Il GDPR (General Data Protection Regulation) \u00e8 una delle normative sulla privacy pi\u00f9 complete al mondo e, dal 25 maggio 2018, impone regole precise su come raccogliere, usare, conservare e condividere dati personali. Non \u00e8 un tema \u201csolo da enterprise\u201d: basta gestire un blog, un e-commerce o una web app che tratta dati di residenti nell\u2019Unione Europea per rientrare nell\u2019ambito di applicazione, anche se l\u2019azienda \u00e8 fuori dall\u2019UE.<\/p>\n\n\n\n
Il rischio non \u00e8 teorico: la non conformit\u00e0 pu\u00f2 portare a sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale<\/strong>, a seconda di quale valore sia pi\u00f9 alto. Oltre alle multe, le autorit\u00e0 possono imporre limiti o divieti al trattamento, ordinare cancellazioni e restringere i trasferimenti di dati.<\/p>\n\n\n\n Il GDPR \u00e8 un regolamento UE che definisce responsabilit\u00e0, principi e diritti legati ai dati personali<\/strong> (qualunque informazione che identifichi o renda identificabile una persona). Per chi fa web significa gestire correttamente moduli contatto, account utenti, pagamenti, tracciamenti, cookie, newsletter, log, analytics, tool di supporto e qualsiasi integrazione che tocchi dati degli utenti.<\/p>\n\n\n\n Prima di parlare di checklist, chiarisci \u201cchi sei\u201d nel trattamento. Se decidi finalit\u00e0 e mezzi del trattamento, sei Data Controller<\/strong> (titolare del trattamento). Se tratti dati personali per conto di un altro soggetto, sei Data Processor<\/strong> (responsabile del trattamento). Molte realt\u00e0 ricoprono entrambe le posizioni in contesti diversi.<\/p>\n\n\n\n La checklist funziona davvero solo se la leghi ai principi base. Sono i criteri con cui un\u2019autorit\u00e0 valuta scelte tecniche, processi e policy:<\/p>\n\n\n\n Di seguito trovi una checklist operativa organizzata per aree. Per ogni punto indico a chi si applica (Controller\/Processor) e l\u2019articolo GDPR di riferimento.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Devi avere un elenco dei tipi effettivi di informazioni trattate (pensa alle \u201ccolonne\u201d: nome, indirizzo, identificativi, ecc.). Per ciascun tipo, documenta: la fonte, con chi lo condividi, lo scopo e per quanto tempo lo conservi.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Non limitarti ai database (es. MySQL): includi anche archivi offline come documenti cartacei. L\u2019obiettivo \u00e8 rappresentare i \u201cdata stores\u201d e i flussi tra sistemi (CMS, CRM, piattaforma newsletter, helpdesk, hosting, ecc.).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n La policy deve coprire i processi relativi alla gestione dei dati personali e includere (o linkare) i tipi di dati trattati e dove vengono conservati.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Nella policy serve indicare la base giuridica del trattamento (ad esempio esecuzione di un contratto).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Il DPO \u00e8 obbligatorio solo in tre scenari:<\/p>\n\n\n\n Se \u00e8 richiesto, il DPO deve conoscere le linee guida GDPR e anche i processi interni che coinvolgono dati personali.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Chi prende decisioni su prodotto, marketing, IT e operation deve avere conoscenze aggiornate sulla normativa e sul concetto di \u201cprivacy by design\/by default\u201d (protezione dei dati fin dalla progettazione e per impostazione predefinita).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Mantieni le misure di sicurezza tecniche allo stato dell\u2019arte. Per realt\u00e0 SaaS, usare security checklist come punto di partenza aiuta a non lasciare buchi evidenti nelle misure minime.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Processor.<\/p>\n\n\n\n Molte vulnerabilit\u00e0 nascono da azioni inconsapevoli di persone che hanno accesso a sistemi interni. La formazione deve rendere evidenti rischi e comportamenti sicuri (phishing, gestione credenziali, condivisione dati, ecc.).