19 Gennaio 2021
Il GDPR o RGPD, a seconda della lingua in cui lo si legge (General Data Protection Regulation o Regolamento Generale sulla Protezione dei Dati) è il nuovo regolamento europeo unificato per la privacy. Riguarda tutti i cittadini dell'Unione Europea, a prescindere da dove risiedano l'azienda che richiede i dati, i dati stessi e il soggetto interessato. È considerato uno dei migliori e più avanzati realizzato finora in tutto il mondo.
Il testo integrale del regolamento è stato pubblicato sulla Gazzetta ufficiale europea del 4 maggio 2016; entra in vigore da oggi, il 25 maggio 2018. Siccome il "legalese" è spesso ostico e poco amichevole, abbiamo pensato di realizzare un sunto breve, passo-passo e spiegato bene concentrandoci sugli aspetti più importanti per noi, gli utenti finali. Citiamo comunque i richiami agli articoli più importanti, per chi vuole approfondire consultando il testo integrale completo, che si può leggere in italiano qui:
Testo integrale GDPR | Gazzetta ufficiale UE
- Accesso ai dati personali (Art. 15) - Potremo ottenere una copia dei nostri dati raccolti da qualsiasi servizio o azienda. Nei casi migliori, li potremo scaricare direttamente da una pagina Web; negli altri potremo fare richiesta all'azienda interessata, che dovrà rispondere entro un mese al massimo (Artt. 11 e 12).
- Cancellazione e oblio (Art. 17) - Il vecchio "diritto all'oblio" viene sostituito da un più completo "diritto alla cancellazione", che funziona in modo diverso. Rimane il fatto che possiamo richiedere la cancellazione di tutti i nostri dati personali a chiunque li detenga. Inoltre, per i dati che sono stati resi pubblici, i titolari si dovranno fare carico di segnalare la cancellazione a tutte le altre società che li hanno ripresi/riportati - link, copie e riproduzioni incluse. Ci sono tuttavia alcune limitazioni: per esempio, i dati non saranno cancellati se sono necessari per esercitare libertà di informazione e di espressione, o se sono di pubblico interesse nel campo della sanità.
- "Sospensione" dei dati personali (Art. 18, "Diritto di limitazione del trattamento") - Potremo richiederla in certe circostanze speciali. I dati saranno conservati, ma non potranno essere usati attivamente. Per esempio, potremmo averne bisogno in un procedimento legale ma l'azienda, non avendone più bisogno, li cancellerebbe; oppure potremmo sostenere di non aver fornito il consenso.
- Portabilità dei dati personali digitali (Art. 20) - Oltre a poterci accedere, abbiamo il diritto che i nostri dati digitali ci vengano consegnati in un formato facilmente leggibile da dispositivi personali e, in alcuni casi, importabile su altri servizi. Pensiamo per esempio alla migrazione delle playlist da un servizio musicale a un altro. Solo i dati forniti volontariamente (un modulo compilato) o generati da attività diretta (la cronologia di navigazione) sono soggetti alla portabilità. Il trasferimento diretto dei dati da un servizio all'altro è a discrezione di chi custodisce i dati, che dovrà valutare se è fattibile a livello tecnico.
- Banner dei cookie e informative (Art. 12) - Le informative per la privacy e i banner di richiesta di consenso al salvataggio dei cookie diventeranno più grandi, comprensibili e informativi. Questi ultimi ricompariranno a intervalli di tempo regolari, come promemoria. Il regolamento dice, in generale, che ogni richiesta di trattamento dei dati personali deve spiegare meglio all'utente come vengono raccolti i dati, perché e da chi.
- Niente trucchi nella raccolta del consenso (Art. 7) - Accettare la raccolta di dati personali dovrà essere un processo volontario, specifico e libero. Ciò significa che i siti non potranno più usare checkbox già selezionate e sistemi simili; non potranno obbligarci ad acconsentire pena la mancata erogazione del servizio; dovranno presentare una richiesta di consenso per ogni scopo.
- Minorenni (Art. 8) - L'uso di social network e altri servizi che raccolgono dati personali sarà vietato fino al compimento dei 16 anni. Al di sotto di questa età, serve l'autorizzazione dei genitori. Ogni stato può decidere il limite inferiore, che comunque non può essere mai minore di 13 anni.
- L'invasione di email e messaggi - In questo periodo, molti servizi stanno inviando comunicazioni a tutti i loro utenti in merito alle novità introdotte dal GDPR. La maggior parte di queste invitano a rinnovare il consenso al trattamento dei dati personali. Non c'è scritto da nessuna parte che il rinnovo sia necessario. La spiegazione più plausibile è un "eccesso di zelo" da parte delle aziende: meglio inviare una mail in più che beccarsi delle multe pesantissime dall'UE. Scelta condivisibile dal "loro" punto di vista, però per "noi" si traduce tutto in una scocciatura non necessaria.
