Regolamento generale sulla protezione dei dati: nuova legge a partire dal 2018

Il 25 maggio 2018 entra ufficialmente in vigore il nuovo Regolamento generale sulla protezione dei dati dell’Unione Europea, chiamato anche RGPD. Ancora oggi ad essere effettive in materia di trattamento dei dati sono le line guida del 1995, il che, assieme all’avanzamento tecnologico degli ultimi decenni, ha reso non più derogabile un ammodernamento delle leggi sulla protezione dei dati: d’altronde quando queste leggi in materia di privacy sono state varate, Internet stava ancora muovendo i primi passi. Oggi la protezione dei dati all’interno dell’Unione Europea deve confrontarsi con Big Data, l’Industria 4.0, la robotica e l’intelligenza artificiale. Il ritmo è talmente frenetico che un aggiornamento delle relative disposizioni non è solamente necessario, ma lo è anche in fretta; e a fine maggio sarà realtà.

Il Regolamento generale sulla protezione dei dati serve soprattutto allo scopo di uniformare il processo relativo alla protezione dei dati a livello europeo. Le domande che sorgono spontanee a chi gestisce un’azienda sono fondamentalmente due: quali sono le novità? E a che cosa devono fare attenzione le aziende e i gestori di siti web? L’entrata in vigore il 25 maggio influenzerà infatti anche il commercio online e la protezione dati dei propri dipendenti. Se perciò non vi siete ancora neanche posti il problema di come fare per essere conformi con il nuovo regolamento, sappiate che è giunto il momento di iniziare. In questo articolo vi forniamo un sunto di quella che è la situazione giuridica accompagnata da una lista delle cose da fare per il RGPD, sottolineando dunque quali sono le misura che dovete attuare il prima possibile.

Non si tratta più di linee guida bensì di un regolamento

Solitamente la strada che porta all’attuazione delle leggi a livello europeo è lunga e tortuosa, anche una volta che queste sono entrate ufficialmente in vigore. Una volta che una linea guida europea viene approvata al parlamento di Bruxelles, ai 28 Stati Membri vengono concessi dei generosi periodi di transizione per introdurre la legge nel sistema giuridico nazionale. Ma prima che venga fatta pressione alle aziende perché si adoperino per l’attuazione di tale legge, può passare davvero tanto tempo.

Però questo è appunto il caso delle linee guida. La questione cambia quando invece si tratta di un regolamento. In questo caso non vengono garantite né lunghe tempistiche né spazio di manovra per quel che riguarda il contenuto. Le leggi sono immediatamente e unitariamente vincolanti per tutti gli Stati dell’Unione, e quindi anche per le piccole e medie imprese che operano al loro interno. Il RGPD non fa eccezione: non si tratta infatti di un insieme di linee guida ma di un regolamento.

A maggio 2016 è entrato in vigore il periodo di transizione della durata di due anni del Regolamento generale sulla protezione dei dati, che giungerà a termine proprio il 25 maggio 2018: a partire da questa data la legge sulla protezione dei dati è ufficialmente valida in tutti gli stati dell’Unione Europea, venendo essa imposta nel sistema giuridico nazionale. Questo significa che la sua attuazione non subirà ritardi. Dall’entrata in vigore tutte le aziende e tutte le istituzioni pubbliche che lavorano con i dati privati degli utenti sono tenute a rispettare in toto la nuova regolamentazione europea sulla protezione dei dati.

Tuttavia non tutte le aziende sono a conoscenza dell’urgenza relativa al rispetto del RGPD: l’Osservatorio Information Security & Privacy del Politecnico di Milano a inizio 2017 ha pubblicato un rapporto relativo al grave ritardo da parte delle aziende italiane nell’adeguamento per il rispetto del nuovo regolamento, dove viene riportato che solo il 27% conosce quelli che sono gli obblighi del regolamento e il 9% ha avviato un progetto per l’adeguamento.

La situazione non riguarda però solo l’Italia. Uno studio internazionale (comprendente anche 200 aziende italiane) ha riportato (Dati aggiornati a settembre 2017) che in media tra le 1600 organizzazioni che hanno preso parte al sondaggio, ben il 37% non aveva bene in chiaro se la propria azienda fosse direttamente interessata dal nuovo regolamento.