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Processor.<\/p>\n\n\n\n Se ti appoggi a sub-fornitori (sub-processor) per trattare dati per conto del controller, devi informare i clienti del loro uso; il consenso avviene tramite accettazione della Privacy Policy (nei casi in cui la base giuridica sia il consenso).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 28 \u2013 Processor<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Se operi fuori dall\u2019UE ma raccogli dati di cittadini\/residenti UE, devi designare un rappresentante in uno Stato membro. Deve gestire le questioni relative al trattamento ed essere contattabile dalle autorit\u00e0 locali.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Le violazioni di dati personali vanno notificate entro 72 ore<\/strong> all\u2019autorit\u00e0 competente. Devi indicare quali dati sono stati persi, le conseguenze e le contromisure adottate. A meno che i dati trapelati non fossero cifrati, va informato anche l\u2019interessato (data subject) i cui dati sono stati coinvolti.<\/p>\n\n\n\n Riferimenti:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority<\/strong>; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Quando condividi dati con un processor (es. hosting provider), deve esistere un contratto con istruzioni esplicite sul trattamento. Il contratto deve definire: oggetto e durata del trattamento, natura e finalit\u00e0, tipi di dati personali, categorie di interessati, obblighi e diritti del controller. Gli stessi requisiti valgono quando un processor ingaggia un sub-processor per svolgere attivit\u00e0 per conto del controller.<\/p>\n\n\n\n Riferimenti:<\/strong> GDPR Article 28 \u2013 Processor<\/strong>; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Devi predisporre un processo chiaro per gestire le richieste di accesso ai dati da parte degli interessati.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Fornisci un meccanismo per correggere dati inesatti.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Automatizza la cancellazione quando i dati non servono pi\u00f9. Esempio: eliminare automaticamente i dati di clienti i cui contratti non sono stati rinnovati.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Implementa una procedura per gestire richieste di cancellazione (right to be forgotten).<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Gli utenti possono chiedere di limitare come i loro dati vengono trattati; serve un processo per gestire la richiesta e applicarla concretamente sui sistemi.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n La portabilit\u00e0 implica fornire i dati in un formato strutturato, di uso comune e leggibile da macchina, per consentire trasferimento a un altro controller senza ostacoli.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Vale solo se svolgi attivit\u00e0 di profiling o decision making automatizzato che pu\u00f2 avere impatti sull\u2019utente: in quel caso deve essere semplice opporsi.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Se il sito raccoglie dati personali sulla base del consenso, rendi ben visibile il link alla Privacy Policy e richiedi accettazione di termini e condizioni in modo esplicito. Il consenso richiede un\u2019azione affermativa: niente checkbox pre-selezionate<\/strong>.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n La policy deve essere semplice e non \u201cnascondere\u201d intenzioni o implicazioni. In caso contrario l\u2019accordo pu\u00f2 diventare inefficace. Se fornisci servizi a minori, il testo deve essere comprensibile anche per loro.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Il recesso non deve essere pi\u00f9 complicato dell\u2019opt-in iniziale: stessa immediatezza, stessa chiarezza.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Per minori di 16 anni \u00e8 necessario assicurarsi che il consenso sia dato da un tutore legale. Se la raccolta avviene via web, bisogna provare a verificare che l\u2019approvazione arrivi davvero dal tutore e non dal minore.