

Vedi il regolamento: General Data Protection Regulation

A CHI SI APPLICA IL REGOLAMENTO?

Il GDPR si applica a qualsiasi organizzazione nell’Unione Europea che tratti dati personali, indipendentemente dal fatto che l’organizzazione abbia una presenza nell’Unione europea o dal fatto che il trattamento sia condotto all’interno dell’Unione europea.

Pertanto, se l’azienda raccoglie, archivia, gestisce o analizza dati personali di qualsiasi tipo, inclusi gli indirizzi email, è probabile che sia tenuta all’applicazione del GDPR.

COSA CAMBIA CON IL GDPR?

Rispetto al passato, il principale cambiamento è costituito dall’obbligo di reimpostare un processo sostanziale in base al concreto rischio collegato al trattamento dei dati.

La Protezione dei Dati Personali all’interno di un’organizzazione aziendale non costituirà più un semplice e formale adempimento, ma costituirà per l’azienda un punto di partenza importante per affermarsi sul mercato in modo altamente competitivo.

QUALI SONO LE PRINCIPALI NOVITA’?

Il GDPR stabilisce una serie di requisiti relativi al consenso, ai diritti individuali e al trattamento dei dati. In via non esaustiva si analizzano quelli più significativi

Consenso

Il consenso è fra i requisiti che il GDPR disciplina con maggiore attenzione e rigore. La nuova disciplina richiede che sia: informato ,esplicito, inequivocabile; libero; specifico;  verificabile;  revocabile.
Le organizzazioni hanno l’obbligo di presentare informazioni sul trattamento “in forma concisa, trasparente, intelligibile e facilmente accessibile, usando un linguaggio chiaro e chiaro” ( articolo 12 ). Laddove il trattamento dei dati si basa sul consenso, le organizzazioni necessitano del consenso esplicito degli individui e devono essere in grado di dimostrare che le persone hanno dato il consenso ( articolo 7 ).

Diritti riconosciuti agli interessati

Il GDPR estende la gamma dei diritti riconosciuti in capo agli interessati che sono i seguenti:

  • Diritto di accesso (art.15) che prevede la possibilità di chiedere la verifica dell’utilizzo dei dati ed anche una copia degli stessi.
  • Diritto di rettifica (art.16) che autorizza gli interessati a chiedere la correzione di dati personali inesatti;
  • Diritto di cancellazione (art.17) nel caso in cui i dati non devono più essere elaborati per il motivo originale sono stati raccolti, opposizione al trattamento, obbligo di cancellazione derivante da un obbligo di legge, illiceità del trattamento;
  • Diritto di limitazione del trattamento (art.18)
  • Diritto alla portabilità dei dati (art.20) consegnati all’interessato in formato strutturato e di uso comune e leggibile per la trasmissione ad altro titolare del trattamento senza impedimenti del precedente;
  • Diritto di Obiezione (art.21) rispetto al trattamento dei dati, alla profilazione ed al marketing diretto, salvo il caso previsto dal n.6.

L’informativa del trattamento dei dati personali

Le aziende che trattano dati hanno l’obbligo di fornire un’adeguata informativa, ai sensi dell’art.13 par.1 e 14 par.1  del GDPR. Tale informativa deve obbligatoriamente specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati (data retention) o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.  Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Riguardo la forma, il GDPR indica che sia resa in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile per iscritto, preferibilmente in formato elettronico, ma è ammessa anche la forma orale purchè sia provata con altri mezzi l’identità dell’interessato.  Particolari le prescrizioni previste per i minori

Cosa non cambia?

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

IL TRATTAMENTO  DEI  DATI

Il regolamento pone con forza l’accento sulla  “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento alla luce di alcuni criteri specifici indicati nel regolamento.

Il primo fra tali criteri è il “data protection by default and by design”,  che impone di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

 

I soggetti che effettuano il trattamento

 

Cosa non cambia rispetto al D.Lgs 196/2003?

l regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell’ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

I rapporti fra Titolare ed il Responsabile

Il Titolare è chi concretamente determina il modo in cui verranno utilizzati i dati personali, mentre il Responsabile chi elabora i dati personali per conto e sulle istruzioni del Titolare, ciascuno con  le responsabilità specifiche di ciascuna parte sono stabilite negli articoli 24-43 .

I rapporti fra entrambi sono disciplinati dall’articolo 28 che stabilisce che fra i Titolari ed i Responsabili devono esserci  contratti  che definiscono l’ambito del trattamento. Questi contratti devono essere “scritti, anche in formato elettronico”.

DPO (ART.37)

E’ un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/regolamentoue/DPIA). All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia, con eventuale successiva consultazione dell’Autorità, tranne alcune specifiche situazioni di trattamento (vedi art. 36, paragrafo 5 del regolamento). Peraltro, alle autorità di controllo, e in particolare al “Comitato europeo della protezione dei dati” (l’erede dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.

