Ccosa vuol dire essere GDPR-compliant

L’uso dei nostri dati personali da parte delle aziende è indiscutibilmente l’argomento più “caldo” in questo momento e pensiamo che nessuno dubiti dell’importanza di avere normative che prevengano abusi e migliorino la sicurezza di questi dati. Il Regolamento generale sulla protezione dei dati – GDPR, che è entrata in vigore il 25 maggio 2018, mira a fare proprio questo: regolare il modo in cui i dati personali degli individui, nel territorio dell’UE, vengono raccolti e utilizzati. Definisce quali sono i dati personali, ossia la maggior parte dei dati utente (nome, e-mail, username, indirizzo, numero di telefono, dati finanziari, età, dati comportamentali e altro), e obbliga chiunque ad agire in conformità con il regolamento qualora i dati appartengano a un individuo dell’UE. Non importa dove si trova la persona o l’ente che elabora i dati.

Bitecnica ha iniziato a lavorare per diventare GDPR-compliant circa un anno fa e siamo felici che questa normativa venga finalmente applicata. Riteniamo che il GDPR sia uno strumento valido per gli utenti e positivo per la sicurezza generale di internet. Non di meno, esso è perfettamente in linea con i principi che da sempre Bitecnica sostiene. Il nostro obiettivo, adesso, è quello di attuare le nuove regole e assicurarci che anche i nostri clienti le applichino alla lettera.

Il GDPR permette agli utenti di essere maggiormente informati e avere il controllo

Il GDPR è davvero una grande cosa soprattutto dal punto di vista degli utenti. Quando un utente si registra per un servizio gratuito o a pagamento e fornisce i propri dati personali, il fornitore del servizio deve informare esplicitamente l’utente sulle modalità in cui verranno utilizzati i suoi dati personali prima di completare la registrazione. Se il fine è utilizzare i dati per scopi di marketing e profilazione, o venderli a terze parti, deve essere esplicitamente dichiarato. Gli utenti saranno in grado di dire NO a determinati tipi di utilizzo e dovranno dare il consenso ai Termini di Servizio e alla Politica sulla Privacy del fornitore, facendo così una scelta consapevole. Un grande vantaggio per gli utenti: maggiore controllo sui propri dati, meno violazioni della privacy, meno spam e soprattutto meno pubblicità invasiva!

La dura burocrazia attorno al GDPR

Il progetto GDPR mira a regolamentare le attività delle grandi aziende, come Google e Facebook, che elaborano quantità impressionanti di dati personali e li utilizzano per generare guadagni. Da adesso, con il nuovo regolamento, anche se una società utilizza i dati in modo completamente legittimo, dovrà comunque attuare modifiche alla propria privacy policy per dichiarare esplicitamente che tipo di utilizzo fa dei dati e automatizzare il modo in cui l’utente potrà accedere ai propri dati personali. L’unico svantaggio è che la conformità richiede tempo e costi da sostenere, pertanto consiglio di concentrarsi sul GDPR con priorità elevata.

Come si è preparato Bitecnica per il GDPR?

In conformità con il GDPR, Bitecnica ha due responsabilità: proteggere i dati personali che raccogliamo dai nostri clienti al momento della registrazione (nome, indirizzo email, password, dati di fatturazione) e i dati che i nostri clienti raccolgono dai loro clienti ospitandoli sui nostri server. Noi dobbiamo garantire che raccogliamo, archiviamo e lavoriamo i dati dei nostri clienti in modo legittimo e che i nostri clienti sono informati su come lo facciamo. Inoltre, dobbiamo fornire garanzie e trasparenza sul modo in cui memorizziamo e gestiamo i dati dei clienti dei nostri clienti, ospitati sui nostri server.

Anche se Bitecnica ha sempre agito in conformità con i principi del GDPR, ci sono diversi punti su cui abbiamo lavorato per essere totalmente in conformità con le nuove norme. Di seguito trovate un elenco delle principali cose sulle quali stiamo lavorando.

1. Termini di servizio e aggiornamenti sulla privacy

Il GDPR dice che dobbiamo informare i clienti su quali dati vengono raccolti e dichiarare in che modo li useremo in seguito. La buona notizia è che noi raccogliamo solo un set minimo di dati personali di cui necessitiamo per fornire il servizio di hosting. Ad esempio, raccogliamo il tuo indirizzo fisico per la fatturazione e a fini fiscali. Raccogliamo i dati della tua carta di credito per esigenze di acquisto. Raccogliamo la tua email perché abbiamo bisogno di contattarti per quanto riguarda i tuoi ordini, lo stato dei servizi, importanti aggiornamenti sulle funzionalità e, se hai acconsentito a riceverle, inviarti newsletter e promozioni. Utilizziamo i cookie perché ci permettono di avere contenuti inerenti ai visitatori del nostro sito e a pubblicizzare i nostri servizi in base alle interazioni. Non utilizziamo nessuno dei dati raccolti per profilazione o vendita a terze parti.

