GDPR

Proviamo a vederci chiaro

General Data Protect Regulation

Regolamento Generale sulla Protezione dei Dati

• GDPR sta per Regolamento Generale sulla Protezione dei Dati.
  È una legge sulla privacy approvata il 14 aprile 2016 dalla Commissione europea per proteggere i diritti di tutti i cittadini dell'UE (28 Stati membri) ed i loro dati personali.

• Sostituisce la direttiva 95/46/CE sulla protezione dei dati del 24 ottobre 1995 ed è molto più ampia della legge sui cookie del 2011 (sostituita a breve dal nuovo regolamento UE e-privacy che va di pari passo con la GDPR).

• Il piano di lancio del regolamento è stato fissato per due anni, con efficacia dal 25 maggio 2018.

• La GDPR è il cambiamento più importante nella regolamentazione della privacy dei dati in 20 anni

General Data Protect Regulation

https://www.eugdpr.org/

General Data Protect Regulation

Cosa comporta la GDPR? 1/2

• Si applica a qualsiasi dato personale (qualsiasi dato correlato o utilizzabile per identificare qualcuno, collegato alla sua vita sia privata, sia professionale o pubblica. Può riguardare perciò: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer).
• Si applica anche a qualsiasi dato personale sensibile come razza, origine etnica, orientamento sessuale e stato di salute.
• Richiede che venga dato il consenso o che ci sia una buona ragione per elaborare o archiviare informazioni personali.
• Permette a una persona di richiedere che le sue informazioni personali in nostro possesso, siano completamente cancellate (a meno che non vi sia un motivo valido, come un prestito bancario). E' conosciuto anche come diritto all'oblio.
• Dà a una persona il diritto di sapere quali informazioni vengono memorizzate su di se.
• Privacy per design e per default: garantisce che le informazioni personali siano protette in modo adeguato. I nuovi sistemi devono avere la protezione progettata in partenza e garantire che l'accesso ai dati sia strettamente controllato e fornito solo quando richiesto.

General Data Protect Regulation

Cosa comporta la GDPR? 2/2

• Se i dati vengono persi, rubati o vi si accede senza autorizzazione, le autorità devono essere informate entro 72 ore insieme alle persone ai cui dati è stato effettuato l'accesso.
• I dati possono essere utilizzati solo per il motivo fornito al momento della raccolta e devono essere cancellati in modo sicuro dopo che non sono più necessari.
• Diritto di accesso e portabilità dei dati: qualsiasi persona può richiedere le proprie informazioni in un formato facilmente scaricabile in qualsiasi momento, nonché utilizzare o trasferire i dati su un altro servizio.
• Consente alle autorità nazionali di imporre ammende alle società che violano il regolamento.
• Sarà richiesto il consenso dei genitori per elaborare i dati personali dei minori di 16 anni: può variare in base allo stato membro, ma non sarà inferiore a 13 anni.

General Data Protect Regulation

Su cosa ha impatto la GDPR? 1/2

Nonostante la GDPR sia stata progettata per proteggere i diritti dei cittadini dell'UE, è innegabile che l'impatto sia sostanziale ovunque sul web, in maniera indipendente da dove è stabilita un'azienda o dove si svolgono le sue attività online.

Se il tuo sito web sta elaborando o raccogliendo dati da cittadini dell'UE, devi rispettare la General Data Protect Regulation.

General Data Protect Regulation

Su cosa ha impatto la GDPR? 2/2

Ecco alcuni esempi:

• Un sito di community WordPress che raccoglie informazioni personali per ogni profilo utente.
• Un negozio tematico WordPress con i clienti che si iscrivono agli account per acquistare temi o plug-in (dati di vendita e fatturazione).
• Un blog WordPress con un widget di iscrizione alla newsletter o che consente ai visitatori di commentare.
• Un negozio di e-commerce (WooCommerce o Easy Digital Downloads) che vende prodotti online.
• Un sito WordPress che utilizza software di analisi

Perciò, se non blocchi tutto il traffico proveniente dalla UE, la GDPR avrà impatto sul tuo sito.