Registro dei trattamenti

Previsto dall’art. 30 per  i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio, si tratta in realtà di uno strumento fondamentale consigliabile a qualsiasi realtà aziendale. Rivela la sua utilità ai fini della dimostrazione dell’accountability, in caso di eventuale supervisione da parte del Garante, ma contribuisce a fornire quadro aggiornato dei trattamenti in essere all’interno di un’azienda. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.

Tuttavia, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all’art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

Notifica delle violazioni di dati personali (Data Breach)

A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85).

La tua azienda ha bisogno di una consulenza? Ti guidiamo verso la compliance!

Le aziende non sono tutte uguali ed hanno necessità di un’analisi personalizzata che valuti l’effettiva consistenza del trattamento concretamente effettuato e le misure realmente necessarie da un punto di vista legale e tecnologico.

 

Hai un eCommerce attivo?
SiNo

 

 
Pubblicato il Lascia un commento

Come Redigere una Cookie Policy Corretta

Il tuo shopping cart installa cookies? Molto probabile, anzi è quasi una certezza, quindi avrai bisogno di una Cookie Policy.
Infatti la quasi totalità dei carrelli elettronici memorizza dei piccoli file (c.d. cookie) nel computer del compratore. Questi files servono al tuo carrello elettronico per gestire il dato. I cookies creati dal nostro shopping cart sono chiamati Cookie Tecnici o Analitici di Prima Parte.

Il nostro carrello potrebbe inoltre creare dei cookie di profilazione che serviranno poi per individuare il cliente, profilarlo e riconoscerlo  e/o a raccogliere informazioni che serviranno poi per operazioni di marketing come il retargeting. Questi cookie sono invece chiamati Cookie di Profilazione di Prima Parte.

Oltre a questi cookies che possono essere generati dal nostro carrello elettronico (quindi di prima parte), possono esistere altri cookies che invece sono generati da altri.  Esempio classico i cookies di Google Analytics o di Facebook.
Anche in questo caso, i cookies sono differenziati secondo la finalità. Avremo quindi Cookies Analitici di Terze Parti e Cookies di Profilazione di Terze Parti

In linea di principio un eCommerce Manager dovrebbe sapere, almeno in linea di massima, quali cookies sono creati e utilizzati. Sappiamo che la realtà e ben diversa….

Quindi se hai anche un solo cookie (non importa di che tipo), allora sei sei soggetto a degli adempimenti formali che vanno dall’Obbligo dell’Informativa cookies, alla Pubblicazione del Banner cookies o alla Notifica al Garante.

Ma di cosa parliamo?

Con un provvedimento dell’8 maggio 2014, l’Autorità Garante ha provveduto all’Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie .

Il Garante ha individuato le varie possibilità del ricorso ai cookies e ha espressamente indicato quali atti debba compiere il venditore on-line per essere a norma.

L’autorità Garante ha inoltre specificato la tipologia dei cookie e in particolare, ha creato delle F.A.Q. dalle quali si può comprendere cosa siano le diverse tipologie di cookie.

Cosa sono i cookie “tecnici”?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

Cosa sono i cookie “di profilazione”?

Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

I cookie analytics sono cookie “tecnici”?

No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

Come redigere una corretta Cookie Policy?

Il primo passo importante per una corretta Cookie Policy è comprendere realmente quali cookies utilizziamo e soprattutto, nel caso di cookie analytics, come questi siano settati e che uso ne viene fatto. Una volta che avremo effettuato tali valutazioni, dovremo procedere all’adozione degli adempimenti conseguenti.

A titolo esemplificativo, riprendiamo la tabella  elaborata dal Garante, non più applicabile con riguardo all’obbligo di notifica (prima colonna a destra):

Cookies Policy

da cui deduciamo, ad esempio,  che:

se lo shopping cart utilizza solo solo Cookie Tecnici di Prima Parte, il titolare del webshop può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito;

se si utilizzano cookies di profilazione, prima della loro installazione sarà necessario acquisire il consenso. Il consenso può essere acquisito attraverso una informativa semplificata (detta anche Informativa Breve) dove compare l’esplicita richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare. Solo dopo aver acquisito il consenso, i cookies potranno essere memorizzati nel computer del cliente.

La redazione di una corretta Cookie Policy quindi non può e non deve essere lasciata a sistemi automatizzati e/o a valutazioni singole senza il ricorso ad un esperto. Ad esempio molti ‘plugin’ che gestiscono l’acquisizione del consenso in realtà non intervengono bloccando la creazione del file che invece avviene comunque.

Un legale esperto, coadiuvato da un IT Man, queste cose le sa e le verifica e redige un report che permetterà all’ecommerce manager di procedere nel pieno rispetto della legge.

E’ bene ricordare che in caso di Utilizzo Cookies senza consenso, l’Autorità Garante può comminare una sanzione fino a 120.000 euro!