Integrazioni: le clausole di apertura e il nuovo BDSG tedesco

I regolamenti europei hanno la precedenza sulle leggi nazionali e prevalgono quindi in caso di incongruenza. Tuttavia il Regolamento generale sulla protezione dei dati ha alcune clausole di apertura che servono a permettere agli Stati Membri di attenuare o rafforzare determinate leggi in materia di privacy. Ed è a questo scopo che il parlamento tedesco ha promosso una legge che entrerà in vigore lo stesso giorno del RGPD: il nuovo Bundesdatenschutzgesetz, anche detto nuovo BDSG (o “nuova legge federale tedesca in materia di protezione dati”). Il BDSG sfrutta lo spazio di manovra appositamente lasciato per creare delle regole nazionali di affiancamento.

Una simile mossa sarebbe auspicabile anche in Italia, in modo da guidare le aziende durante l’adeguamento, evitando così il rischio che si venga a creare dell’inutile confusione. Al fine di aiutare le aziende in questo complicato processo, l’autorità Garante per la protezione dei dati personali ha rilasciato questa guida riassuntiva con tanto di raccomandazioni.

Obiettivo: unificazione dell’Unione Europea in materia di protezione dati

L’obiettivo principale del Regolamento generale di protezione dei dati è l’unificazione della protezione dati di tutta l’Unione Europea. Diversamente dalle linee guida in vigore dal 1995 e applicate in maniera differente tra un paese e l’altro, il nuovo regolamento non concede lo stesso spazio di manovra per azioni individuali a livello nazionale.

Un secondo focus del nuovo regolamento sono gli imponenti cambiamenti tecnologici degli ultimi 25 anni e quelli che ci attendono in futuro. Infatti le maggiori sfide in materia di protezione dati non sono quelle presenti ma quelle future. Un esempio: la creazione di dati biometrici dei dipendenti è assolutamente necessaria per il lavoro con le macchine intelligenti. Se un’azienda tratta i dati con riservatezza e sensibilità non ci sono problemi. Ma se invece il datore di lavoro si trova questi dati in mano per la prima volta, è possibile che abbia la tentazione di utilizzarli anche per altri scopi, come ad esempio il controllo delle prestazioni. Il RGPD dovrebbe regolare anche questo ambito.

Contenuti del regolamento: puntare su principi consolidati

A costruire i punti cardine del Regolamento generale sulla protezione dei dati devono essere per prima cosa i cambiamenti avvenuti in materia di protezione dei dati personali. E questo è quanto è stato fatto, seppur non nella misura pianificata; con il RGPD viene rafforzata sensibilmente la protezione dei dati dei privati. Paragrafo dopo paragrafo si dovrebbe riuscire a far sì che i dati personali siano regolati in maniera chiara ed esperta.

Ad esempio viene ampliato l’obbligo di responsabilità da parte delle aziende (accountability): saranno presenti vasti obblighi in merito alla documentazione e alla motivazione riguardo a quali dati un’azienda può registrare, a che scopo li può utilizzare e come li può elaborare. In questo senso il Regolamento generale sulla protezione dei dati corrisponde a un lavoro impegnativo per quel che riguarda la documentazione. Quelle aziende che già da tempo danno valore alla tutela dei dati e che tengono un registro dei processi di elaborazione degli stessi, faranno significativamente meno fatica a mettere in pratica gli adeguamenti necessari del RGPD.

Ad ogni modo il regolamento in generale non contiene alcun nuovo orientamento per quel che riguarda la protezione dati, infatti i principi noti in materia di privacy rimangono gli stessi, il RGPD si occupa semplicemente di difenderli e promuoverli. Essi rappresentano le fondamenta del nuovo regolamento e vengono perciò ulteriormente formulati e ampliati. I principi più importanti sono i seguenti:

  1. Divieto con riserva di autorizzazione: questo principio significa che ogni elaborazione di dati personali è assolutamente vietata, se non autorizzata. Questo principio sebbene già presente rimane ampiamente discusso, poiché non tutti i dati sono ugualmente importanti; tuttavia il principio vieta indiscriminatamente l’utilizzo di tutti i dati con riferimento a persone.