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Quando modifichi la policy, avvisa gli utenti gi\u00e0 acquisiti (ad esempio via email), spiegando in modo semplice cosa \u00e8 cambiato.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Rivedi regolarmente policy e procedure, verifica che siano efficaci, aggiornale se cambiano i trattamenti o se cambiano le condizioni nei Paesi verso cui fluiscono i dati.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller.<\/p>\n\n\n\n Vale per aziende che effettuano trattamenti su larga scala, profiling e altre attivit\u00e0 ad alto rischio per diritti e libert\u00e0 delle persone. In questi casi serve una Data Protection Impact Assessment (DPIA)<\/strong>.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/strong>.<\/p>\n\n\n\n Si applica a:<\/strong> Data Controller, Data Processor.<\/p>\n\n\n\n Trasferisci dati fuori dall\u2019UE solo verso Paesi con livello di protezione adeguato e dichiara questi flussi transfrontalieri nella Privacy Policy. Se trasferisci verso Paesi non \u201cadeguati\u201d, usa Standard Contractual Clauses (SCCs)<\/strong> o Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/strong>.<\/p>\n\n\n\n Oltre ai punti operativi sopra, conviene \u201cmappare\u201d i diritti che il GDPR garantisce ai Data Subjects e verificare che sito, processi e policy li rendano esercitabili.<\/p>\n\n\n\n Il controller deve adottare misure adeguate per fornire informazioni sul trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio chiaro e semplice (ancora di pi\u00f9 se rivolto a minori). Le informazioni possono essere fornite per iscritto o con altri mezzi, anche elettronici.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 12<\/strong>.<\/p>\n\n\n\n Devono includere:<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 13<\/strong>.<\/p>\n\n\n\n Quando i dati arrivano da altre fonti, devi fornire informazioni simili, includendo le categorie di dati personali coinvolte e la fonte.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 14<\/strong>.<\/p>\n\n\n\n L\u2019interessato pu\u00f2 ottenere conferma dell\u2019esistenza del trattamento e accesso a:<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 15<\/strong>.<\/p>\n\n\n\n Diritto a ottenere senza ingiustificato ritardo la correzione di dati inesatti e il completamento di dati incompleti.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 16<\/strong>.<\/p>\n\n\n\n Diritto a ottenere la cancellazione quando:<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 17<\/strong>.<\/p>\n\n\n\n Diritto a ottenere la limitazione quando:<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 18<\/strong>.<\/p>\n\n\n\n Il controller comunica rettifica\/cancellazione\/limitazione a ogni destinatario a cui i dati sono stati comunicati, salvo sia impossibile o richieda sforzi sproporzionati.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 19<\/strong>.<\/p>\n\n\n\n Diritto a ricevere i dati in formato strutturato, di uso comune e leggibile da macchina, e a trasmetterli a un altro controller senza impedimenti.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 20<\/strong>.<\/p>\n\n\n\n Diritto di opporsi, per motivi legati alla propria situazione particolare, in qualsiasi momento, a trattamenti basati su legittimo interesse o interesse pubblico, incluso il profiling.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 21<\/strong>.<\/p>\n\n\n\n Diritto a non essere soggetti a decisioni basate unicamente su trattamento automatizzato (incluso il profiling) che producono effetti giuridici o impatti significativi simili.<\/p>\n\n\n\n Riferimento:<\/strong> GDPR Article 22<\/strong>.<\/p>\n\n\n\n Se il sito usa cookie non essenziali, devi ottenere consenso esplicito prima di attivarli.<\/p>\n\n\n\n Requisiti pratici del banner:<\/p>\n\n\n\nCos\u2019\u00e8 il GDPR, in pratica (per chi gestisce un sito)<\/h2>\n\n\n\n
