GDPR : facciamo il punto sulla nuova normativa privacy

Pubblicato il 15.05.2018

Le richieste di chiarimenti in merito al GDPR sono oramai all'ordine del giorno, e dopo tante informazioni fornite al telefono e' arrivato il momento di fare il punto della situazione.

Abbiamo quindi realizzato questo articolo per chiarire in maniera piu' specifica quelli che sono i principali aspetti del GDPR che potrebbero riguardare il software gestionale e la piattaforma ecommerce Ready Pro.

Cos'e' il GDPR?
Quando si parla di GDPR ci si riferisce al nuovo regolamento europeo per la protezione dei dati personali dei cittadini UE, che entrera' in vigore il prossimo 25 maggio 2018 (sì, mancano poche settimane)
Si tratta di un documento di circa 90 pagine, una lettura non proprio "leggera", quindi in questo articolo cercheremo di sintetizzare almeno quelli che sono gli aspetti principali, in particolare quelli legati all'ambito gestionale ed ecommerce.
Per chi avesse tempo e voglia di leggerlo tutto, il testo completo tradotto in italiano lo trovate QUI.

Di cosa parla, in sintesi, il GDPR?
Il regolamento nasce per proteggere i dati personali dei cittadini europei, e stabilisce delle regole per le imprese che gesticono tali dati.

Quindi:
 a) parliamo di dati di persone fisiche, cittadini di paesi UE (quindi riguarda i dati personali del sig. Rossi, mentre NON riguarda ad esempio la ragione sociale di un'azienda od i dati personali di un cittadino russo)
 b) parliamo di come questi dati devono essere trattati dalle imprese che li acquisiscono  (imprese ovunque ubicate nel mondo, quindi ad esempio Facebook sebbene sia una azienda USA deve comunque sottostare al regolamento GDPR perche' tratta anche dati di cittadini UE, ed ovviamente tanto piu' la tua impresa se e' operante in Italia od in altri paesi UE)

Per chiarire meglio facciamo un esempio:
 - Il sig. Rossi entra in un negozio di abbigliamento e acquista un abito
-  Al momento del pagamento la cassiera propone al sig. Rossi una carta fedelta' che gli dara' diritto a sconti e promozioni, e gli fa compilare un modulo con i suoi dati personali (nome, telefono, email, data di nascita, ...)

Questo e' un tipico caso di processo aziendale che deve sottostare al nuovo regolamento GDPR. Da questo momento l'azienda, entra infatti in possesso dei dati del Sig. Rossi, e deve gestire i dati raccolti con le modalita' previste dal GDPR.

L'impresa dovra' quindi fare tutto il necessario per garantire al sig. Rossi che:
 - i dati rimangano riservati
 - deve consentire al sig. Rossi di poter richiedere, in qualsiasi momento, una cancellazione dei propri dati (quello che nella normativa si chiama "Diritto all'oblio")
 - il sig. Rossi deve poter richiedere ed ottenere una modifica dei suoi dati se lo ritiene necessario ("Diritto di rettifica")
 - ecc.
La normativa prevede diversi altri "diritti" che devono essere garantiti al sig. Rossi, ma non stiamo qui ad elencarli per non rischiare di annoiarvi.
Piu' avanti vedremo in dettaglio i piu' importanti e come questi potrebbero andare a riguardare il sito ecommerce od il software gestionale.

Quello che vogliamo invece sottolineare e' che fin'ora non abbiamo parlato ne' di computer, ne' di software gestionale, ne' di siti ecommerce. Il regolamento GDPR riguarda infatti un ambito molto piu' ampio, ed adeguarsi significa adeguare l'impresa nel suo insieme: adeguare il gestionale od il sito ecommerce e' quindi solo la punta dell'iceberg rispetto a quello che in realta' andrebbe fatto.

Come ci si adegua al GDPR?
Come abbiamo appena chiarito, purtroppo non e' sufficiente una modifica software per adeguare la propria azienda alla nuova normativa, in quanto la normativa riguarda i processi aziendali nel loro complesso.
Oltre a questo c'e' da dire che, nonostante la scadenza del 25 maggio sia molto vicina, ancora i punti di incertezza sono tanti, e da piu' parti si chiedono chiarimenti da parte del garante della privacy (e' interessante a questo proposito un articolo del Sole 24 Ore, per chi vuole approfondire)

Un vero adeguamento dovrebbe quindi essere fatto affidandosi ad un professionista, od un team di professionisti, che possano dare un supporto dal punto di vista legale ed organizzativo per la propria impresa.
In questo breve articolo forniremo alcune indicazioni pratiche, su quello che potete fare a livello di sito ecommerce e di software gestionale per migliorare la conformita' alla nuova normativa.
Al tempo stesso queste indicazioni saranno inevitabilmente non esaustive: se vi affiderete ad un consulente, questo potrebbe richiedervi di fare anche altri interventi, oltre a quelli suggeriti in questo articolo. In questo caso, come sempre, potete sottoporci la vostra esigenza tramite il forum di supporto di Ready Pro, ed insieme cercheremo di trovare una soluzione.

