Come rendere il tuo sito web conforme al GDPR

Molti dei nostri utenti ci hanno chiesto del GDPR: cosa significa? A chi e a cosa si applica? In che modo mi influenza come azienda? Sappiamo che mentre molte informazioni circolano in rete, parte di queste informazioni possono essere incomplete, errate o fuorvianti.

Per questo abbiamo contattato uno dei principali studi legali britannici, Fladgate, uno studio specializzato in proprietà intellettuale. Sono stati così gentili da offrire risposte complete e professionali sull'argomento, incluse in questo post.

Di seguito troverai linee guida leggibili e di facile comprensione per GDPR, in quanto si riferiscono ad argomenti rilevanti per i creatori di siti Elementor. È redatto in forma legale, quindi è un po' diverso dal nostro solito gergo del blog, ma crediamo che sia il modo migliore (e unico) per comprendere chiaramente le regole GDPR. Vorremmo ringraziare Eddie Powell di Fladgate, per aver composto e chiarito queste linee guida elaborate e complete per la nostra comunità.

Le domande a cui si risponde in questo post includono:

Cos'è il GDPR e perché è importante?

Quali sono le regole di base del GDPR?

Quali dati personali posso utilizzare e come potrebbero essere utilizzati?

Posso trasferire i dati personali a terzi?

Quali diritti hanno gli individui nei confronti delle imprese?

Come dovrei, come imprenditore, proteggere i dati personali sul mio sito web?

Il GDPR sta per Regolamento generale sulla protezione dei dati. È la nuova serie di regole formulate dall'UE che disciplinano il modo in cui le imprese conservano e utilizzano i dati personali delle persone.

La maggior parte delle persone ha sentito parlare delle multe che possono essere imposte alle aziende che infrangono le regole. Questi possono arrivare fino a 20 milioni di euro o per gruppi di aziende particolarmente grandi il 4% del fatturato globale del gruppo, che potrebbe essere una quantità enorme di denaro.

Ancora più importante, tuttavia, la pubblicità associata al mancato rispetto delle norme sulla protezione dei dati può danneggiare in modo significativo la reputazione di un'azienda e portare clienti e fornitori a non fidarsi di essa. Inoltre, i nuovi affari saranno interessati se i clienti non si fidano dell'azienda con le informazioni e manterranno un elevato standard di privacy. I clienti vogliono sentirsi in controllo delle proprie informazioni personali.

Le regole si applicano ai "dati personali". I dati personali includono cose ovvie come nomi, indirizzi e dettagli di contatto delle persone, ecc. Includeranno anche un elenco di indirizzi e-mail in cui è possibile identificare l'individuo dal loro indirizzo (ad es. [email protected] – puoi dire che Bob Smith lavora presso Universal Widget) e indirizzi IP. Le informazioni smetteranno di essere dati personali se le anonimizzi in modo da non poter mai capire chi è un individuo dall'insieme di informazioni.

Il GDPR afferma che non puoi semplicemente raccogliere, archiviare, utilizzare e trasferire questi dati personali (tutti questi sono chiamati "elaborazione") semplicemente perché sono memorizzati sul sistema della tua azienda. Devi pensare a cosa vuoi fare e applicare le regole.

Devi avere uno dei 6 motivi specificati dal GDPR. Quelli fondamentali per i nostri scopi sono:

• eseguire un contratto con l'individuo o utilizzare le informazioni per stipulare un contratto;
• adempimento di un obbligo legale (non contrattuale con un'altra società) al quale è soggetta l'attività – come il rispetto delle norme antiriciclaggio o la prevenzione dei reati;
• dove l'individuo ha dato il proprio consenso (che deve essere specifico, informato e non ambiguo) a ciò che si vuole fare con le sue informazioni; e
• laddove il trattamento che si desidera effettuare sia necessario per il legittimo interesse dell'impresa, ma contemperato con i diritti e gli interessi dell'interessato, che sarà interessato alla sua riservatezza.

Ci sono regole speciali dove hai a che fare con bambini dove devi verificare il loro consenso con i loro genitori. Esistono anche regole speciali per trattare le informazioni sulle condanne penali delle persone e per quelle che la legge chiama "categorie speciali" che includono informazioni su:

• Salute
• etnia
• Orientamento sessuale
• Credenze politiche
• Religione
• Iscrizione sindacale
• Dati genetici e biometrici.

Vale anche la pena ricordare che ci sono regole speciali (non parte del GDPR) per il marketing via email e SMS: non dare per scontato che, poiché hai l'indirizzo email o i dettagli di contatto di qualcuno, puoi inviare loro comunicazioni di marketing tramite questi canali. Devi aver dato loro la possibilità di rinunciare a queste comunicazioni quando hai raccolto le informazioni e includere sempre la possibilità per loro di voler annullare l'iscrizione a future comunicazioni di marketing.