  2. Destinazione vincolata: le aziende possono registrare ed elaborare dati solo per certe finalità. È perciò necessario che sin dall’inizio venga formulato lo scopo di raccolta dei dati, così come è necessario che il loro successivo utilizzo sia documentato. Un esempio concreto di questo principio sono i dati rilevati da un’azienda per la compilazione di un contratto, i quali vanno sì salvati e archiviati, ma non essere utilizzati a scopi pubblicitari. Infatti questo è uno scopo differente, che necessita di un’autorizzazione separata. Le modifiche successive relative allo scopo sono permesse solamente in determinate circostanze.

  3. Minimizzazione dei dati: il principio della minimizzazione dei dati prevede che le aziende rilevino il minor numero di dati possibili. A stabilire quale sia il limite è il seguente principio: il meno possibile, ma tutti quelli necessari. Non è possibile perciò raccogliere più dati di quelli necessari per lo scopo prefissato. Questo principio intende vietare il rilevamento cieco di dati semplicemente per farne scorta.

  4. Trasparenza: l’elaborazione dei dati deve essere chiara per gli interessati. Da un lato questo significa dichiarazioni sulla protezione dei dati personali comprensibili per tutti, e dall’altro questo principio fa sì che gli utenti ottengano ampi diritti con le novità del RGDP. Così com’è stato fino a oggi, su richiesta, le aziende devono comunicare di quali dati dispongono e come questi vengono utilizzati.

  5. Riservatezza: le aziende devono sempre far sì che i dati personali dei propri clienti siano sempre protetti, e questo riguarda il lato tecnologico e organizzativo. La protezione riguarda l’elaborazione, la modifica, il furto o la cancellazione non autorizzata di dati. L’obbligo esplicito relativo alle misure tecnologiche di protezione dei dati è nuovo. Tuttavia queste misure non sono formulate con precisione all’interno del Regolamento generale sulla protezione dei dati e offrono perciò un po’ di gioco, in quanto è necessario interpretarle. Nel caso avvenga un furto dati dipende da se le misure di protezioni tecniche e di organizzazione erano adeguate al rischio e al tipo di dati archiviati.

Gli interessati: aziende e i garanti della privacy

In primo luogo il RGDP è una buona notizia per entrambe le parti, sia per chi si occupa dell’elaborazione dati che per i consumatori che ne sono soggetti. Inoltre le normative del nuovo regolamento interessano anche i diritti dei dipendenti. Molte aziende infatti devono prestare attenzione poiché hanno obblighi formali sia verso i propri lavoratori che verso i propri clienti, fornitori e semplici visitatori del proprio sito web.  

Il RGDP ha naturalmente una particolare rilevanza per una specifica categoria di lavoratori: i garanti della privacy. Infatti il RGDP farà sì che il numero di garanti aumenterà esponenzialmente a livello europeo, basti considerare che tutti gli enti pubblici e tutte le aziende all’interno dell’Unione Europea la cui attività principale verte sulla gestione dei dati personali, dovranno nominare un garante della privacy aziendale. Ma anche se questo non dovesse essere il caso, ovvero la vostra azienda non ha l’elaborazione dati come sua attività principale, sarà comunque necessario disporre di un RPD (“Responsabile della Protezione dei Dati”, ovvero un garante) anche nel caso in cui ci siano almeno 10 persone che lavorano costantemente con l’elaborazione automatizzata di dati personali. Questo potrebbe voler dire un grande numero di imprese di medie dimensioni.

Al massimo entro maggio 2018 è necessario che tutte le aziende interessate dal nuovo regolamento abbiano nominato il proprio garante. Chiaramente anche per le altre aziende ha senso individuare una persona che ricopra il ruolo di garante, così da essere sicuri di portare avanti il processo di transizione congruamente a quanto stabilito dal Regolamento generale sulla protezione dei dati dell’Unione Europea.

Il Regolamento generale sulla privacy dei dati rappresenta un grande cambiamento anche per i garanti della privacy che lavorano già in un’azienda, poiché il loro ruolo all’interno della stessa cambia significativamente: se prima si occupava di adempiere alla conformità in materia di protezione dati, adesso sarà responsabile anche del controllo delle misure attuate. In questo modo l’ambito del suo lavoro si amplia ulteriormente, così come aumenta la sua responsabilità giuridica. Va poi tenuto in conto che il regolamento è nuovo per tutti e quindi anche il solo prendere dimestichezza corrisponde a una mole di lavoro non indifferente.