Dalla teoria alla pratica
Come promesso lasciamo da parte la teoria (anche perche' in rete potete trovare migliaia di articoli che approfondiscono l'argomento GDPR), e passiamo subito ad affrontare il discorso da un punto di vista molto piu' pratico. Da qui in avanti forniremo una serie di indicazioni che potrete mettere in pratica fin da subito, od al piu' tardi con la prossima versione di Ready Pro (versione che sara' resa disponibile entro la fine di Maggio)
Cookie
Molti degli articoli che si trovano in rete relativamente al GDPR trattano anche l'argomento cookie, ed anche per questo si vedono nascere quotidianamente plugin dei piu' svariati tipi (un esempio tipico e' un nuovo tipo di banner che consente agli utenti di scegliere in autonomia quali e quanti script e cookie attivare, ovvero un banner talmente tecnico da essere inutilizzabile per il 99% degli utenti)
In realta' nel testo della normativa GDPR la parola cookie e' presente solo una volta, e non viene indicato chiaramente se qualcosa cambia e come. Tutti questi plugin sono quindi sviluppati su interpretazioni, che a nostro avviso sono in molti casi sbagliate o quantomeno troppo letterali.

I nostri suggerimenti :
- attiva il banner che avvisa l'utente sull'uso dei cookie (sulla piattaforma ecommerce Ready Pro lo puoi fare con una opzione specifica). Rispetto al passato ti consigliamo di configurare la richiesta in modo da richiedere una conferma esplicita da parte dell'utente (e quindi meglio NON prevedere una accettazione implicita continuando semplicemente a navigare sul sito)
- aggiorna la cookie policy del sito, indicando quali sono i cookie che il tuo sito utilizza (questo comunque non tanto per il GDPR ma per la precedente cookie law del 2015). Ricorda di porre particolare attenzione nel caso in cui sul tuo sito utilizzi dei cookie di profilazione e/o di remarketing
- nelle prossime settimane si attendono, da parte del garante della privacy e/o dalla UE, dei chiarimenti piu' precisi su cosa va modificato in merito ai cookie, e se sara' necessario interverremo con un aggiornamento specifico.

Richiedi il consenso quando raccogli i dati
Questa in realta' non e' una novita': anche la vecchia normativa privacy prevedeva di richiedere il consenso degli utenti quando venivano raccolti i dati. La nuova normativa pero' e', se possibile, ancora piu' stringente in merito, ed andrebbero aggiunte delle opzioni di conferma tramite checkbox anche solo per raccogliere l'email di iscrizione ad una newsletter.
Per questo motivo con il prossimo aggiornamento dell'ecommerce Ready Pro sara' prevista una opzione specifica che, se attivata, aggiungera' in automatico sul sito dei checkbox con un link alla privacy policy sui box di richiesta informazioni e sui box di iscrizione alle newsletter

I nostri suggerimenti :
- aggiungi una opzione per richiedere l'autorizzazione al trattamento dei dati sul form di registrazione sul tuo sito ecommerce (in realta' dovresti gia' averlo, per la vecchia normativa privacy, ma se ancora sul tuo sito non e' presente e' arrivato il momento di aggiungerlo)
- quando sara' disponibile la nuova versione della piattaforma ecommerce Ready Pro (entro fine maggio 2018) installa l'aggiornamento ed attiva le nuove opzioni che aggiungeranno in automatico un checkbox di autorizzazione sui form di iscrizione newsletter e sui form di richiesta informazioni
- fai un censimento dei form presenti sul tuo sito ecommerce dove raccogli informazioni su persone fisiche (anche solo un indirizzo email e' un dato riconducibile ad una persona fisica) e se ci sono altri form personalizzati che ancora non prevedono un checkbox di conferma, intervieni per inserirlo.
- ultimo, ma non meno importante, ricorda che un checkbox pre-selezionato di default NON e' a norma

Diritto all'oblio
Ovvero il diritto per il cittadino UE di richiedere all'impresa la cancellazione dei propri dati.
Anche in merito a questo argomento, se ci si documenta in rete, e' facile capire che c'e' molta confusione. C'e' chi modifica il proprio sito con funzionalita' che consentono ai clienti di cancellare in autonomia la propria anagrafica, chi si preoccupa di come andare a cancellare i dati da tutti i backup sparsi per l'azienda (sì, se il cliente chiede di cancellare i propri dati dovreste eliminarli tutti, quindi dovresti andare a cercarli ed eliminarli anche da eventuali backup), fino ad arrivare a chi pensa di come andare a cancellare gli indirizzi IP dei clienti sui log dei web server.
Molto di tutto questo, oltre ad essere tecnicamente irrealizzabile, e' a nostro avviso ed anche in questo caso legato ad un eccesso di zelo.