Se desideri utilizzare i dati personali per qualcosa, come una nuova implementazione di software, un nuovo progetto di database o per fornire un servizio più personalizzato ai clienti, è davvero importante non dare per scontato che sia giusto prendere dati personali esistenti che potrebbero essere sui sistemi aziendali e utilizzarlo. Devi pensare alle basi che sono state discusse sopra e, in particolare, pensare se potrebbero esserci dati di categorie speciali che potrebbero essere inclusi, perché le regole su questi sono molto più rigide.

Se raccogli ulteriori informazioni per lo scopo dichiarato, assicurati di raccogliere solo ciò di cui hai effettivamente bisogno. Non chiedere alle persone di fornire più di quanto è necessario per raggiungere lo scopo di cui sono state informate.

L'individuo deve essere informato in termini molto chiari su ciò che sta accadendo con le sue informazioni personali. Ciò comprende:

• i dati della tua azienda e i dettagli di contatto;
• qual è la finalità del trattamento dei dati;
• a chi invierai i dati;
• se intendi esportare i dati in un altro paese;
• per quanto tempo conserverai i dati; e
• informazioni sui diritti di revoca del consenso e altri diritti derivanti dal GDPR.

Queste informazioni devono essere fornite ai sensi del GDPR quando le informazioni vengono raccolte o (se le informazioni vengono ricevute indirettamente) entro un mese dal ricevimento. La tua azienda dovrebbe disporre di moduli standard che ti consentano di fornire queste informazioni: dovrebbero essere sempre utilizzati quando vengono raccolti nuovi dati personali.

Una volta rispettato quanto sopra, esegui il progetto pianificato, ma attieniti ad esso e assicurati di eliminare tutti i dati personali che non sono necessari o che non possono essere legittimamente conservati. Ricorda che se cambi i tuoi piani o decidi di fare qualcos'altro con i dati personali, devi rifare i passaggi e ripetere l'esercizio.

Presta particolare attenzione all'utilizzo dei dati personali che sono stati raccolti per l'utilizzo da parte della tua azienda e che ora desideri trasmetterli a terzi.

Devi pensare ai passaggi di conformità di base sopra e assicurarti di aver soddisfatto le basi legali per il trattamento e che l'individuo abbia ricevuto tutte le informazioni necessarie al riguardo.

Se il destinatario sta svolgendo un lavoro per te (come un fornitore di servizi per le paghe) su tua istruzione, allora sarà il tuo "responsabile del trattamento" e devi avere un contratto scritto con loro che includa alcune garanzie sulla sicurezza e la conformità.

È molto improbabile che sarai in grado di ricevere o trasferire "categorie speciali" di dati e, se ciò diventa necessario, dovresti assicurarti di verificare con il team di conformità della tua azienda.

Esistono anche regole speciali se si desidera trasferire informazioni in un paese al di fuori dell'UE, dove le leggi sulla protezione dei dati personali potrebbero non essere così rigorose. Potrebbe essere necessario utilizzare forme standard di contratto con l'azienda o l'organizzazione che riceverà i dati personali o prendere altri accordi che garantiscano il rispetto dei diritti dell'individuo.

Il GDPR conferisce alle persone una serie di diritti nei confronti delle aziende che detengono i loro dati personali. Questi includono

• Rettifica – eventuali errori o imprecisioni devono essere corretti;
• Accesso : deve essere fornita una copia dei dati e i dettagli di ciò per cui vengono utilizzati;
• Cessazione del trattamento : interrompere qualsiasi utilizzo dei dati personali di qualcuno
• Cancellazione (diritto all'oblio) – cancellazione di tutti i record sulla persona
• Portabilità : trasferimento di dati personali conservati in un formato leggibile da una macchina all'individuo o a un altro fornitore.

Il GDPR non specifica i livelli di sicurezza; dice solo che le aziende devono avere un livello adeguato di sicurezza tecnologica e organizzativa, quindi la tua azienda disporrà di procedure di sicurezza progettate per aiutarti a rispettare questo requisito. Ubbidirli sempre.

Ricorda che non sono solo gli attacchi informatici su larga scala che possono costituire una violazione della sicurezza dei dati personali. Spesso sono le piccole cose a causare i problemi maggiori, come i dati personali archiviati nei dispositivi mobili che vengono persi o i laptop non crittografati che vengono lasciati nelle aree pubbliche. Una delle principali cause di perdita di dati personali è l'errore di smarrimento delle e-mail a causa del completamento automatico dell'inserimento dell'indirizzo e-mail sbagliato.

Il GDPR impone alle aziende l'obbligo di notificare alle autorità qualsiasi violazione della sicurezza e la tua azienda avrà l'obbligo di tenere un registro di qualsiasi violazione, non importa quanto minore, in modo che la direzione possa prendere una decisione su ciò che deve essere notificato . Assicurati che qualsiasi perdita che coinvolga i dati personali, anche se è rapidamente corretta o è improbabile che causi danni, sia segnalata in conformità con la politica della tua azienda.

Eddie Powell è partner del team Commercial Sport e IP di Fladgate LLP solicitors a Londra. Per ulteriori informazioni, vedere https://www.fladgate.com/lawyer/eddie-powell/

Quali misure hai adottato per rendere il tuo sito conforme al GDPR? Fateci sapere nei commenti qui sotto.