Quiz -> https://ultimategdprquiz.com/

Checklist -> https://gdprchecklist.io/

General Data Protect Regulation

Conseguenze di non conformità con la GDPR

Se la tua attività commerciale non è conforme con la GPDR, potresti incorrere in una sanzione fino al 4% del tuo fatturato annuo o una multa fino a 20 milioni di euro (la cifra più alta tra le due), per ogni violazione.

Questo significa che potresti essere multato per ogni violazione.

Perciò, una società può essere multata al 2% per non avere tenuto in ordine i propri record dei suoi clienti, per non aver avvisato l'autorità e/o l'interessato di una violazione, o non condurre o non aver condotto una valutazione di impatto della GDPR sulla sua organizzazione.

Capisci bene che sei un piccolo negozio di e-commerce o uno sviluppatore WordPress queste multe potrebbero essere devastanti!

General Data Protect Regulation

Cosa fare? 1/6

Assumi un avvocato
In caso di dubbi sulla conformità del tuo sito con la GDPR (la situazione più comune al momento) ti raccomando di rivolgerti ad un avvocato che sia esperto in materia per farti consigliare al meglio.

Quest'area della legislazione è consigliabile venga trattata e gestita da chi ne è esperto, e non va assolutamente affrontata da solo, un avvocato può fornirti una consulenza legale specificamente adattata alla tua situazione.

Se ti sbagli, potresti incorrere in multe salate.

General Data Protect Regulation

Cosa fare? 2/6

Verifica il flusso di lavoro di raccolta e elaborazione dei dati

Controlla tutto il tuo sito e determina dove raccogli, elabori e conservi i dati e per quanto tempo.

Concentrati su cose come:

• Raccolta di informazioni personali sul cart di WooCommerce o una pagina di registrazione di WordPress.
• Indirizzi IP, cookie e posizioni GPS.
• Servizi come Google Analytics, Hotjar, ecc.

Dopo aver individuato tutti questi elementi, devi chiedere l'autorizzazione al visitatore alla raccolta e conservazione, oltre a spiegare come vengono utilizzati e conservati i dati raccolti.

General Data Protect Regulation

Cosa fare? 3/6

La conformità alla GDPR farà parte del WordPress Core
Dejlig Lama (dejliglama.wordpress.com/) e Peter Suhm (https://twitter.com/petersuhm) hanno iniziato a lavorare su un progetto chiamato GDPR per WordPress, con l'intento di fornire agli sviluppatori di plug-in una soluzione semplice per rendere conforme i propri plugin alla GDPR ed offrire agli amministratori dei siti gli strumenti per gestire le attività amministrative necessarie per essere conformi a GDPR. Adesso questo progetto diventerà parte del core di WordPress.

• https://www.gdprwp.com/
• https://www.gdprwp.com/gdpr-going-into-wordpress-core/
• https://make.wordpress.org/core/2018/03/28/roadmap-tools-for-gdpr-compliance/
• #gdpr-compliance su wordpress.slack.com

General Data Protect Regulation

Cosa fare? 4/6

Aggiorna tutti i documenti legali
Con l'avvento della GDPR è arrivato il momento di aggiornare i termini e le condizioni delle pagine, le pagine sulla privacy, i termini di affiliazione e qualsiasi altro documento legale o accordo che potresti avere.
Non puoi più avere moduli senza caselle di controllo, deve esserci una modalità con la quale l'utente ti fornisce una autorizzazione specifica: niente più link a fondo pagina sperando che l'utente li leggerà.
Le condizioni per il consenso sono state rafforzate e le aziende non potranno più utilizzare termini e condizioni lunghe, illeggibili ed in jargon dal momento che la richiesta di consenso deve essere fornita in forma intelligibile, accessibile, con il chiaro scopo del trattamento dei dati annessi a quel consenso, chiaro e distinguibile da altre questioni.
Ritirare il consenso dovrà essere altrettanto semplice che darlo.
Ancora una volta, ti raccomando di prevedere la consulenza di un  avvocato. Se stai semplicemente gestendo un piccolo blog, utilizza almeno uno strumento come iubenda o qualcosa di simile per generare norme sulla privacy più efficaci.

General Data Protect Regulation

Cosa fare? 5/6

Offri la portabilità dei dati
Secondo l'art. 20 della GDPR, qualsiasi azienda che raccoglie dati deve anche offrire la possibilità all'utente di scaricarli e trasferirli altrove.

