Proviamo a vederci chiaro
Francesco Di Candia - Meetup Andria 03 Maggio 2018
Francesco Di Candia - Meetup Andria 03 Maggio 2018 1-17
Regolamento Generale sulla Protezione dei Dati
GDPR sta per Regolamento Generale sulla Protezione dei Dati.
È una legge sulla privacy approvata il 14 aprile 2016 dalla Commissione europea per proteggere i diritti di tutti i cittadini dell'UE (28 Stati membri) ed i loro dati personali.
Sostituisce la direttiva 95/46/CE sulla protezione dei dati del 24 ottobre 1995 ed è molto più ampia della legge sui cookie del 2011 (sostituita a breve dal nuovo regolamento UE e-privacy che va di pari passo con la GDPR).
Il piano di lancio del regolamento è stato fissato per due anni, con efficacia dal 25 maggio 2018.
La GDPR è il cambiamento più importante nella regolamentazione della privacy dei dati in 20 anni
Francesco Di Candia - Meetup Andria 03 Maggio 2018 2-17
https://www.eugdpr.org/
Francesco Di Candia - Meetup Andria 03 Maggio 2018 3-17
Cosa comporta la GDPR? 1/2
Francesco Di Candia - Meetup Andria 03 Maggio 2018 4-17
Cosa comporta la GDPR? 2/2
Francesco Di Candia - Meetup Andria 03 Maggio 2018 5-17
Su cosa ha impatto la GDPR? 1/2
Nonostante la GDPR sia stata progettata per proteggere i diritti dei cittadini dell'UE, è innegabile che l'impatto sia sostanziale ovunque sul web, in maniera indipendente da dove è stabilita un'azienda o dove si svolgono le sue attività online.
Se il tuo sito web sta elaborando o raccogliendo dati da cittadini dell'UE, devi rispettare la General Data Protect Regulation.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 6-17
Su cosa ha impatto la GDPR? 2/2
Ecco alcuni esempi:
Perciò, se non blocchi tutto il traffico proveniente dalla UE, la GDPR avrà impatto sul tuo sito.
Quiz -> https://ultimategdprquiz.com/
Checklist -> https://gdprchecklist.io/
Francesco Di Candia - Meetup Andria 03 Maggio 2018 7-17
Conseguenze di non conformità con la GDPR
Se la tua attività commerciale non è conforme con la GPDR, potresti incorrere in una sanzione fino al 4% del tuo fatturato annuo o una multa fino a 20 milioni di euro (la cifra più alta tra le due), per ogni violazione.
Questo significa che potresti essere multato per ogni violazione.
Perciò, una società può essere multata al 2% per non avere tenuto in ordine i propri record dei suoi clienti, per non aver avvisato l'autorità e/o l'interessato di una violazione, o non condurre o non aver condotto una valutazione di impatto della GDPR sulla sua organizzazione.
Capisci bene che sei un piccolo negozio di e-commerce o uno sviluppatore WordPress queste multe potrebbero essere devastanti!
Francesco Di Candia - Meetup Andria 03 Maggio 2018 8-17
Cosa fare? 1/6
Assumi un avvocato
In caso di dubbi sulla conformità del tuo sito con la GDPR (la situazione più comune al momento) ti raccomando di rivolgerti ad un avvocato che sia esperto in materia per farti consigliare al meglio.
Quest'area della legislazione è consigliabile venga trattata e gestita da chi ne è esperto, e non va assolutamente affrontata da solo, un avvocato può fornirti una consulenza legale specificamente adattata alla tua situazione.
Se ti sbagli, potresti incorrere in multe salate.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 9-17
Cosa fare? 2/6
Verifica il flusso di lavoro di raccolta e elaborazione dei dati
Controlla tutto il tuo sito e determina dove raccogli, elabori e conservi i dati e per quanto tempo.
Concentrati su cose come:
Dopo aver individuato tutti questi elementi, devi chiedere l'autorizzazione al visitatore alla raccolta e conservazione, oltre a spiegare come vengono utilizzati e conservati i dati raccolti.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 10-17
Cosa fare? 3/6
La conformità alla GDPR farà parte del WordPress Core
Dejlig Lama (dejliglama.wordpress.com/) e Peter Suhm (https://twitter.com/petersuhm) hanno iniziato a lavorare su un progetto chiamato GDPR per WordPress, con l'intento di fornire agli sviluppatori di plug-in una soluzione semplice per rendere conforme i propri plugin alla GDPR ed offrire agli amministratori dei siti gli strumenti per gestire le attività amministrative necessarie per essere conformi a GDPR. Adesso questo progetto diventerà parte del core di WordPress.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 11-17
Cosa fare? 4/6
Aggiorna tutti i documenti legali
Con l'avvento della GDPR è arrivato il momento di aggiornare i termini e le condizioni delle pagine, le pagine sulla privacy, i termini di affiliazione e qualsiasi altro documento legale o accordo che potresti avere.
