La vostra azienda deve rispettare il Regolamento generale sulla protezione dei dati (GDPR) se possedete un sito web o un'app che raccoglie informazioni personali dai visitatori e se i vostri servizi sono disponibili a persone nell'Unione Europea (UE) o nello Spazio Economico Europeo (SEE).
La violazione del GDPR, anche per errore, può portare a multe salate, fino al 4% del vostro reddito annuo lordo, e ad altre forme di sanzione.
Per aiutarvi a impostare il vostro sito web o la vostra app in modo da garantire la piena conformità al GDPR ed evitare costose multe, ho creato una lista di controllo GDPR facile da seguire per guidarvi attraverso l'intero regolamento.
Lista di controllo GDPR
Ecco una semplice lista di controllo GDPR per aiutare il vostro sito web o la vostra app a soddisfare tutti i requisiti sulla privacy dei dati delineati da questo regolamento.
|
Parte 1 - Inizia qui: Lista di controllo GDPR per le aziende
Soluzione: Verifica della vostra azienda per i requisiti GDPR |
Fonte |
|
Incoerenze o imprecisioni, anche per errore, possono portare a multe per non conformità. |
|
La legge richiede una base giuridica per il trattamento di ciascun tipo di dati personali. |
|
I termini del regolamento sono definiti nel Capitolo 1, Articolo 4
I responsabili e gli incaricati del trattamento dei dati devono seguire linee guida leggermente diverse, che vi illustriamo in questa lista di controllo. |
| TIP: Per elaborazione dei dati si intende la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento, la modifica, il recupero, la consultazione, l'utilizzo, la divulgazione, la diffusione o la messa a disposizione in altro modo delle informazioni. | |
|
Se il consenso è la vostra base legale, dovete seguire questi passaggi
Soluzione: Utilizzare una gestione del consenso Platform che vi permette di... |
Fonte |
|
Capitolo 2, articolo 7 |
|
Capitolo 2, Articolo 7, Sezione 2 |
|
Capitolo 2, Articolo 7, Sezione 3 |
|
Capitolo 2, Articolo 7, Sezione 1 |
|
Parte 2 - Cosa si DEVE spiegare agli interessati
Soluzione: Creare un'informativa sulla privacyGDPR e includere... |
Fonte |
|
Capitolo 3, articolo 13 e articolo 15 |
|
Capitolo 3, articolo 15 |
|
Capitolo 3, articolo 15, parte (a) |
|
Capitolo 3, articolo 15, parte (c) |
|
Capitolo 3, articolo 15, parte (d) |
|
Capitolo 3, articolo 15, parte (e) |
|
Capitolo 3, articolo 15, parte f) |
|
Capitolo 3, articolo 15, parte (g) |
|
Capitolo 3, articolo 15, parte (h) |
|
Parte 3 - Responsabilità e contratti con terzi
Soluzione: Utilizzare un accordo di trattamento dei dati(DPA) che richiede al responsabile del trattamento dei dati... |
Fonte |
|
Capitolo 4, articolo 28, sezione 3, parte (a) |
|
Capitolo 4, articolo 28, sezione 3, parte (b) |
|
Capitolo 4, articolo 28, sezione 3, parte (c) |
|
Capitolo 4, articolo 28, sezione 3, parte (d) |
|
Capitolo 4, articolo 28, sezione 3, parte (e) |
|
Capitolo 4, articolo 28, sezione 3, parte (f) |
|
Capitolo 4, articolo 28, sezione 3, parte (g) |
|
Capitolo 4, articolo 28, sezione 3, parte (h) |
| Se VOI siete un incaricato del trattamento dei dati, assicuratevi che il responsabile del trattamento dei dati crei un DPA conforme da firmare. | |
|
Parte 4 - Requisiti di sicurezza e conservazione dei dati
Soluzione: Implementare misure di sicurezza tecniche e organizzative. |
Fonte |
|
Capitolo 4, articolo 32 |
|
Capitolo 4, articolo 35 e articolo 36 |
|
Parte 5 - Trasferimenti internazionali di dati
Soluzione: Implementare adeguate misure di salvaguardia per il trasferimento dei dati |
Fonte |
|
Capitolo 5, articolo 46 |
Il resto di questa guida approfondisce i diversi requisiti del GDPR e come le soluzioni di Termlypossono aiutarvi a raggiungere la piena conformità in modo semplice e conveniente.