I nostri suggerimenti :
- indica chiaramente nella privacy policy un indirizzo email a cui un utente che vuole richiedere la cancellazione dei propri dati puo' inoltrare la richiesta
- considera che hai 30 giorni per ottemperare alla richiesta, non e' quindi necessario che l'utente possa dover fare tutto immediatamente e soprattuto autonomamente dal sito. Quando un utente lo dovesse richiedere avrai tutto il tempo di andare a cancellare i dati che puoi eliminare. Abbiamo scritto "i dati che PUOI eliminare", perche' non e' detto che sia sempre possibile, e per questo e' sempre preferibile gestire eventuali richieste di cancellazione manualmente, e dopo opportune valutazioni. Ad esempio se il Sig. Rossi ha chiesto alla tua azienda una fattura per l'acquisto di un prodotto X, non puo' chiedere che venga cancellata interamente la sua anagrafica, perche' quella anagrafica ti e' indispensabile per adempiere agli obblighi fiscali, e quindi la richiesta di cancellazione in questo caso non e' lecita.

Aggiorna la privacy policy del tuo sito web
Se tramite il tuo sito web raccogli i dati dei clienti (e se parliamo di un sito ecommerce non puo' essere diversamente) e' indispensabile aggiornare la privacy policy del tuo sito ("aggiornare" perche' sul tuo sito dovresti gia' oggi avere una privacy policy, come richiesto dalla normativa attualmente in vigore)
Questa e' probabilmente la cosa piu' importante, ma non l'abbiamo inserita come prima cosa da fare perche' nella privacy policy va spiegato quali dati si raccolgono, come si gestiscono, ecc. quindi fare prima gli altri passi consente di arrivare alla scrittura della policy piu' preparati, e sapendo con piu' precisione cosa scrivere

I nostri suggerimenti :
- se ne hai la possibilita' affidati ad un consulente, che puo' aiutarti tra le altre cose anche ad aggiornare la privacy policy in base alla nuova normativa
- in alternativa affidati a qualche servizio web che consenta di generare la policy in automatico (o quasi). Ad esempio uno dei servizi aggiornati piu' di recente, e con un costo non eccessivo, e' quello di Iubenda ( https://www.iubenda.com/blog/regolamento-generale-protezione-dati/)
- infine, anche se non e' il top della professionalita', non dimentichiamo l'ancora piu' economico metodo del copia/incolla: ovvero copiare la privacy policy dal sito di qualche azienda primaria, ed incollarlo sul proprio sito dopo averlo modificato ed adattato alle proprie esigenze

Metti in sicurezza i dati locali
I dati degli utenti, prima ancora che sul sito ecommerce, vengono raccolti all'interno della tua azienda in innumerevoli dispositivi ed archivi. Quindi non saranno memorizzati solo all'interno del database del tuo software gestionale (che sia Ready Pro od un'altro software) ma anche in fogli Excel, documenti di testo, sui backup, ed anche in documenti cartacei.
A meno che non lavori per la NASA e' chiaramente impensabile proteggere al 100% questi dati da occhi indiscreti (che non necessariamente devono essere quelli di un hacker, ma potrebbero essere semplicemente anche quelli di un dipendente infedele).
Ci sono pero' diversi accorgimenti che puoi mettere in atto per cercare di gestire in modo piu' sicuro i dati degli utenti, e per dimostrare, in caso di controlli, che stai cercando di fare il meglio possibile per proteggerli.

I nostri suggerimenti :
- cerca di centralizzare tutti i dati su un unico server centrale (evitando quindi il piu' possibile che i file siano copiati e sparsi su tutti PC dell'azienda, chiavette USB, ecc.)
- assegna ad ogni operatore delle credenziali di accesso personali, dividi le cartelle per mansione e proteggile specificando per ognuna quali operatori devono avervi accesso (per evitare che tutti possano accedere a tutto)
- incarica dei backup quotidiani una persona fidata, e fai conservare il dispositivo di backup in un luogo sicuro e non accessibile a tutti. Ricorda che il dispositivo di backup non dovrebbe rimanere sempre collegato in linea al tuo server, per evitare attacchi di tipo cryptolocker (ma questo e' un'altro discorso)
- su Ready Pro crea un operatore separato per ogni dipendente, e limita gli accessi alle procedure dalla procedura UTIL / CONFIGURAZIONE MENU. Ricorda che puoi impedire completamente l'accesso ad una procedura, ma e' anche possibile limitare gli accessi in modo piu' granulare (ad esempio potresti disattivare la possibilita' di esportare o stampare l'anagrafica dei clienti, lasciandola solo agli operatori a cui potrebbe realmente servire)
- per chi tratta dati particolarmente sensibili, o semplicemente per chi vuole proteggere maggiormente l'archivio di Ready Pro, ricordiamo un archivio basato su SQL Server e' sicuramente preferibile (in termini di sicurezza) rispetto agli archivi base in formato Access.

Ancora dubbi?
Speriamo che questo articolo abbia chiarito molti dubbi sul GDPR, ma certamente avrete altre domande.
Per questo abbiamo creato un'area apposita sul nostro forum di supporto, per consentirvi di inoltrarci le vostre richieste sull'argomento.
L'area e' inserita nella sezione ecommerce, perche' prevediamo che la maggior parte delle richieste verteranno su questo, ma potete utilizzarla anche per domande sul GDPR che riguardano il software gestionale.

Come sempre vi auguriamo buon lavoro, con Ready Pro.

Lo staff di Codice srl