In base ai requisiti GDPR, la nostra nuova informativa sulla privacy descriverà perché e come raccogliamo ed elaboriamo le informazioni personali e sarà a disposizione di qualsiasi cliente per rendere trasparente al massimo queste informazioni.

2. Allegati ai contratti con fornitori esterni

Alcuni dei servizi che vendiamo sono forniti da partner esterni: registrar di domini come Siteground, GlobalSign per i certificati SSL, Cloudflare per la CDN e altri ancora. Questi hanno bisogno dei dati dei clienti in modo che possano fornire i propri servizi.

Quello che stiamo facendo è far aderire i nostri partner agli obblighi di protezione dei dati e alle responsabilità per la protezione dei dati nello stesso modo in cui lo facciamo noi. Questo avviene aggiungendo, ai contratti con questi fornitori, degli allegati in cui viene definita la responsabilità di ogni entità, come da GDPR.

3. Miglioramenti delle procedure interne e del controllo dell’accesso

Dato che da 14 anni siamo tra le aziende che più hanno dato valore alla sicurezza, tutte le nostre operazioni sono state progettate sin dall’inizio seguendo i principi di sicurezza e privacy. Quello che stiamo facendo in linea con il GDPR è l’auditing e il miglioramento dei livelli di sicurezza con l’aggiunta di alcune nuove procedure (ove richiesto dal nuovo regolamento). Ad esempio, stiamo rafforzando i controlli sul personale e estendendo i nostri accordi di riservatezza e miglioriamo le nostre procedure di gestione della sicurezza e degli incidenti. Un’altra nuova procedura che abbiamo introdotto è: lavorare solamente con partner conformi al GDPR.

4. Preparare un nuovo accordo sull’elaborazione dei dati

Molti dei nostri clienti lavorano con i dati personali dei loro clienti: prendono ordini, raccolgono email tramite moduli di registrazione, utilizzano carte di credito e altro. Il cliente controlla i dati e il modo in cui essi vengono raccolti e utilizzati, ma Bitecnica li memorizza sui propri server e quindi partecipa al loro trattamento. Il nuovo accordo sull’elaborazione dei dati disciplinerà il trattamento di tali dati da parte nostra; essi saranno usati solo ai fini della fornitura del servizio di hosting, della risoluzione di richieste tecniche e di altre funzioni secondarie, come sempre. Fornendo questo accordo ai nostri clienti, garantiamo essere un partner di fiducia impegnato a rispettare i principi di trasparenza e dimostriamo di adempiere i nostri obblighi ai sensi del GDPR.

5. Diritto all’oblio

Ai sensi del GDPR, ogni cliente può far valere il diritto all’oblio, vale a dire che tutti i dati devono essere cancellati e mai utilizzati nuovamente, salvo in determinate circostanze, che possono includere il dover continuare a elaborare le informazioni personali per adempiere a un obbligo legale. Un esempio è l’obbligo di conservare una copia di tutte le fatture per dovere finanziario e fiscale. Ora stiamo sviluppando una funzionalità che consente ai nostri clienti di cancellare i loro profili dopo che tutti i servizi saranno stati disattivati.

6. Diritto di accesso, aggiornamento, portabilità e ritiro del consenso

La nostra nuova Informativa sulla Privacy ti fornirà tutti i dettagli su come trattiamo i tuoi dati personali. Come cliente sarai anche in grado di vedere quali dati memorizziamo su di te, aggiornarli e scegliere se ritirare il tuo consenso al loro uso. Tutti i nostri clienti possono attualmente vedere le loro informazioni personali nella sezione I Miei Dettagli della loro Area Utente e sono in grado di modificarli. L’uso da parte nostra delle tue informazioni personali è necessario per fornire i nostri servizi come stabilito da contratto. Chiediamo il tuo consenso solo per inviarti informazioni di marketing e offerte promozionali e abbiamo introdotto di recente nuove preferenze che ti consentono di gestire il tuo consenso al loro utilizzo.

7. Il responsabile della privacy dei dati

Il GDPR afferma che è necessario assegnare un responsabile della privacy dei dati per assicurarsi che siamo conformi alle normative e alla gestione dei reclami. Stiamo portando in azienda un DPO (Data Protection Officer) e istruendo un piccolo gruppo di persone che saranno in grado di fornire assistenza in caso di richieste e casi di protezione dei dati.

Spero che questo primo approfondimento vi sia stato utile, nelle prossime settimane sarete aggiornati con tutte le novità. Nel frattempo fatemi sapere se avete domande o dubbi riguardo l’argomento.