Ulteriori informazioni sul GDPR
Di seguito, troverete alcune risposte alle domande più frequenti che mi vengono rivolte sul GDPR e sul suo impatto globale.
cos'è il GDPR in termini semplici?
Il GDPR è un regolamento dell'Unione Europea o UE che si applica anche allo Spazio economico europeo (SEE). Delinea le linee guida per la protezione dei dati, i diritti dei consumatori e i requisiti aziendali per la raccolta e l'utilizzo dei dati personali.
Questa normativa offre agli utenti un maggiore controllo su come e quando i loro dati vengono raccolti dai siti web o dalle app che operano online.
È entrato in vigore il 25 maggio 2018 e si basa sui seguenti sette principi di privacy:
- Legalità, equità e trasparenza
- Limitazioni dello scopo
- Minimizzazione dei dati
- Precisione
- Limiti di stoccaggio
- Integrità e riservatezza
- Responsabilità
Qual è l'ambito di applicazione del GDPR?
Il GDPR ha una portata globale perché si applica a qualsiasi entità che raccolga informazioni personali e abbia visitatori provenienti dall'UE o dal SEE.
Altre leggi sulla privacy, come il California Consumer Privacy Act(CCPA) modificato e il Virginia Consumer Data Protection Act(CDPA), prevedono soglie monetarie o si applicano alle aziende che raccolgono quantità specifiche di dati. Ma non è questo il caso del GDPR.
La vostra azienda può avere sede in qualsiasi parte del mondo, ma se avete visitatori provenienti dall'UE o dal SEE e raccogliete i loro dati, dovete fornire loro un modo per far valere i loro diritti alla privacy o rischiate di ricevere multe per mancata conformità.
Gli Stati membri dell'UE sono 27:
- Austria
- Belgio
- Bulgaria
- Croazia
- Repubblica di Cipro
- Repubblica Ceca
- Danimarca
- Estonia
- Finlandia
- Francia
- Germania
- Grecia
- Ungheria
- Irlanda
- Italia
- Lettonia
- Lituania
- Lussemburgo
- Malta
- Paesi Bassi
- Polonia
- Portogallo
- Romania
- Slovacchia
- Slovenia
- Spagna
- Svezia
Tra gli altri Paesi del SEE che il GDPR protegge ci sono anche:
- Islanda
- Liechtenstein
- Norvegia
Cosa si intende per dati personali ai sensi del GDPR?
Poiché dovete informare i consumatori su quali informazioni personali (PI) state raccogliendo, è importante che sappiate esattamente come il GDPR definisce le informazioni personali.
Il GDPR descrive i dati personali al capitolo 1, articolo 4 come:
...qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale...
Qualsiasi informazione che possa identificare un individuo, da sola o combinata con altri dati raccolti, è considerata PI ai sensi del presente regolamento, compresi i seguenti dati:
- Nomi
- Indirizzi
- Numero di telefono
- Indirizzi e-mail
- Indirizzi IP
- Posizione
- Dati biometrici
- Credenze politiche, religiose o filosofiche
- Orientamento sessuale
- Iscrizione ai sindacati
- Razza o origine etnica
- Dati medici
Il regolamento utilizza volutamente una definizione ampia, in modo da potersi adattare e tenere conto di qualsiasi progresso o cambiamento tecnologico.
Responsabili e controllori dei dati secondo il GDPR
Il GDPR descrive obblighi diversi a seconda che la vostra azienda si qualifichi come responsabile o incaricato del trattamento dei dati. È possibile agire in entrambi i modi.
Per responsabile del trattamento, ai sensi del Capitolo 1, articolo 4, si intende qualsiasi soggetto che, da solo o con altri, determina le finalità e le modalità di trattamento dei dati personali. Pertanto, se la vostra azienda raccoglie dati e li utilizza per il marketing e la ricerca, vi qualificate come responsabile del trattamento.
Uno qualsiasi dei seguenti soggetti può essere un responsabile del trattamento dei dati:
- Persona fisica o giuridica
- Autorità pubblica
- Agenzia
- Qualsiasi altro organismo
Per incaricato del trattamento, invece, si intende l'organismo che elabora effettivamente le informazioni ed è anch'esso definito nell'articolo 4. Può includere qualsiasi entità sopra elencata. Può includere una qualsiasi delle entità sopra elencate.
