GDPR e nuove regole sulla protezione dei dati: il tuo sito è pronto?

Maggiore consapevolezza e trasparenza nell’espressione del consenso al trattamento dei dati, più poteri nelle mani dell’utente che voglia revocare il consenso, richiedere in qualunque momento il cancellamento o la modifica dei dati o la loro portabilità verso un altro operatore che offre lo stesso servizio. È questo il fulcro del GDPR, il regolamento europeo sulla protezione dei dati che entrerà in vigore il prossimo 25 maggio. Le nuove norme hanno creato molto interesse e qualche timore.

Il General Data Protection Regulation, che andrà a sostituire il codice della privacy italiano vigente e sarà immediatamente applicato, ha una portata ampia e tratta moltissimi aspetti che hanno a che fare con la protezione dei dati: dalle modalità di raccolta del consenso dell’utente all’esercizio del diritto all’oblio, dalla portabilità del dato alle procedure da attivare in caso di data breach. Il garante italiano per la protezione dei dati personali ha provato a fare chiarezza sui passaggi più rilevanti del regolamento pubblicando una guida all’applicazione del GDPR. Ma quali sono le implicazioni più importanti nella progettazione di servizi web e nella gestione di iniziative di digital marketing? Proviamo brevemente ad analizzarlo.

Nel processo di raccolta e di gestione del consenso al trattamento dei dati il GPR riprende e fa propri due concetti molto importanti, cioè quelli della “Privacy by default” e della “Privacy by design”. La protezione dei dati personali – è l’idea di fondo della normativa – deve essere considerata a monte della progettazione di un servizio.

Per “Privacy by default” si intende il principio per cui, di default, debbano essere trattati solamente «i dati personali necessari per ogni specifica finalità del trattamento» (art. 25 GDPR). Molto interessante è anche l’altro principio citato nel GDPR, cioè quello che fa riferimento alla “Privacy by design”, secondo il quale la tutela della privacy deve essere presa in considerazione sin dalla fase di progettazione di un sistema che preveda la raccolta di dati degli utenti.

Per garantire i due principi devono perciò essere previste misure che prevedano di «ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza».

Il GDPR fissa parametri molto chiari per definire come deve essere ottenuto il consenso dell’utente al trattamento dei suoi dati. E quanto previsto dalla normativa dovrà spingere i siti web e altri servizi digitali a rivedere tutte quelle procedure di consenso opache o completamente assenti. Il regolamento europeo, infatti, prevede, che il consenso sia libero, specifico, informato e inequivocabile e sia manifestato attraverso “dichiarazione o azione positiva inequivocabile”. In pratica, il GDPR ribadisce che non sono applicabili tutte quelle soluzioni tecniche che si limitino a una presa visione dell’informativa o a prestare un consenso “taciuto o presunto”: niente form con caselle già prespuntate, dunque.

Quale impatto avrà questa novità normativa sulla gestione dei cookie? Anche le procedure di autorizzazione all’uso di cookie dovranno essere conformi ai principi. In pratica:

• Il consenso implicito all’installazione di cookie (laddove questi siano utilizzati a finalità diverse rispetto a quelle del funzionamento del sito, cioè per servizi di profilazione e marketing) non sarà più sufficiente. Dovrà essere messa disposizione dell’utente una procedura di opt-in (tramite checkbox da spuntare, ad esempio) o di impostazione delle sue preferenze
• I messaggi del tipo “Usando questo sito accetti l’installazione di cookie” non potranno essere considerati un consenso esplicito e dovranno essere accantonati
• L’utente dovrà poter avere sempre accesso alla possibilità di ritirare o modificare i consensi già prestati
• La scelta di prestare il consenso al trattamento dei dati deve essere granulare, e l’utente deve poter scegliere quali cookie installare e quali no

La portata delle novità del GDPR è evidente per chiunque raccolga dati dei propri utenti, ma in particolar modo per le aziende che fanno digital marketing e per gli e-commerce. I cambiamenti delineati nel regolamento avranno un impatto sulle modalità di registrazione degli utenti e sulle procedure da attivare per dimostrare di aver raccolto il loro consenso. Garantire la privacy dei propri utenti – ed evitare ripercussioni in termini di sanzioni pesanti o dell’impossibilità di utilizzare dati raccolti con una procedura non corretta – è la sfida da affrontare e vincere.