Non puoi più avere moduli senza caselle di controllo, deve esserci una modalità con la quale l'utente ti fornisce una autorizzazione specifica: niente più link a fondo pagina sperando che l'utente li leggerà.
Le condizioni per il consenso sono state rafforzate e le aziende non potranno più utilizzare termini e condizioni lunghe, illeggibili ed in jargon dal momento che la richiesta di consenso deve essere fornita in forma intelligibile, accessibile, con il chiaro scopo del trattamento dei dati annessi a quel consenso, chiaro e distinguibile da altre questioni.
Ritirare il consenso dovrà essere altrettanto semplice che darlo.
Ancora una volta, ti raccomando di prevedere la consulenza di un avvocato. Se stai semplicemente gestendo un piccolo blog, utilizza almeno uno strumento come iubenda o qualcosa di simile per generare norme sulla privacy più efficaci.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 12-17
Cosa fare? 5/6
Offri la portabilità dei dati
Secondo l'art. 20 della GDPR, qualsiasi azienda che raccoglie dati deve anche offrire la possibilità all'utente di scaricarli e trasferirli altrove.
L'interessato ha il diritto di ricevere i dati personali che lo riguardano, da lui forniti precedentemente, in un formato strutturato, comunemente usato e leggibile da una macchina ed ha il diritto di trasmettere tali dati a un terzo senza impedimento dal precedente detentore.
Assicurati perciò di avere in atto un sistema che ti permetta di fornire all'utente, se richiesto un file scaricabile dei suoi dati (.csv, .xml, ecc.).
Francesco Di Candia - Meetup Andria 03 Maggio 2018 13-17
Cosa fare? 6/6
Controlla i temi, i plugin, i servizi, le API di WordPress
Tutti i plug-in WordPress o le funzionalità specifiche per i temi che hai installato che raccolgono o memorizzano i dati personali devono essere aggiornati affinché il tuo sito sia completamente conforme alla GDPR. Se sei uno sviluppatore WordPress, dovresti già avere un piano per implementare le modifiche GDPR per i tuoi plugin e/o temi.
Ecco alcune categorie di plugin per i quali ci sarà da controllare l'impatto con la GDPR (molti di questi hanno già provveduto in autonomia ad implementare la conformità alla GDPR
Francesco Di Candia - Meetup Andria 03 Maggio 2018 14-17
Plugin di WordPress per la GDPR
WP Security Audit Log (https://wordpress.org/plugins/wp-security-audit-log/)
Oltre ad effettuare dei veloci controlli inerenti la sicurezza del sito, permette di tenere sotto controllo chi/cosa sta raccogliendo dati dalla registrazione degli utenti, dai commenti, dai moduli di contatto, ecc.
WP GDPR Compliance (https://wordpress.org/plugins/wp-gdpr-compliance/)
Aiuta i proprietari di siti web ed ecommerce fornendo indicazioni per conformarsi alla GDPR se si usano plugin popolari come: Gravity Forms, Contact Form 7, WooCommerce ed i commenti nativi di WordPress.
GDPR (https://wordpress.org/plugins/gdpr/)
Plugin completo che permette di gestire/controllare tutte le problematiche inerenti la GDPR.
WP-GDPR (https://wordpress.org/plugins/wp-gdpr-core/)
Crea una pagina in cui gli utenti possono richiedere l'accesso ai propri dati personali, memorizzati sul tuo sito web.
Francesco Di Candia - Meetup Andria 03 Maggio 2018 15-17
Ricapitolando, le principali novità della GDPR 1/2
Più diritti e opportunità per tutti
Il Regolamento porterà significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti.
Novità per le imprese e gli enti pubblici
Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni
Normativa unica Un unico insieme di norme per tutti gli Stati dell'UE
Accountability Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili
Certificazione e codici deontologici Semplificazioni per chi offre più garanzie e promuove sistemi di autoregolamentazione
Il regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione Europea
Francesco Di Candia - Meetup Andria 03 Maggio 2018 16-17
Ricapitolando, le principali novità della GDPR 2/2
Cittadini più garantiti
Il Regolamento introduce regole più chiare in materia di Informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell'UE e per i casi di violazione dei dati personali (data breach).
Informativa Informazioni più chiare e complete sul trattamento
Consenso Consenso, strumento di garanzia anche online
Trattamenti automatizzati Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati
Nuovi diritti Più tutele e libertà con il diritto all'oblio ed il diritto alla portabilità dei dati
Trasferimento dati Garanzie rigorose per il trasferimento dei dati al di fuori dell'UE
Data breach Obbligo di comunicare i casi di violazione dei dati personali
Francesco Di Candia - Meetup Andria 03 Maggio 2018 17-17
Ciao e grazie
francesco@fabbrica42.it
@fra83
#francescodicandia