Capire il tuo ruolo: Controller, Processor, Data Subject<\/h2>\n\n\n\n
\n\n
I 7 principi del GDPR (la bussola della conformit\u00e0)<\/h2>\n\n\n\n
\n\n
Checklist completa di conformit\u00e0 GDPR<\/h2>\n\n\n\n
Dati (inventario, flussi, policy)<\/h3>\n\n\n\n
1) Inventario dei tipi di dati personali, origine, condivisioni, finalit\u00e0 e tempi di conservazione<\/h4>\n\n\n\n
2) Mappa dei luoghi in cui conservi dati personali e di come fluiscono tra di essi<\/h4>\n\n\n\n
3) Privacy Policy pubblica e accessibile che descriva tutti i processi sui dati personali<\/h4>\n\n\n\n
4) Base giuridica nella Privacy Policy: perch\u00e9 il trattamento \u00e8 necessario<\/h4>\n\n\n\n
Accountability & gestione (ruoli, formazione, contratti, incident response)<\/h3>\n\n\n\n
5) Nomina di un Data Protection Officer (DPO), quando richiesto<\/h4>\n\n\n\n
\n\n
6) Consapevolezza GDPR tra decision maker e figure chiave<\/h4>\n\n\n\n
7) Sicurezza tecnica aggiornata (misure adeguate al rischio)<\/h4>\n\n\n\n
8) Formazione dello staff sui rischi di data protection<\/h4>\n\n\n\n
9) Elenco dei sub-processor e menzione in Privacy Policy<\/h4>\n\n\n\n
10) Rappresentante nell\u2019UE per aziende extra-UE che trattano dati di residenti UE<\/h4>\n\n\n\n
11) Gestione e notifica dei data breach a autorit\u00e0 e interessati<\/h4>\n\n\n\n
12) Contratti con i processor con cui condividi dati (Data Processing Agreement)<\/h4>\n\n\n\n
Nuovi diritti (processi per richieste utenti)<\/h3>\n\n\n\n
13) Accesso ai dati personali: richiesta semplice e processo definito<\/h4>\n\n\n\n
14) Rettifica: l\u2019utente deve poter aggiornare i propri dati per mantenerli accurati<\/h4>\n\n\n\n
15) Cancellazione automatica dei dati non pi\u00f9 necessari<\/h4>\n\n\n\n
16) Diritto all\u2019oblio: richiesta di cancellazione semplice e processo operativo<\/h4>\n\n\n\n
17) Limitazione del trattamento: possibilit\u00e0 di chiedere di \u201cfermarsi\u201d<\/h4>\n\n\n\n
18) Portabilit\u00e0: consegnare i dati all\u2019utente o a terzi in formato machine-readable<\/h4>\n\n\n\n
19) Opposizione a profiling\/decisioni automatizzate (se applicabile)<\/h4>\n\n\n\n
Consenso (quando la base giuridica \u00e8 il consenso)<\/h3>\n\n\n\n
20) Il consenso deve essere libero, specifico, informato e revocabile<\/h4>\n\n\n\n
21) Privacy Policy in linguaggio chiaro e comprensibile<\/h4>\n\n\n\n
22) Revocare il consenso deve essere facile quanto concederlo<\/h4>\n\n\n\n
23) Dati dei minori: verifica et\u00e0 e consenso del tutore legale<\/h4>\n\n\n\n
24) Aggiornamenti della Privacy Policy: informare i clienti esistenti<\/h4>\n\n\n\n
Follow-up (conformit\u00e0 come processo continuo)<\/h3>\n\n\n\n
25) Revisione periodica: policy, efficacia, cambiamenti nei trattamenti e nei Paesi coinvolti<\/h4>\n\n\n\n
Casi speciali<\/h3>\n\n\n\n
26) DPIA: sapere quando \u00e8 obbligatoria una valutazione d\u2019impatto (alto rischio)<\/h4>\n\n\n\n
27) Trasferimenti extra-UE: solo verso Paesi con protezione adeguata (e disclosure in policy)<\/h4>\n\n\n\n
Diritti dell\u2019interessato (Data Subject Rights) da coprire sempre<\/h2>\n\n\n\n
Diritto a informazioni trasparenti<\/h3>\n\n\n\n
Informazioni specifiche quando i dati sono raccolti direttamente<\/h3>\n\n\n\n
\n\n
Informazioni specifiche quando i dati non sono raccolti direttamente<\/h3>\n\n\n\n
Diritto di accesso<\/h3>\n\n\n\n
\n\n
Diritto di rettifica<\/h3>\n\n\n\n
Diritto alla cancellazione (right to be forgotten)<\/h3>\n\n\n\n
\n\n
Diritto alla limitazione del trattamento<\/h3>\n\n\n\n
\n\n
Diritto a essere notificati su rettifica, cancellazione o limitazione<\/h3>\n\n\n\n
Diritto alla portabilit\u00e0 dei dati<\/h3>\n\n\n\n
Diritto di opposizione<\/h3>\n\n\n\n
Diritto a non essere sottoposti a decisioni automatizzate<\/h3>\n\n\n\n
Passi pratici di implementazione (operativi, non solo \u201cpolicy\u201d)<\/h2>\n\n\n\n
1) Mettere in sicurezza il sito<\/h3>\n\n\n\n
\n\n
2) Implementare un cookie consent banner fatto bene<\/h3>\n\n\n\n
\n\n