GDPR: entra in vigore il nuovo regolamento sulla privacy. Cosa cambia, anche per i gestori di siti web

Un riassunto delle disposizioni contenute nel GDPR: i diritti degli utenti. Come il nuovo regolamento europeo impatta sulle attività dei siti web a livello nazionale e internazionale.

Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea ha voluto rafforzare le norme a tutela dei dati personali dei cittadini dell’Unione europea e dei residenti nell’Unione europea sia all’interno che all’esterno dei confini dell’Unione Europea.

Come abbiamo spiegato nell’articolo GDPR, cos’è e cosa prevede il regolamento europeo sulla protezione dei dati, che vi invitiamo a consultare, le nuove disposizioni non entrano in vigore oggi. Sono infatti in essere dal 25 maggio 2016 ma soltanto oggi 25 maggio 2018, a distanza di due anni, iniziano ad avere piena efficacia.


Come mette in evidenza lo stesso Garante Privacy italiano, “con il Regolamento cambia in maniera radicale l’approccio alla protezione dei dati: imprese ed enti dovranno operare seguendo il principio di responsabilizzazione (“accountability”), considerare la protezione dei dati non come obbligo formale, ma come una parte integrante e permanente delle loro attività e promuovere consapevolezza negli utenti sui loro diritti e le loro libertà“.

Una delle novità, tra quelle che hanno fatto più discutere, è che al GDPR devono conformarsi anche le aziende non-europee (quelle che non hanno sede in Europa) ogniqualvolta si trovassero a gestire i dati di cittadini europei.
Dall’Ufficio del Garante si precisa che “la prima novità fondamentale del Regolamento è quella di essere integralmente applicabile alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone presenti nel territorio dell’Unione europea o ne monitorano il comportamento. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’Unione Europea“.

Non solo. Basti pensare che se un’azienda statunitense non trattasse dati riferibili a cittadini europei, questa dovrebbe comunque adeguarsi al GDPR nel caso in cui utilizzasse, per erogare i suoi servizi, domini geografici (gTLD) come .it, .es, .eu e così via).

In ogni caso, i dati degli utenti non possono mai essere conservati a tempo indeterminato (sebbene possano essere trattenuti a lungo a fronte di una giustificazione fondata e pertinente).

Il GDPR rimarca che ciascun utente deve ricevere informazioni chiare sull’utilizzo dei suoi dati personali e ottenere tutte le indicazioni per gestirli.
L’utente può trasferire il trattamento dei dati da un titolare all’altro (portabilità dei dati o diritto alla portabilità) con la possibilità di scaricare tutti i dati che lo riguardano dai server del gestore cui essi erano stati conferiti. La società che conserva i dati degli utenti è tenuta ad ottemperare alla richiesta entro un mese.
Si registra anche il rafforzamento dei diritti dell’utente di far cancellare, anche online, le informazioni non più necessarie rispetto alle finalità per le quali sono state raccolte (diritto all’oblio).

Con il GDPR pienamente efficace, il consenso espresso per l’utilizzo uso dei dati deve essere ancora più specifico per ogni servizio reso e le aziende dovranno notificare eventuali incidenti che dovessero portare alla sottrazione dei dati degli utenti entro 72 ore dall’evento (data breach).

Il Responsabile della protezione dei dati (RPD) è una nuova figura chiamata a operare all’interno di tutte le amministrazioni pubbliche e di quelle imprese che fanno particolari trattamenti dei dati personali o usano particolari categorie di dati, offrendo consulenza e supporto al titolare o responsabile del trattamento.

Le sanzioni a fronte di un eventuale adeguamento alle nuove disposizioni possono essere molto salate: fino al 4% del fatturato o fino a 20 milioni di euro, a seconda di quale valore sia quello maggiore.

Gli adempimenti fissati dal nuovo GDPR e riassunti brevemente in precedenza valgono ovviamente anche per i gestori di siti web.

Diversamente rispetto a quanto riportato da alcune testate, però, il GDPR non introduce particolari novità per quanto concerne i cookie.
È la cosiddetta cookie law (Cookie law: analisi dei chiarimenti del Garante) alla quale, a distanza di circa tre anni, molti siti non si sono ancora adeguati, a integrarsi con il GDPR non essendo stata abrogata.

Diversamente da quanto in molti ritengono, né il GDPR né la cookie law impongono l’obbligo al gestore del sito web di indicare esplicitamente i singoli cookie erogati in fase di acquisizione del consenso. Scrive ad esempio Iubenda: “questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale“.

Come conferma la società tutta italiana Iubenda, inoltre, non v’è l’obbligo – per i gestori dei siti web – di fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal sito. I webmaster possono invece limitarsi a predisporre un meccanismo chiaro per ottenere un consenso informato e attivo; fornire un metodo per la revoca del consenso; garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.

Infine, il legislatore non ha imposto la tenuta di un registro dei consensi ma ha soltanto prescritto la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Secondo Iubenda l’adozione di una soluzione che predisponga un blocco preventivo dei cookie (“impiantandoli” lato client solo dopo aver ricevuto il prescritto consenso) è più che sufficiente come prova dell’avvenuto conferimento del consenso da parte dell’utente-visitatore.

Ti consigliamo anche

Link copiato negli appunti