Ai sensi del regolamento, per trattamento si intende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, il recupero, la consultazione, l'utilizzo, la divulgazione, la diffusione o la messa a disposizione dei dati personali degli utenti.
Se eseguite una qualsiasi di queste azioni per conto di un'entità, vi qualificate come loro incaricati del trattamento dei dati.
Trasferimenti internazionali di dati e GDPR
Il GDPR fornisce linee guida e restrizioni per il trasferimento di dati al di fuori dell'UE verso Paesi terzi.
Alcuni paesi sono considerati "adeguati" e il trasferimento in questi luoghi è legale senza autorizzazione preventiva, tra cui:
- Andorra
- Argentina
- Canada
- Isole Faroe
- Guernsey
- Israele
- Isola di Man
- Giappone
- Maglia
- Nuova Zelanda
- Corea del Sud
- Svizzera
- Il Regno Unito
- Uruguay
In caso di trasferimento in un Paese non considerato "adeguato", dovete assicurarvi che l'incaricato del trattamento si attenga a tutti i requisiti GDPR , come indicato nel capitolo 5, articoli 44-50 del regolamento, o rischiate di ricevere multe per mancata conformità.
Ciò potrebbe richiedere l'inserimento di clausole aggiuntive nei contratti con i terzi.
Suggerimenti per la conformità al GDPR
Per conformarsi al GDPR, vi consigliamo i seguenti suggerimenti per il vostro sito web o la vostra app:
Sanzioni in caso di mancata osservanza
Le conseguenze del mancato rispetto del GDPR sono notevoli e possono avere un impatto sulla vostra attività anche se la violazione è accidentale.
Le sanzioni previste dall'articolo 83 includono multe fino a 10 milioni di euro (circa 12 milioni di dollari) o fino al 2% del fatturato globale annuo dell'anno precedente, a seconda di quale sia l'importo più alto, nel caso in cui:
- Mancato rispetto degli obblighi contrattuali tra titolari e responsabili del trattamento dei dati
- Violare gli obblighi di certificazione per garantire la sicurezza dei dati personali raccolti e condivisi tra titolari e responsabili del trattamento
- Non rispettare le linee guida dell'organismo di controllo indipendente e non di parte per il rilascio e il rinnovo della certificazione.
Di seguito è riportata una schermata che evidenzia questa parte del regolamento.
Ma se commettete una delle seguenti infrazioni, rischiate multe fino a 12 milioni di euro (circa 22 milioni di dollari) o fino al 4% del vostro fatturato globale annuo dell'anno precedente, a seconda di quale sia il valore più alto:
- Non rispettare i principi di base per il trattamento dei dati, comprese le condizioni per il consenso
- Violare i diritti degli interessati
- Non soddisfano i requisiti internazionali di trasferimento dei dati
- Non rispettano gli obblighi previsti dalle leggi degli Stati membri.
- Non ottemperare a un ordine o a una limitazione temporanea del trattamento dei dati, come richiesto da un'autorità di controllo competente.
Di seguito, un'altra schermata dell'articolo 83 che illustra queste multe più elevate.
Potreste anche essere invitati a cessare il trattamento dei dati personali o a ricevere altre istruzioni dall'autorità di vigilanza competente.
Oltre a queste punizioni, rischiate anche di subire un controllo pubblico e di perdere la fiducia dei vostri consumatori. Gli utenti di Internet oggi sanno che le aziende che hanno ricevuto multe per GDPR non hanno protetto o raccolto in modo appropriato i loro dati personali.
Come Termly aiuta la vostra azienda a conformarsi al GDPR
Potete utilizzare una combinazione di prodotti Termly per aiutare la vostra azienda a conformarsi al GDPR in modo semplice e conveniente.
Generatori di politiche e modelli
Se compilato correttamente, il nostro generatore di informativa sulla privacy o modello di informativa sulla privacy possono aiutarvi a soddisfare tutti gli obblighi aziendali relativi ai diritti di privacy dei consumatori delineati nel Capitolo 3, Articoli 12 - 23 del GDPR.
