GDPR – Personal Data Regulation

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) è una normativa Europea (Regolamento Ue 2016/679), già in vigore ma pienamente applicabile dal 25 maggio 2018, che controlla l’utilizzo dei dati personali da parte delle società o altre organizzazioni nel mondo.

Un’iniziativa con un impatto significativo in materia di privacy e protezione dei dati che cambierà il modo in cui le organizzazioni in tutto il mondo potranno e dovranno gestire i dati dei cittadini dell’Unione europea.

Se sei una società o organizzazione che acquisisce, modifica, trasmette, cancella, o esegue una qualsiasi altra azione con dati che identificano un qualsiasi soggetto appartenente all’Unione europea, sei tenuto ad essere GDPR Compliant.

OPT-IN E CONSENSO

Ogni dato personale acquisito da un cittadino europeo, attraverso un form o un qualsiasi altro sistema digitale, deve essere associato ad un consenso esplicito (ad esempio non sono validi i checkbox già confermati) da parte dell’utente.

La registrazione dei consensi, in alcuni casi i classici OPT-IN dei sistemi per l’invio di newsletter, può avvenire su sistemi propri o sistemi terzi. La seconda soluzione, predisposta dalle piattaforme dedicate a tale compito a canone mensile o annuale, risulta più adatta alle micro-piccole-medie imprese in quanto più immediata nella sua applicazione e con un grado di sicurezza maggiore in caso di controllo.

Nella registrazione del consenso da parte dell’utente devono essere esplicitati tutti i dati inerenti l’azione di consenso, tra queste anche l’informativa sulla privacy e trattamento dei dati presente nel momento in cui si è prestato il consenso, IP dell’utente, data, ora, eventuali azioni a conferma del consenso (submit action).

I DIRITTI DELL’UTENTE

Il GDPR sancisce quali sono i diritti del cittadino europeo nei confronti delle società o organizzazioni a cui è stato concesso l’utilizzo dei dati personali.

Ogni cittadino europeo ha il diritto di chiedere i dettagli nell’utilizzo e nel modo in cui i propri dati vengono trattati e gestiti.

Ogni società o organizzazione al mondo, in possesso dei dati personali di cittadini europei, deve essere predisposta a supportare i processi per il trattamento dei dati (modifica, sospensione, cancellazione) ed essere in grado di far fronte alle richieste di ogni singolo individuo per i dettagli del trattamento.

In ogni momento, l’utente ha il diritto di richiedere la modifica, rimozione completa, sospensione per certi usi dei propri dati. Inoltre, il GDPR sancisce il diritto da parte dell’autorità competenti di poter accedere al sistema che esegue il salvataggio e consente la lettura dei dati personali, in questo caso dovranno essere fornite tutte le informazioni relative al consenso da parte dell’utente, le modalità del trattamento e tutti i dati in possesso.

Cosa devo fare?

  • Redigere una Privacy Policy adeguata al GDPR
  • Avere un sistema per tracciare i consensi sui form
  • Utilizzare un sistema OPT-IN per gli iscritti alla newsletter o sistemi analoghi (in caso di mancato opt-in bisogna inviare una nuova comunicazione con il link)