GDPR – Regolamento per la gestione e protezione dei dati personali

Ciao a tutti,
sono anch’io alle prese con la normativa GDPR per adeguare questo blog di WordPress entro la data del 25 Maggio 2018.
Nell’azienda dove lavoro ho avuto già una serie di incontri con i legali e tecnici per discutere il tema che è molto sentito. Le multe vanno da poche migliaia a 20 milioni di euro, fino al 4% del fatturato mondiale dell’anno precedente. Fortunatamente sono previsti anche dei richiami e delle ammonizioni.

Il GDPR è il regolamento europeo che si applica a tutte le organizzazioni europee, e riguarda la gestione e la protezione dei dati personali (banalmente anche l’email è considerata dato personale, mentre sul numero di telefono si è espresso il garante ed è considerato dato tecnico a meno che non sia associato ad un’altro dato personale come ad esempio il nome ed il cognome)

.GDPR - Dati Personali

Quali sono i dati personali?

Sono quelli che permettono di identificare le informazioni relative alla persona fisica, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale. Ad esempio: Nome e Cognome della persona, l’indirizzo o i numeri di telefono o di cellulare, ragione sociale, codice fiscale e partita IVA, email, indirizzi IP, URI, posizione geografica e immagini. A questi si aggiungono a maggior ragione per quanto riguarda la tutela delle persone anche i dati sensibili.

 

Premesso che non sono un legale e che ci sono molti dubbi sull’interpretazione e l’applicazione di alcuni passaggi, provo a semplificare il più possibile individuando le azioni per mettersi in regola.

Ho raggruppato le azioni in 4 macro categorie:

  • Raccolta Dati

  • Diritto di Accesso e Portabilità dei dati: Se gli utenti richiedono i loro dati personali bisogna essere in grado di fornirgliene una copia elettronica completa. Inoltre vanno specificate in modo esplicito le diverse modalità con cui vengono utilizzati. L’utente ha diritto di ottenere tutti i suoi dati da parte nostra e del provider e riutilizzarli presso un soggetto diverso.  Il titolare deve comunque dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego.
  • Diritto ad essere dimenticati/diritto all’oblio: l’utente ha diritto a richiedere la cancellazione completa dei dati una volta che questi siano stati utilizzati per lo scopo per il quale li aveva precedente forniti. Nel caso non fosse possibile cancellare i dati, bisogna procedere alla loro anonimizzazione, in questo caso i dati non potranno essere utilizzati in report aggregati. Anche in questo caso il feedback verso l’utente deve avvenire entro un mese.
  • Ottenere il consenso dell’utente: il consenso dovrà essere dato in modo chiaro e l’utente deve avere facoltà di ritirarlo in qualsiasi momento in modo facile. Significa che in ogni e-mail dovranno esserci le istruzioni per modificare le proprie preferenze e rimuoversi dalla lista. Vuol dire anche che ogni form del sito che richiede un dato personale deve richiedere il consenso, vedi ad esempio i commenti. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento.
  • Minimizzazione e durata del consenso: i dati personali devono sempre essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, co. 1, lett. c, GDPR). Nel caso di una newsletter ad esempio bisogna utilizzare solo la mail.

cosa fare:

  1. Creare una pagina dove l’utente può richiedere i dati/consensi che ha presso il sito ed e eventualmente richiederne la cancellazione
  2. Va raccolto il consenso davanti ad ogni form che raccoglie i dati personali ad esempio i commenti, iscrizione newsletter, forum ecc..
  3. Rivedere la pagina della privacy, deve essere il più dettagliata possibile, indicando che dati vengono richiesti e la finalità.

WordPress ha rilasciato la versione 4.9.6 che permette data un’email di esportare /cancellare i Dati Personali. Permette inoltre di indicare anche la pagina della privacy che verra’ mostrata in fase di autenticazione e registrazione.

 

La soluzione di WP non copre tutte le indicazione del garante, ad esempio non permette di raccogliere esplicitamente i consensi ne in fase di registrazione ne durante l’inserimento dei commenti. Inoltre introduce un nuovo cookie che ricorda la tua mail e il tuo nome facilitando l’inserimento di nuovo commento che poco centra con il GDPR.
Per il momento ho deciso che continuero’ ad utilizzare il plugin WP GDPR Compliance, che permette di raccogliere le richieste di Accesso/Portabilità/Cancellazione dei dati. Permette inoltre di inserire il consenso nei commenti ed in altri plugin (solo alcuni ad esempio non supporta il forum che stiamo usando bbPress).

