The Studio Hamelin Blog
Blog di grafica, stampa, Internet, pubblicità di varia natura e tanta saggezza by Studio Hamelin di Firenze
La nuova normativa GDPR per i siti Internet: come adeguarsi alla privacy & cookie law
- Font size: Larger Smaller
- Hits: 871
- Subscribe to this entry
Dal 10 Gennaio è entrato in vigore in modo definitivo l'obbligo di legge per tutti i siti Internet di avere una Privacy e Cookie Policy a norma e di permettere ai naviganti una scelta chiara fra le varie opzioni di cookies, oltre al diritto permanente di revoca. Analizziamo i vari requisiti di legge per adeguare i propri siti web.
Nonostante la normativa sia del 2016, sono state concesse molte deroghe nel corso di questi anni per dare a tutti la possibilità di adeguarsi alla legge sulla raccolta dei dati personali attraverso i siti web (Il Regolamento Europeo in materia di Protezione dei Dati Personali (2016/679) è entrato pienamente in vigore il 25 maggio 2018). Nel Maggio 2021 è scattata l'ultima deroga.
Dal 10 Gennaio 2022 è assolutamente obbligatorio avere il proprio sito web (blog, sito aziendale, sito e-commerce, app) a norma di legge, per evitare sanzioni anche molto pesanti.
La maggior parte delle informazioni legali di questo articolo sono tratte dalle informazioni più recenti ed aggiornate del sito nostro partner IUBENDA, supportato da un team di legali specializzati nel diritto digitale.
Disposizioni generali
Secondo la maggioranza delle legislazioni, se vengono trattati dati personali si è tenuti a informare l’utente in merito alle attività di trattamento dei dati effettuate tramite una privacy policy chiara e completa, assicurandosi anche di mettere in atto misure di sicurezza efficaci per proteggere i dati personali e implementando metodi per la raccolta e la revoca del consenso.
I requisiti possono variare in base alle attività di trattamento, alla normativa di riferimento, all’età dell’utente o al tipo di azienda. Vale quindi la pena sottolineare che, al di là dei principi generali, potrebbero esserci ulteriori obblighi da rispettare a seconda della specifica normativa applicabile in base alla propria attività.
Informazioni di base
In generale, gli utenti devono essere informati:
- sull’identità e sulle informazioni di contatto del titolare del sito/app;
- sulla data di entrata in vigore dell’informativa sulla privacy;
- sulle procedure adottate per la notifica delle modifiche apportate alla privacy policy;
- sui dati trattati;
- sui terzi che hanno accesso ai loro dati (in particolare, chi sono le terze parti e quali dati raccolgono);
- sui loro diritti in relazione ai dati che li riguardano.
Il titolare del sito potrebbe essere inoltre responsabile di fornire informazioni aggiuntive agli utenti, a soggetti terzi e all’autorità di vigilanza a seconda della propria normativa di riferimento.
Consenso
Per consenso si intende la volontaria accettazione informata da parte di un utente a impegnarsi in un particolare evento o processo.
In linea di principio, gli utenti devono essere in grado di negare, revocare o prestare il consenso esplicito al trattamento dei propri dati personali. Il consenso può essere acquisito con qualunque metodo che richieda all’utente un’azione positiva, diretta e verificabile, come checkbox, campi di testo, pulsanti di scelta, invio di un’email di conferma,etc.
Come si determina la propria legge di riferimento?
Solitamente, le leggi di un particolare Paese si applicano se:
- la base della propria attività si trova lì; oppure
- si utilizzano servizi di elaborazione o server con sede in quell’area; oppure
- il servizio è rivolto agli utenti di quella data zona.
Ciò significa che una normativa locale può essere applicata ad una persona o attività indipendentemente dal fatto che ci si trovi o meno in quell’area. Per questo motivo, è sempre consigliabile approcciare le attività di trattamento dei dati personali tenendo presenti le più severe normative applicabili.
Requisiti della normativa europea
GDPR
Il Regolamento europeo generale sulla protezione dei dati personali (GDPR) è stato concepito per centralizzare la protezione dei dati per gli utenti europei ed è pienamente applicabile dal 25 maggio 2018. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Quando si applica?
Il GDPR si applica quando:
- la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
- l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
- l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.
Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che un' organizzazione o azienda si trovi o meno nell’Unione Europea.
Un fraintendimento comune è pensare che solo gli utenti dell’UE siano coperti dal GDPR. In realtà il GDPR si estende anche agli utenti al di fuori dell’UE se il responsabile del trattamento dei dati ha sede nell’UE. Pertanto, chi vive e opera nell’UE deve applicare gli standard GDPR a tutti i tuoi utenti.