Tuttavia questa nuova legge porta beneficio anche ai garanti: la loro conoscenza e le loro capacità saranno particolarmente richieste in futuro e, con l’aumentare dei compiti, anche la loro posizione subirà una rivalutazione, chiaramente in positivo.

Qui di seguito vi forniamo un riassunto di quello che è il Regolamento generale sulla protezione dei dati, in particolar modo per quel che riguarda le novità per i gestori di siti web e per le aziende.

Punti salienti per le aziende

Anche se non cambia nulla dal punto di vista dell’orientamento, l’EU-RGPD porta con sé molte modifiche, che le aziende devono tenere assolutamente in considerazione, anche e soprattutto per quel che riguarda la progettazione dei processi di lavoro, soprattutto quelli in cui sono coinvolte le persone, all’interno dei quali va incorporata la privacy (principio del Privacy by Design). Altrimenti il rischio è quello di infrangere il diritto europeo. Qui di seguito riportiamo le riforme che devono essere rispettate dalle aziende, in particolare quelle che si occupano di commercio online.

Sicurezza generale dei dati nelle aziende

  • Valutazione di impatto sulla protezione dei dati (DPIA o Data Protection Impact Assessment): le aziende sono obbligate a fare una valutazione di impatto, stabilendo quali misure di sicurezza adottare così da ridurre il rischio. Questo adeguamento è particolarmente importante per le aziende che si occupano di Cloud Computing, e che quindi maneggiano grandi quantità di dati di persone. Ancora più nello specifico, questa modifica riguarda la aziende che archiviano dati sanitari, i quali essendo particolarmente sensibili, aumentano considerabilmente la gravità nel caso in cui vengano diffusi.
  • Dati relativi ai dipendenti: nel calderone ci finisce anche come un’azienda tratta i dati dei propri dipendenti. Il nuovo regolamento riguarda perciò anche le risorse umane.
  • Garanti della privacy: per molte aziende sarà obbligatorio disporre di un garante della privacy d’ora in avanti. Il suo compito è quello di controllare le singole strategie di protezione dei dati sviluppate e la loro conformità con il RGDP. Questo non riguarda solamente le aziende che lavorano costantemente con una mole elevata di dati, ma anche tutte le aziende in cui ci sono almeno 10 persone che lavorano regolarmente con i dati relativi alle persone.
  • Obbligo di segnalazione: le nuove direttive del RGDP, per quel che riguarda il modo di procedere nel caso in cui si verifichi un guasto, sono decisamente più rigide rispetto a quelle precedenti. Le falle di sicurezza devono essere segnalate entro 72 ore dal momento in cui vengono identificate: sia ai diretti interessati che alle autorità competenti.
  • Responsabilità e multe: nel caso in cui avvenga una violazione nei confronti dei dati registrati è molto facile che l’azienda sia ritenuta responsabile e che venga quindi punita con pesanti multe.