 

  • Data Breach e perdita dei dati

Un computer sicuro è un computer spentoKevin Mitnick

  • Bisogna notificare le perdite di dati e le intrusioni tempestivamente: dopo un’intrusione si hanno 72 ore di tempo per notificare al Garante e nei casi piu’ gravi gli utenti.

cosa fare:

  1. Il plugin WordFence fa egregiamente questo lavoro e vi permette di prevenire una possibile perdita di dati. Questo plugin è molto potente, anche nella versione free permette di abilitare un firewall per bloccare attacchi di tipo brute force. Ha un database aggiornato dei vari plugin installati e vi avverte appena è stata rilevata una vulnerabilità o un tentativo di intrusione.

 

  • Cookie Law

Riassumendo, esistono 3 tipi di banner:

  1. Informativo
    Dici ai tuoi utenti che tu usi i cookie e che continuando ad usare il tuo sito web li accetteranno. Non fornisci ai tuoi utenti alcun controllo diretto sui cookie, se non attraverso le proprie impostazioni del browser. Questo è l’approccio che abbiamo utilizzato dal 2014 ad oggi e che con il GDPR non è più valido.
  2. Opt-in
    Dici ai tuoi utenti che desideri utilizzare i cookie e dai loro un pulsante per abilitarli e un altro per rifiutarli. Di default nessun cookie viene utilizzato a meno che l’utente non scelga espressamente di abilita. Questo è l’approccio più rigoroso e garantisce praticamente la conformità in qualsiasi circostanza. Il problema è che c’è forte rischio che i cookie non vengano abilitati.
  3. Opt-out
    Dici ai tuoi utenti che usi i cookie e dai loro un pulsante per disabilitare i cookie e un altro per chiudere il messaggio. Se un utente non sceglie di disabilitare i cookie, questi continueranno a funzionare normalmente. Questo è l’approccio secondo me migliore perché permette di non disabitare i Banner ed i pulsanti Social di default. Quindi avrai un breve Messaggio, il link alla Privacy Policy, un bottone “Preferenze Cookie” ed un bottone “Chiudi”. Consiglio di linkare il pulsante preferenze cookie ad un popup o alla pagina “privacy policy” direttamente alle opzioni di opt-out per ritirare il consenso ai singoli cookie non funzionali (Analitici o di Profilazione).

quindi:

  • Ogni sito web deve avere una privacy policy aggiornata con opzioni di opt-out. Anche dopo aver ottenuto un consenso valido, i siti devono offrire alle persone la possibilità di cambiare idea.
  • Non è richiesto il consenso degli utenti per l’installazione dei soli cookie tecnici.
  • I cookie di profilazione, invece, possono essere installati sul terminale dell’utente che visita il nostro sito soltanto dopo l’espressione del suo consenso o dando possibilità di scelta direttamente dal banner.
  • Il consenso deve essere dato attraverso una chiara azione affermativa (una scelta libera e genuina), come fare clic su una casella di attivazione o scegliere preferenze cookie in un menu delle impostazioni. Semplicemente visitando un sito non conta come consenso.

cosa fare:

  1. Aggiornare la pagina della privacy con l’elenco dei cookies tecnici utilizzati. Per i cookie di terze parti è sufficiente indicare il nome dell’azienda (Google, Facebook ecc…) la finalità (Analitici/Profilazione), la privacy policy e l’indicazione per il blocco/rimozione.
  2. Non ho trovato ancora un plugin che mi soddisfa, al momento sto utilizzando il codice generato da CookieConsent, che permette di generare il banner che vedete su questo sito. Nel tasto “Preferenze Cookie” ho aggiunto un link che rimanda alla Privacy Policy dove ci sono le opzioni di opt-out facilitandandone l’individuazione.

    Utilizzare la nostra soluzione completamente gratuita al seguente articolo.

  • Privacy e Cookie policy

Nel caso vi servisse un template per la Privacy Policy, potete utilizzare il nostro disponibile al seguente indirizzo: Privacy Policy unaFamiglia.it

 

Condivido alcuni i link che parlano del nuovo regolamento:

GDPR Infografica

GDPR Garante della Privacy

 

Questo articolo verrà da me aggiornato nei prossimi giorni con le ultime novità sul tema. Se avete segnalazioni o domande non esitate a contattarmi.

 

Adeguare WordPress al GDPR, quali Plugin?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *