A meno che non abbiate vissuto sotto una roccia nelle ultime settimane, molto probabilmente siete stati inondati di e-mail sul GDPR. Se non siete nel giro, il GDPR (Regolamento generale sulla protezione dei dati) è un nuovo insieme di requisiti relativi alla protezione dei dati personali dei residenti nell'UE.
Le discussioni iniziali sono iniziate sei anni fa, ma non è stato raggiunto un accordo su come sarebbe stato il PILR finale fino ad aprile 2016quando il termine ultimo per la conformità è stato fissato al 25 maggio 2018. La frenesia per la conformità è aumentata solo con l'avvicinarsi della scadenza, e il PILR è ora ufficialmente in vigore.
Quindi, cosa comporta esattamente il GDPR e cosa significa per i proprietari di siti web e gli editori? Analizzeremo le informazioni necessarie in questa pratica lista di controllo.
Il GDPR vi interessa?
Il GDPR non si applica solo alle aziende dell'Unione Europea; esso ha un impatto su qualsiasi azienda, in qualsiasi parte del mondo, che raccoglie, memorizza o elabora i dati dei residenti dell'UE. Alcune aziende sono ha avuto un impatto maggiore di altri, però:
- Aziende che elaborano o memorizzano un grande volume di dati sui consumatori
- Imprese tecnologiche e di marketing
- Broker di dati che gestiscono l'elaborazione dei dati o collegano sistemi disparati
- Editori digitali/gestori di siti web
L'impatto maggiore? Colpisce le aziende con modelli di business che si basano sulla raccolta e lo sfruttamento dei dati dei consumatori.
La linea di fondo: Se stai raccogliendo, usando, immagazzinando o accedendo ai dati di qualsiasi residente europeo, il GDPR si applica a te. Continuate a leggere per sapere cosa gli editori - e chiunque sia responsabile della supervisione di un sito web - devono sapere sul GDPR.
I cambiamenti del PILR in sintesi
Cosa c'è di diverso in GDPR rispetto alle precedenti norme sulla protezione dei dati personali?
- La definizione di informazione privata viene ampliata e comprende ora tutti i dati che potrebbero identificare un individuo - direttamente o indirettamente. Tra questi figurano i numeri di identificazione dei dispositivi, i dati di geolocalizzazione, gli indirizzi IP e persino gli ID dei cookie.
- I dati della "categoria speciale" sono dati personali classificati come più sensibili e quindi richiedono una protezione ancora più sicura. Oltre alla razza, all'origine etnica, alla politica, alla religione, all'appartenenza a un sindacato, alla salute, alla vita sessuale e all'orientamento sessuale, questi dati comprendono ora anche dati genetici e biometrici.
- È necessario il consenso esplicito per condividere i dati personali di qualsiasi residente nell'UE. Tale consenso deve essere inequivocabile e deve essere ottenuto in modo specifico per ogni attività di trattamento dei dati, consentendo ai residenti nell'UE di acconsentire ai tipi di trattamento dei dati con cui si trovano a loro agio. Fondamentalmente, i vostri utenti stanno ora optando per il trattamento dei dati e dovete informarli che possono ritirare il loro consenso in qualsiasi momento.
- Potete essere multati per le violazioni, indipendentemente dal luogo in cui si trova la vostra azienda.
- L'utente è responsabile delle violazioni, sia che sia il proprietario dei dati (responsabile del trattamento) che l'elaboratore di dati. Ciò significa che anche se la vostra azienda si limita a gestire i dati per conto di un'altra società, siete responsabili della conformità alla GDPR. Assicuratevi di ricercare i passi compiuti dai vostri fornitori verso la conformità e di capire come continuare a utilizzare responsabilmente i loro strumenti e servizi. (Ad esempio, se stavate usando ShareThis's pulsanti di condivisione dei social media, si potrebbe garantire un facile rispetto della normativa utilizzando ShareThisil nuovo strumento di conformità GDPR.)
- Gli editori sono spesso proprietari dei dati, il che significa che siete responsabili della segnalazione delle violazioni alle autorità competenti entro 72 ore dalla scoperta.
Qual è la differenza tra un responsabile del trattamento e un elaboratore dati? Il responsabile del trattamento è l'entità incaricata di determinare come vengono trattati i dati personali e perché. I responsabili del trattamento dei dati, invece, si occupano dell'effettivo trattamento per conto del titolare del trattamento. Gli editori sono, nella maggior parte dei casi, i responsabili del trattamento dei dati.
Cosa sapere (e fare) se sei un editore o un operatore di siti web
Come editore, probabilmente stai dando ai tuoi utenti una varietà di modi per interagire con i tuoi contenuti, da pulsanti che permettono loro di seguirvi sui social media, per commentare le sezioni dei vostri articoli, per facilitare i modi di reagire ai vostri contenuti. La maggior parte dei siti web utilizza i cookie per riconoscere gli utenti e fornire un'esperienza più personalizzata. Tutte queste attività possono portare alla raccolta di dati sui vostri utenti, il che lascia gli editori in balia della conformità al GDPR.
Abbiamo suddiviso le fasi dell'azione e i must-dos che ogni editore o operatore di siti web deve sapere per conformarsi alla GDPR qui sotto.
Essenziale all'interno dell'azienda
- Nominare qualcuno che si occupi della conformità al GDPR. Alcune aziende sono tenute a nominare un responsabile della protezione dei dati (DPO) secondo le nuove regole, comprese le autorità pubbliche e qualsiasi elaboratore di dati che opera su larga scala, anche se questo non è probabilmente richiesto per gli editori su piccola scala. Anche se non vi è richiesto di nominare un DPO, è nel vostro interesse nominare qualcuno che guidi lo sviluppo di una strategia di conformità al GDPR, supervisionare la conformità in corso e stare al passo con i nuovi sviluppi del GDPR.
- Formare il personale sul GDPR. Chiunque tocchi i dati di utenti, clienti o visitatori dovrebbe sapere chi, all'interno dell'organizzazione, è responsabile della strategia GDPR e capire quali violazioni GDPR possono verificarsi.
- La documentazione è il tuo nuovo migliore amico. Documenta chiaramente tutte le fasi del processo di raccolta, utilizzo, archiviazione e condivisione dei dati personali, e assicurati che anche qualsiasi modifica a questi processi sia immediatamente documentata.
- Effettuare regolarmente delle verifiche. Per garantire che la tua azienda rimanga conforme, dovresti controllare regolarmente il tuo ambiente digitale, i processi e la documentazione.
Gestione dei fornitori
- Valuta i tuoi fornitori e comprendi la loro conformità. Come editore, probabilmente stai lavorando con una serie di fornitori per diversi aspetti della tua operazione, come l'analisi e la pubblicità. Secondo il GDPR, spetta a voi determinare se i vostri fornitori sono conformi al GDPR. Gli editori stanno spesso lavorando con numerosi fornitori di terze parti, e ora è un ottimo momento per valutare e perfezionare queste partnership. Siate selettivi nelle persone con cui lavorate.
- Comunicare la vostra politica sui dati. Potrebbe essere necessario rivedere i contratti con i vostri fornitori per incorporare le vostre aspettative sulla gestione dei dati. Comunica le tue politiche sui dati con ogni fornitore con cui lavori a qualsiasi titolo in relazione ai dati.
- Definite i processi per le notifiche di violazione nei vostri contratti. Nel caso di una violazione dei dati, il fornitore è responsabile della notifica al proprietario dei dati (il controllore) di una violazione il più presto possibile. Spiegare per iscritto questo processo, le scadenze e altri requisiti di notifica è una buona idea.
- Non raccogliere dati personali. Se uno qualsiasi dei dati degli utenti rientra nella definizione di "dati personali" di GDPR, adottare misure per non raccoglierli o condividerli con terzi senza il consenso esplicito dell'utente.
Gestione degli utenti
- Sviluppare nuove informative sulla privacy. Come abbiamo detto prima, il consenso ora deve essere esplicito e specifico, quindi assicuratevi che i vostri avvisi siano in un linguaggio semplice e facilmente comprensibile per gli utenti per scegliere le attività di raccolta ed elaborazione dei dati. Spiegate chiaramente quali dati volete raccogliere, perché e cosa pensate di fare con essi, compreso come saranno conservati e se saranno condivisi con terze parti.
- Sviluppare un processo per informare gli utenti, ottenere il consenso e gestire il consenso. Ricorda che i residenti dell'UE possono ritirare il loro consenso per qualsiasi attività di elaborazione dei dati in qualsiasi momento, quindi avrai bisogno di un processo ben definito per tenere sotto controllo quale consenso hai ottenuto per quali individui. ShareThisStrumento di conformità GDPR rende facile dare ai vostri utenti il controllo dei loro dati.
- Elaborare strategie per fornire agli utenti l'accesso ai loro dati. Secondo il GDPR, i residenti dell'UE possono richiedere copie dei loro dati personali in qualsiasi momento, e i controllori dei dati devono conformarsi in modo tempestivo. Rendere i dati personali accessibili agli utenti e permettere loro di correggere eventuali imprecisioni con facilità.
- Sviluppare processi per identificare le violazioni e informare gli utenti e le autorità interessate. Se si verifica una violazione, voi e il vostro staff dovreste conoscere i prossimi passi immediati. Chi è incaricato di notificare le autorità? Come si determina se è necessario notificare le persone interessate? Quali informazioni è necessario includere in una notifica di violazione? Tutte queste informazioni dovrebbero essere immediatamente accessibili, e ci dovrebbe essere qualcuno incaricato di eseguire ogni passo (anche se si tratta della stessa persona che gestisce ogni compito).
- Non dimenticare il diritto all'oblio. Secondo il GDPR, i residenti dell'UE possono richiedere che i loro cancellazione dei dati. Gli editori (e qualsiasi entità soggetta a GDPR) devono conformarsi in modo tempestivo, quindi è imperativo avere un processo definito per soddisfare queste richieste. Ciò significa anche adottare "misure ragionevoli" per notificare a tutti gli elaboratori o ad altre terze parti che hanno toccato i dati.
La conformità alla GDPR sembra scoraggiante per molti editori e proprietari di siti web, ma una volta che si ha una solida conoscenza di ciò che la normativa comporta, è chiaro che si tratta di requisiti di buon senso e (per lo più) pratici che rafforzano la privacy degli utenti. Se da un lato è necessario rivedere le partnership, rivedere il linguaggio contrattuale e sviluppare nuove politiche e procedure, dall'altro vale la pena di evitare costose sanzioni e, cosa ancora più importante, dare ai propri utenti la privacy che meritano.