Generatore di Informativa sulla Privacy
Secondo questo regolamento, è vostra responsabilità , in quanto responsabili del trattamento dei dati, adottare misure appropriate per informare gli utenti sulle vostre pratiche di raccolta dei dati. I nostri strumenti vi consentono di creare un'informativa sulla privacy che soddisfi questi requisiti - di seguito abbiamo evidenziato le sezioni pertinenti del regolamento.
Con il nostro generatore di informativa sulla privacyè sufficiente rispondere a domande semplici sulla vostra attività e il documento viene creato automaticamente per voi.
l'intero processo è veloce e c'è una funzione di salvataggio se si desidera mettere in pausa e tornare a finirlo in un secondo momento. Il nostro team di assistenza clienti è a disposizione per qualsiasi domanda.
Un esempio della parte GDPR del nostro generatore di informativa sulla privacy è riportato nella schermata sottostante.
Modello di informativa sulla privacy
l'utilizzo del nostro modello gratuito è comunque semplice, ma richiede un maggiore impegno in quanto è necessario compilare manualmente le sezioni vuote con i dettagli della propria attività e assicurarsi che le informazioni siano accurate e complete. Questo richiede un po' più di conoscenze legali.
Di seguito potete vedere come si presenta il nostro modello di informativa sulla privacy GDPR.
Qualunque sia la scelta, entrambi gli strumenti aiutano a garantire la conformità. Il nostro team legale e i nostri esperti di privacy lavorano su tutti i nostri generatori e modelli di policy per garantire che siano conformi alle leggi sulla privacy come il GDPR, il CCPA modificato e altro ancora.
Piattaforma di Gestione del Consenso
È possibile configurare facilmente la nostra gestione del consenso Platform di gestione del consenso Platform (CMP) per soddisfare tutti i requisiti legali di consenso e le linee guida delineate dagli articoli 6 e 7 del GDPR.
Secondo il testo, l'ottenimento di un consenso attivo ed esplicito da parte dell'utente è una delle basi giuridiche per la raccolta e l'utilizzo dei dati personali, come evidenziato di seguito.
Potete utilizzare il nostro banner di consensoGDPR per fornire ai vostri utenti un'informativa sulla privacy e un'informativa sui cookie - tenendoli adeguatamente informati - e per richiedere il consenso legale opt-in.
Di seguito è riportata una schermata delle impostazioni GDPR nei nostri strumenti CMP .
Dal momento che i cookie e altri tracker sono considerati informazioni personali ai sensi di questa normativa, il nostro Cookie Scanner controlla il vostro sito, classifica i cookie e genera una politica sui cookie conforme e accurata che viene aggiornata ogni volta che si verifica una nuova scansione.
I vostri utenti possono aggiornare le loro preferenze di consenso facilmente e in qualsiasi momento all'interno di un centro di preferenze, e noi memorizzeremo i log delle loro scelte di consenso in base all'articolo 7 del regolamento.
Moduli di richiesta di accesso ai dati (DSAR o SAR)
Forniamo moduli di richiesta di accesso ai dati, o moduli DSAR o SAR, per aiutarvi a soddisfare gli obblighi del GDPR relativi ai diritti degli utenti di accedere alle informazioni personali raccolte su di loro, come indicato all'articolo 15.
Per accedere al modulo DSAR, utilizzate la nostra gestione del consenso Platform di gestione del consenso Platform. In alternativa, iscrivetevi come membri Pro+ e avrete accesso a questo modulo e al resto della nostra suite completa di soluzioni.
Riassunto
Per impostare il vostro sito web o la vostra app in modo che sia pienamente conforme al GDPR , avrete bisogno di un:
- Informativa sulla privacy
- Politica dei cookie
- EULA (per il software)
- Banner di consenso
- gestione del consenso platform
- Moduli DSAR
- DPA
È possibile creare questi documenti da soli, oppure semplificare il processo consultando la suite di soluzioni per siti web GDPR di Termly.
Per saperne di più su chi scrive
Scritto da James Ó Nuanáin, CIPP/E, CIPM, CIPT
James è un professionista della privacy con oltre sette anni di esperienza nell'assistere grandi organizzazioni nell'adempimento degli obblighi previsti dal GPDR e da altre normative locali sulla privacy. È appassionato di privacy dei dati e dell'intersezione tra legge e tecnologia. Per saperne di più su chi scrive