Sicurezza dei dati relativi alle persone

  • Obbligo di documentazione: uno dei punti forti del nuovo regolamento sta nell’obbligo di giustificazione da parte delle aziende, anche detto accountability. Diversamente da com’è stato fino a ora le aziende sono costrette a provare la propria conformità attraverso documentazione interna. Sono infatti tenute ogni volta a riportare alle autorità quali dati sono stati archiviati a quale scopo, in che modo saranno elaborati e quando l’azienda provvederà a cancellarli.
  • Privacy by design: il principio Privacy by Design significa che le aziende devono tenere conto della protezione dei dati già nel momento dell’impostazione tecnica dei propri processi di lavoro. Non è infatti accettabile l’implementazione di misure di protezione dati a posteriori o di secondo ordine, è necessario che vengano perciò integrate nel processo lavorativo già nella fase di rielaborazione. I prodotti e i processi dovrebbero quindi essere concepiti in modo che possano essere realizzati con il minor numero possibile di dati personali.
  • Privacy by default: questa disposizione del nuovo regolamento prevede che venga adottata la variante tecnica della protezione dati di più facile utilizzo. Così facendo viene risparmiato agli utenti il dover combattere contro complesse impostazioni tecniche per rendere effettive le limitazioni all’elaborazione dei propri dati personali.
  • Basi dell’autorizzazione (consenso, accordo operativo): anche in futuro l’utente dovrà dare esplicitamente l’autorizzazione all’utilizzo dei propri dati personali, con il consenso che sarà valido solamente per lo scopo o l’oggetto specificato. Inoltre il modulo di consenso deve essere formulato in maniera comprensibile e deve rimanere accessibile da parte dell’utente con facilità. I requisiti per un consenso effettivo sono aumentati rispetto a come era in precedenza con le linee guida del 1995. Uno squilibrio tra le due parti del contratto può portare a escludere la volontarietà, e quindi anche la delega relativa al trattamento dei dati.
  • Cancellazione dei dati: i dati relativi alla persona non possono essere archiviati all’infinito, ma solamente per il tempo utile al raggiungimento del fine concordato. Terminata la potestà dell’elaborazione dei dati (che sia perché ritirata l’autorizzazione o perché l’obiettivo è stato raggiunto), i dati devono essere eliminati.
  • Diritto di accesso alle informazioni e diritto alla cancellazione: i cittadini europei hanno il diritto, se richiesto espressamente, di sapere di quali informazioni dispone un’azienda e come queste vengano utilizzate dalla stessa. Inoltre gli utenti hanno facoltà di richiedere all’azienda di cancellare i propri dati. Il “diritto all’oblio” è dunque stabilito per legge.

Punti salienti per i gestori di siti web

Il Regolamento generale sulla privacy dei dati contiene ben poche regole per il commercio online. Esso formula molto più le basi generali della protezione dei dati, i cui vari campi vengono regolati successivamente con leggi e ordinamenti. Tuttavia, per quanto astratte, le norme del regolamento europeo portano alcune novità anche per il commercio online. Nei paragrafi successivi scoprite quali.

Ciò che rimane così com’era (almeno per il momento)

Partiamo dalle cose più importanti: rispetto alle novità per le aziende appena illustrate, i cambiamenti introdotti dal RGDP per il commercio online sono poca cosa. È presumibile che i temi centrali per i gestori dei siti web – cookies, user tracking, Spam Marketing e marketing diretto – verranno rivisti a partire dal 2019. Tuttavia ciò che è certo per il momento è che a partire dal maggio 2018 il Regolamento avrà la priorità sulle leggi attualmente presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookies, strumenti per il monitoraggio e misure di targhetizzazione dovranno orientarsi sul RGDP in futuro.

Tuttavia il Regolamento europeo è una soluzione provvisoria, infatti assieme a esso e alle leggi nazionali dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla protezione dati: il Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea (ePrivacy Regulation), approvato in data 23 ottobre 2017 dal Parlamento Europeo. È però molto difficile che le tempistiche preposte siano rispettate.

Non c’è alcun buon motivo per aspettarsi che il Consiglio Europeo faccia passare con facilità il regolamento. La bozza è infatti molto stringente per quel che riguarda l’autorizzazione all’utilizzo dei cookies. Nel caso in cui essa dovesse diventare legge, questo avrebbe delle gravi ripercussioni sul tracking, sul targeting e sulla pubblicità personalizzata. Al momento è difficile prevedere quali saranno i cambiamenti effettivi derivanti dal processo legislativo. Perciò è ancora presto per preoccuparsi concretamente del Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea, dato che non ci sono possibilità che entri in vigore prima del 2019.

Tuttavia è altamente consigliabile che tutti coloro impegnati nella gestione di un sito web o di un negozio online tengano regolarmente sott’occhio il regolamento dell’e-privacy. Contrariamente al RGDP, che si occupa di regolare giuridicamente i principi in materia di protezione dei dati, il regolamento dell’e-privacy tratterà un settore specifico: la protezione della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspettarsi ulteriori riforme.