Quando non si applica?
Le condizioni di applicabilità del GDPR sono stabilite in due ambiti, materiale e territoriale. Per determinare se un’attività di trattamento dati è esente dalla sua applicabilità, dobbiamo considerare entrambi gli aspetti.
Ambito materiale
Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società. Bisogna prestare attenzione, tuttavia, perché normalmente sono le “persone fisiche” che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).
Ci sono diversi altri scenari in cui i dati personali non rientrano nell’ambito di applicazione del GDPR, ad esempio quando vengono trattati da una persona fisica per un’attività puramente personale o domestica.
Ambito territoriale
In aggiunta a quanto sopra, affinché un’attività di trattamento non sia soggetta al GDPR da un punto di vista territoriale, devono verificarsi tutte e 3 queste condizioni:
- il titolare (o il responsabile) del trattamento non ha sede nell’UE. Bisogna sempre tener presente che il titolare/responsabile del trattamento potrebbe anche essere una filiale UE di una società al di fuori dell’UE: in tal caso si applicherebbe pienamente il GDPR, anche se la filiale non avesse personalità giuridica;
- il trattamento non riguarda l’offerta di beni o servizi (anche in forma gratuita) a interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui avviene all’interno dell’Unione;
- il responsabile del trattamento non si trova in un luogo al di fuori dell’UE dove si applicano le leggi dell’UE a causa del diritto pubblico internazionale.
Le conseguenze del mancato adeguamento
Seguono alcune possibili conseguenze per il mancato adeguamento alle normative.
Sanzioni
L’inosservanza dei requisiti del GDPR può comportare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due valori sia il maggiore).
Provvedimenti disciplinari
Esistono ulteriori provvedimenti sanzionatori che possono essere adottati nei confronti delle organizzazioni che violano le norme. Tali provvedimenti comprendono (ma non si limitano a) richiami ufficiali (per violazioni avvenute la prima volta) e verifiche periodiche sulla protezione dei dati. Inoltre, il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento.
Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare ulteriore uso dei dati oggetto del reclamo. Ciò significa che se l’uso improprio riguarda, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.
L’inosservanza del diritto dei consumatori o della concorrenza (atti di concorrenza sleale) può anche comportare sanzioni pecuniarie da parte delle autorità competenti (per lo più nazionali).
Responsabilità civile per danni
È un principio generale del diritto civile: qualsiasi danno ingiusto provocato a qualcun altro – a maggior ragione se violando una legge – va risarcito. Il GDPR conferisce ai singoli utenti il diritto di chiedere il risarcimento per danni derivanti da una violazione dei loro diritti. Lo stesso ragionamento si applica a qualsiasi altro atto o legge applicabile, come le disposizioni dell’UE in materia di tutela dei consumatori.
Ricorda che la responsabilità per danni si applica in tutti i rapporti: anche un partner commerciale può avere diritto a un risarcimento se hai violato una disposizione di legge. Ad esempio, la vendita di merci contraffatte attraverso una piattaforma partner come Amazon potrebbe portare l’azienda e gli acquirenti a intraprendere un’azione legale contro di te.
Interruzioni del servizio e penali contrattuali
Alcuni servizi di terza parte possono rendere la conformità con normative specifiche una parte integrante dei loro termini di utilizzo; la violazione di tali termini può portare in questi casi alla cessazione del servizio o, potenzialmente, a divieti permanenti.
Diritto penale
Infine, ma forse l’aspetto più importante: in determinate condizioni potrebbero esserci anche delle conseguenze penali. Se, ad esempio, si violano intenzionalmente o si ignorano le disposizioni in materia di protezione dei dati a fini commerciali (ad esempio, si vendono i dati personali delle persone senza informarle) si possono avere gravi conseguenze. Tuttavia, il diritto penale è in gran parte una questione nazionale: condizioni e conseguenze vanno verificate caso per caso.
Come ci si può dunque adeguare alla normativa GDPR?
Per evitare verifiche, ammonimenti, sanzioni, denunce, richieste danni, è necessario adeguare il proprio sito alle normative vigenti:
- Dotarsi di una privacy policy per informare gli utenti sul trattamento dei loro dati personali
- Adeguarsi alla cookie law europea
- Creare un valido documento di Termini e condizioni d'uso o di vendita
- Gestire ed archiviare in modo dettagliato i consensi
- Gestire la privacy interna
Se hai un sito internet da adeguare alla nuova normativa GDPR (sito, blog, e-commerce, etc) contattaci e ti forniremo un servizio rapido ed economico per aggiornare il tuo sito a norma di legge.
Contattaci Richiedi un preventivo Chiedi su Whatsapp