Tra le varie questione contemplate nel piano di sicurezza aziendale c’è quello della protezione dei dati personali in vari ambiti (dai semplici dati anagrafici alle informazioni varie di natura sociale, religiosa, preferenze, interessi, gusti, votazioni e punteggi, fotografie ecc). In molti libri di testo non ci sono sezioni aggiornate. Vediamo un piccolo riassunto.
Sostanzialmente gestire la Privacy è rispondere a domande come queste: Come devo salvare questi dati? Chi può leggerli? Come possono essere e con chi condivisi? Occorre un’autorizzazione per manipolarli o solo per pubblicarli? Chi deve controllare e chi è responsabile? Questo settore è molto sensibile e decisamente di attualità poiché tutti i governi nazionali e sovranazionali si stanno muovendo in modo deciso in un ambito dove per molto tempo si è lasciato spazio all’improvvisazione. Con la grande mole di informazioni che sta viaggiando in rete, i famosi Big Data e l’avvento di tecnologie invasive come la IoT, la questione privacy sarà sempre più importante.
Le norme attuali sono racchiuse in quello che viene detto GDPR (General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, aggiornato il 25 maggio 2018, che sostituisce, di fatto, tutte le norme precedenti dei singoli Stati della UE, inclusa l’Italia.
In estrema sintesi col GDPR:
- si introducono regole più chiare su informativa e consenso;
- vengono definiti i limiti al trattamento automatizzato dei dati personali;
- poste le basi per l’esercizio di nuovi diritti;
- stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- fissate norme rigorose per i casi di violazione dei dati (data breach);
- il diritto all’oblio;
- portabilità dei dati, ovvero il trasferimento dei propri dati da una piattaforma all’altra senza vincolarsi ad un account preciso.
A noi come informatici cosa interessa più di tutto?
Il regolamento coinvolge tutti coloro che raccolgono dati personali, dalla semplice bacheca per un commento, all’account, una semplice mail fornita per una newsletter. Sicuramente da sviluppatori web e proprietari di un sito, dobbiamo tener conto del GDPR. Se sviluppiamo un sito web, in particolare, dovremo inserire nel nostro sito una pagina con la Privacy Policy che spieghi:
- quali dati personali raccoglie il nostro sito;
- perché vengono raccolti;
- da chi vengono raccolti e trattati;
- in che modo vengono ottenuti tali dati (ad esempio con i cookie) ;
- se, come e per quanto tempo verranno conservati;
- se saranno ceduti a soggetti terzi a a quali condizioni
Accanto a questa pagina dove quindi l’utente può leggere e capire come saranno gestiti i suoi dati, sul sito deve essere visibile in ogni pagina un elemento che chieda esplicitamente il consenso a questa policy e ne permetta la lettura. Infatti molti siti web, anche se non fanno inserire esplicitamente informazioni attraverso delle form, usano dei cookies che tracciano cosa facciamo e guardiamo all’interno del sito e permettono di ottimizzare la nostra navigazione. Alcuni vengono detti cookie tecnici e sono puramente necessari al sito anzi obbligatori; altri cookie di terze parti, servono a monitorare invece le nostre azioni e sono spesso di servizi pubblicitari di Google. A maggior ragione, nei moduli e nelle form dove si inseriscono informazioni sensibili personali, lo sviluppatore deve inserire opportuni flag per avere il consenso responsabile dell’utente. Se ci fate caso, ogni volta che vi iscrivete ad un sito, ormai vi fanno compilare una serie di paragrafi con i Radio Button “Do/non do” il consenso. Beh proprio di questo si tratta! Se invece compilate un semplice form per commentare un blog o simile, non inserite esplicitamente vostri dati, quindi è facile che nessuno vi chieda consenso.
Se nella prima versione del GDPR, emerge la figura del “responsabile del trattamento dati“, nella versione 2018 questa figura viene caricata di altre responsabilità suddividendo due figure precise il titolare del trattamento dati (ad esempio il datore di lavoro) e il responsabile della protezione dei dati, ovvero il DPO, Data Protection Officer, figura da nominare obbligatoriamente (e da remunerare) che fornirà consulenza e farà da controllore dei dati che transitano su siti web, piattaforme, social che riguardano l’azienda di riferimento o l’ente di Pubblica Amministrazione a cui è sottoposto. Figura che si dovrà coordinare con chi archivia e gestisce le informazioni per cancellare o richiedere nel modo corretto.
Con la versione 2018, puntiamo l’attenzione sul diritto all’oblio, ovvero la possibilità di far rimuovere dai server di un determinato sito/servizio informazioni e, soprattutto, materiale multimediale come foto o video che ledono la propria immagine o sfera personale. E’ una novità piuttosto rilevante, resa necessaria per arginare fenomeni di cyberbullismo, porn revenge, fake news e diffusione impropria di materiale personale (anche una semplice foto condivisa ingenuamente su un social che ci ritrae), a danno sia di adulti che di minori.
Care le multe in caso di inottemperanza del GDPR: 10 milioni di Euro, o fino al 2% del fatturato per le imprese in caso non si comunichi una data brench in 72 ore, o risarcimento del danno materiale o immateriale d parte di un individuo, stabilito da un giudice nel caso ci sia palese dolo.
Potete trovare un esempio di policy anche su questo sito, in basso nel footer per copiarlo e personalizzarlo per il vostro sito o, magari, cercarne uno adeguato su siti più simili a quello che state producendo. Un facsimile è anche tra gli allegati di questo post.
Ultima modifica 21 Febbraio 2022