Ciò che cambia

Dunque cos’è che cambia a partire dal 25 maggio 2018 con l’entrata in vigore del Regolamento generale sulla protezione dei dati dell’Unione Europea? Le novità più importanti per i gestori di siti web sono le seguenti:

  1. L’ingente obbligo di documentazione del Regolamento generale;
  2. La maggior complessità relativa all’autorizzazione;
  3. I principi del Privacy by Design e Privacy by Default;
  4. L’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
  5. Il diritto alla trasmissione dei dati;
  6. Chiari e maggiori obblighi di informazione (ad esempio per quel che riguarda l’informativa sulla privacy);
  7. Il divieto di abbinare più consensi;
  8. Multe molto salate.

Alcuni di questi punti li abbiamo già snocciolati nei paragrafi precedenti. Qui di seguito sono due i temi che approfondiremo: l’informativa sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a interessare principalmente i gestori di siti web.

Fatto

Va fatta una rigorosa distinzione tra consenso sulla protezione dei dati e l’informativa sulla privacy. Il consenso degli utenti, imprescindibile per ogni elaborazione dati non esplicitamente permessa da una norma di legge, corrisponde alla conferma da parte di un utente di essere d’accordo con l’informativa sulla privacy di un’azienda. L’informativa sulla privacy corrisponde a un testo in cui un’azienda illustra le proprie misure in materia di protezione dati ai propri clienti. È obbligatoria su qualsiasi sito web.

La novità più importante del RGDP per i gestori di siti web è rappresentata dalle direttive riguardo l’informativa sulla privacy. L’articolo 13 par. 2 contiene un catalogo di informazioni che devono essere incluse in un’informativa sulla privacy. All’interno del Regolamento generale viene regolato in maniera più chiara la forma che deve avere un’informativa sulla privacy: scritta in un linguaggio semplice e comprensibile da un punto di vista del contenuto. Nel RGPD viene data grande importanza alla trasparenza.

Citazione

“Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”

Art. 12 par. 1 del RGPD: "Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato" (fonte: www.privacy-regulation.eu/it/12.htm)    

Nel divieto di abbinare più consensi gli esperti vedono la restrizione maggiore presente in tutto il Regolamento generale sulla privacy dei dati. Con tale divieto un gestore di siti web non può costringere i propri potenziali clienti a fornirgli successivamente dati che non siano strettamente necessari per l’effettiva prestazione. Un esempio: richiedendo la registrazione a una newsletter online al momento del perfezionamento di un contratto si infrangerà il diritto europeo. Il principio massimo del consenso è la volontarietà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la volontarietà, rendendoli perciò inefficaci.

Citazione

“Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”

-          Art. 7 par. 4 del RGPD: “Condizioni per il consenso” (fonte: http://www.privacy-regulation.eu/it/7.htm)

Ancora una volta vale la pena ricordare di fare assolutamente attenzione ai cambiamenti relativi agli obblighi di documentazione, ai principi dell’autorizzazione, all’archiviazione, ai diritti di accesso alle informazioni e alla cancellazione. Singolarmente inoltre è possibile che imprese e gestori di siti web siano interessati anche da altre riforme.

Lista delle cose da fare per aziende e gestori di siti web

Se a questo punto siete convinti di iniziare a darvi da fare per quel che riguarda il Regolamento generale sulla privacy dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia ci sono delle precauzioni che ogni azienda dovrebbe prendere, e sono proprio queste a comporre la checklist del RGPD qui di seguito.

✔ Stabilire i procedimenti per una corretta documentazione per le operazioni che coinvolgono i dati personali;

✔ configurare un archivio delle varie elaborazioni di dati;

✔ mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;

✔ verificare se sia necessario incaricare un garante della privacy;

✔ aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;

✔ consultarsi con il proprio responsabile del reparto tecnico (e con il garante della privacy) se le misure tecniche adottate per la protezione dati siano sufficienti o meno. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;

✔ tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente d’ora in poi ed essere registrati come dati forniti volontariamente;

✔ se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate;

✔ verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;

✔ tenere le orecchie aperte per le novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche, il quale si occuperà di regolare il lavoro dei commercianti online con i tool di analisi e di monitoraggio;

✔ se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’era da fare, è consigliabile richiedere consulenza professionale.

Vi preghiamo di osservare la nota legale relativa a questo articolo.