LUGANO
28.05.18 - 07:000

GDPR: cos’è e gli effetti in Svizzera per chi ha un sito web

Chi ha un sito web ha sicuramente sentito parlare del GDPR. In molti pensano che, essendo un regolamento che tutela la privacy nell’Unione Europea, non è applicabile in Svizzera. Ma non è così

 

Il GDPR (che in italiano sta per “Regolamento Generale sulla Protezione dei Dati”) dal 25 Maggio è entrato in vigore in tutti gli Stati dell’Unione Europea.

In sintesi, si tratta di una normativa unica europea - recepita automaticamente da tutti gli stati appartenenti all’Unione – che regola la complessa tematica del trattamento dei dati personali (sensibili e non) da parte delle pubbliche autorità di imprese e private.

La normativa unifica le procedure sulla privacy tra gli stati appartenenti, e riconosce alcuni diritti fondamentali prima non riconosciuti, riconosciuti solo parzialmente o riconosciuti ma non in maniera così strutturata. Nello specifico, vengono riconosciuti questi diritti:

  • Diritto all’informazione: chi tratta dati personali deve fornire, in merito al trattamento stesso, informazioni esaustive;
  • Diritto di accesso: se un’azienda o un ente detengono dei dati, il titolare di questi deve potervi accedere in qualsiasi momento;
  • Diritto di rettifica: l’interessato che fornisce i suoi dati deve poterli modificare in qualsiasi momento;
  • Diritto alla cancellazione: su richiesta, il titolare dei dati può chiederne la cancellazione immediata;
  • Diritto alla limitazione del trattamento: l’interessato può chiedere, in casi specifici, di limitare l’uso dei dati forniti;
  • Diritto alla portabilità: il titolare deve poter accedere in qualunque momento ai suoi dati e può trasferirli liberamente ad un altro operatore;
  • Diritto all’opposizione: chiunque può rifiutarsi di fornire i suoi dati, salvo obblighi di legge;
  • Diritto a non essere sottoposto a processo automatizzato decisionale: chi detiene i dati, non può trasferirli automaticamente per altri scopi o a terzi;
  • Diritto di comunicazione di violazione e abusi: se il detentore dei dati viola le norme, deve darne immediata comunicazione all’interessato.

Rispetto alle normative precedenti, tutti coloro che trattano dati sensibili devono non solo rispettare le regole, ma fare una comunicazione seria ed esaustiva sul trattamento dei dati (per esempio con delle Privacy Policy) e prendere tutte le precauzioni per evitare violazioni.

La domanda, più che legittima è: in Svizzera è lecito rispettare una normativa che non riguarda il diritto interno?

Premesso che il legislatore sta lavorando per una nuova legge sulla privacy (attualmente prevista per il 2019) che accoglierà molti princìpi del GDPR, almeno sulla carta ci sono due situazioni che in cui un’azienda svizzera è tenuta a rispettare il regolamento:
1) L’azienda ha sede in Svizzera ma filiali nell’Unione Europea
2) L’azienda ha sede in Svizzera e vende prodotti e servizi a cittadini dell’Unione

Sempre in teoria, chi è in una di queste due condizioni dovrebbe nominare pubblicamente una figura, residente nell’Unione Europea (generalmente un legale), che faccia da tramite col garante nazionale della privacy per eventuali controversie.

In definitiva, quali sono le conseguenze per chi ha un sito web svizzero che vende nell’Unione Europea?

Uno dei concetti fondamentali è quello dell’intenzionalità: se un e-commerce supporta il pagamento in Euro o prevede la spedizione in uno stato membro, o fa capire in qualsiasi modo che la vendita è rivolta all’interno dell’Unione, deve rispettare il GDPR.

Stesso discorso per chi non ha un e-commerce ma, tramite un sito vetrina, si rivolge ad una clientela dell’UE.

Se, per esempio, un sito di un albergo traccia il percorso per arrivarvi da uno Stato membro, si sta rivolgendo ad un utente dell’UE e deve applicare il GDPR.

Potenzialmente, quindi, un po’ tutti gli elementi di un sito sono soggetti a GDPR:

  • Contact Form (di solito inserito nella pagina dei contatti)
  • Un modulo di commento per articoli del blog
  • Un iframe
  • Bottoni o box che rimandano ai Social Media
  • Google Analytics o altri tool di monitoraggio utenti
  • Una User Area riservata (come ad esempio quella degli e-commerce)
  • Un modulo di iscrizione alla newsletter
  • Dei track code di Affiliate Marketing (pubblicità sul proprio sito)
  • Cookies in generale, anche di carattere tecnico

Per ognuno di questi strumenti, bisogna scrivere a cosa sono, a cosa servono, come raccolgono dati, che utilizzo se ne vuole fare, per quanto tempo vengono tenuti, come si possono cancellare i dati forniti.

In alcuni casi basta specificare tutto su una prolissa Privacy Policy. In altri casi (come in un formulario di contatto) sono obbligatorie delle caselle da spuntare dove, chi invia la richiesta, acconsente al trattamento dei dati in base al GDPR.

Insomma, sembra che il legislatore europeo ha avuto la mano pesante in termini di obblighi da adempiere.

Tuttavia, è bene specificare che sono le grandi aziende e i grandi trattatori di dati ad avere più restrizioni.

Per una piccola azienda, specie se non fa e-commerce, basta prendere qualche piccolo accorgimento.

Sicuramente un onere in più che non farà sorridere ma, almeno nelle intenzioni, le sanzioni esistono (anche se sono previsti dei richiami prima di arrivare a pene pecuniarie).

E poi, bene rimarcarlo, la salvaguardia della privacy viene sempre prima di tutto.

Articolo a cura di Clublab Sagl, siti web e grafica in Ticino

ULTIME NOTIZIE Target
Copyright ©2018 - TicinOnline SA  WhatsApp |  Company Pages | Mobile Report