L'interessato ha il diritto di ricevere i dati personali che lo riguardano, da lui forniti precedentemente, in un formato strutturato, comunemente usato e leggibile da una macchina ed ha il diritto di trasmettere tali dati a un terzo senza impedimento dal precedente detentore.

Assicurati perciò di avere in atto un sistema che ti permetta di fornire all'utente, se richiesto un file scaricabile dei suoi dati (.csv, .xml, ecc.).

General Data Protect Regulation

Cosa fare? 6/6

Controlla i temi, i plugin, i servizi, le API di WordPress
Tutti i plug-in WordPress o le funzionalità specifiche per i temi che hai installato che raccolgono o memorizzano i dati personali devono essere aggiornati affinché il tuo sito sia completamente conforme alla GDPR. Se sei uno sviluppatore WordPress, dovresti già avere un piano per implementare le modifiche GDPR per i tuoi plugin e/o temi.

Ecco alcune categorie di plugin per i quali ci sarà da controllare l'impatto con la GDPR (molti di questi hanno già provveduto in autonomia ad implementare la conformità alla GDPR

• Contact Form (Gravity Forms, Ninja Forms, CF7 + CF7 DB, WPForms)
• Comments (Disqus, JetPack, commenti nativi)
• Marketing e Services (MailChimp, MailerLite, ActiveCampaign, AWeber)
• Analytics, Tracking, Remarketing (Google Analytics, AdRoll, Hotjar)
• eCommerce (WooCommerce, EasyDigital Download, Stripe, PayPal)
• Community (LearnDash, bbPress, BuddyPress)

General Data Protect Regulation

Plugin di WordPress per la GDPR

WP Security Audit Log (https://wordpress.org/plugins/wp-security-audit-log/)
Oltre ad effettuare dei veloci controlli inerenti la sicurezza del sito, permette di tenere sotto controllo chi/cosa sta raccogliendo dati dalla registrazione degli utenti, dai commenti, dai moduli di contatto, ecc.

WP GDPR Compliance (https://wordpress.org/plugins/wp-gdpr-compliance/)

Aiuta i proprietari di siti web ed ecommerce fornendo indicazioni per conformarsi alla GDPR se si usano plugin popolari come: Gravity Forms, Contact Form 7, WooCommerce ed i commenti nativi di WordPress.

GDPR (https://wordpress.org/plugins/gdpr/)

Plugin completo che permette di gestire/controllare tutte le problematiche inerenti la GDPR.

WP-GDPR (https://wordpress.org/plugins/wp-gdpr-core/)

Crea una pagina in cui gli utenti possono richiedere l'accesso ai propri dati personali, memorizzati sul tuo sito web.

General Data Protect Regulation

Ricapitolando, le principali novità della GDPR 1/2

Più diritti e opportunità per tutti
Il Regolamento porterà significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti.

Novità per le imprese e gli enti pubblici

Imprese ed enti avranno più responsabilità, ma potranno beneficiare di semplificazioni. In caso di inosservanza delle regole sono previste sanzioni

Normativa unica Un unico insieme di norme per tutti gli Stati dell'UE

Accountability Approccio basato sulla valutazione del rischio che premia i soggetti più responsabili

Certificazione e codici deontologici Semplificazioni per chi offre più garanzie e promuove sistemi di autoregolamentazione

Il

General Data Protect Regulation

Ricapitolando, le principali novità della GDPR 2/2

Cittadini più garantiti
Il Regolamento introduce regole più chiare in materia di Informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell'UE e per i casi di violazione dei dati personali (data breach).

Informativa Informazioni più chiare e complete sul trattamento
Consenso Consenso, strumento di garanzia anche online

Trattamenti automatizzati Limiti alla possibilità per il titolare di adottare decisioni solo sulla base di un trattamento automatizzato di dati

Nuovi diritti Più tutele e libertà con il diritto all'oblio ed il diritto alla portabilità dei dati

Trasferimento dati Garanzie rigorose per il trasferimento dei dati al di fuori dell'UE

Data breach Obbligo di comunicare i casi di violazione dei dati personali

General Data Protect Regulation

Ciao e grazie

francesco@fabbrica42.it

@fra83

#francescodicandia