- Fughe di dati / falle di sicurezza (Art. 33) - Quando scopriranno una fuga di dati, le società avranno 3 giorni di tempo (72 ore) per notificare gli utenti colpiti. I gestori dei dati personali sono anche tenuti a implementare sistemi di sicurezza adeguati come crittografia, controllo degli accessi ai server e molto altro.
- Le multe (Art. 83) - Fino a 10 milioni di euro o il 2 per cento del fatturato globale nei casi meno gravi (mancata comunicazione di una fuga di dati entro 3 giorni, per esempio), oppure fino a 20 milioni di euro o il 4 per cento del fatturato globale in quelli più gravi.
Commenti
Tra poco toccherà mandare una raccomandata prima di visitare ogni pagina web, senza contare i 30 click prima di poter effettivamente leggere un articolo...
È giusto così.
Capito, grazie
Il GDPR è un regolamento che va a sostituire la direttiva 95/46/EC.
La differenza tra direttiva è regolarmente sta nel fatto che le direttive vanno trasposte in leggi domestiche (come tu hai scritto), mentre i regolamenti sono subito applicabili e non possono essere modificati dai membri dell'Unione europea :)
La cosa poco logica è che L'app polar flow e legata a l'acquisto di hardware come nel mio caso la bilancia Smart della polar o se decidi di comprare fitness tracker sempre della stessa marca... Fosse un app free avrei capito il senso del guadagno tramite pubblicità...
E pensare che poco tempo fa stavano pensando di rendere i banner per i cookie facoltativi.
Teoricamente non ci vuole un decreto italiano per far applicare il GDPR in Italia?
sinceramente credo che sia la cosa più giusta. Ok moderare l'utilizzo/salvataggio/condivisione dei dati tra le aziende ma con cookie e robe esplicite questo GDPR nasce già obsoleto
Da quello che ho capito esiste un insieme di informazioni vitali che possono non essere cancellate. Ad esempio in un'app per generare le fatture un cliente non può richiedere di cancellare i propri dati (o almeno quelli richiesti per generare la fattura). Una cosa simile sarà applicabile anche nel tuo esempio
Ci sono sanzioni astronomiche per chi non gestisce i dati correttamente, è normale che si cerchi di fare le cose come si deve.
Poi non capisco cosa ti aspettavi, se quell'app si mantiene su quel modello di business mi pare normale che se non gli dai i tuoi dati loro non hanno più interesse ad averti come cliente.
In ogni caso il controllo lo hai sempre tu, se decidi di cambiare idea puoi comunicarlo e far cancellare tutto, anche ai terzi cui sono stati ceduti temporaneamente i dati, ovviamente immagino che se lo fai tornerai a non poter usare l'app.
come puoi, esempio, acquistare online se non dai il consenso?
Premesso che per entrare in Europa abbiamo VIOLATO la Costituzione,
Una valanga di ''box per il consenso'' sono apparse online o nelle applicazioni, spesso accompagnate dalla minaccia che il servizio non può più essere utilizzato se gli utenti non acconsentono. Nel primo giorno del GPDR noyb ha quindi presentato quattro reclami per il "consenso forzato" contro Google (Android), Facebook, WhatsApp e Instagram.
Le leggi valgono solo per il popolino che osanna i suoi padroni schïavisti.
Zerbino, per entrare in Europa abbiamo violato la Costituzione.
Facciamogli causa così pagano la multaaa
Come no?
Una valanga di ''box per il consenso'' sono apparse online o nelle applicazioni, spesso accompagnate dalla minaccia che il servizio non può più essere utilizzato se gli utenti non acconsentono. Nel primo giorno del GPDR noyb ha quindi presentato quattro reclami per il "consenso forzato" contro Google (Android), Facebook, WhatsApp e Instagram.
Zerbino.
esatto. è tutto molto a parole ma non entra nei fatti, nel come procedere. troppo generico. non si può fare una serie di legge che valgono su infiniti siti con infinite e diverse funzionalità senza entrare nello specifico
domanda: se uno decide di cancellare i propri dati, io azienda come posso poi in futuro fare dei controlli? alla fine va a sfavore dell'azienda. per un qualsiasi motivo dopo alcuni mesi si scopre che c'è stato un errore un problema, una truffa, qualsiasi cosa. io come faccio a fare i dovuti controlli? come posso bannare/bloccare l'accesso al sito ad un specifico utente? dovrei almeno tenermi il suo codice fiscale/email/indirizzo ip. praticamente l'utente fa quel che gli pare
ecco era proprio questo il punto della situazione, capisco tutelare la privacy, ma non si può nemmeno ammazzare i piccoli sviluppatori indipendenti
https://uploads.disquscdn.c...
Ma ci vuole per farle rispettare.
scusa, """""gratuite"""""
Se così fosse sparirebbero le app gratuite
Il problema è che nel GDPR si dice chiaramente (e viene portato anche come esempio) che l'utente non deve essere penalizzato con la mancata erogazione del servizio. Il che vorrebbe dire che quello penalizzato deve essere sempre e comunque lo sviluppatore. Però non si fa riferimento esplicito ai vari casi di utilizzo, insomma da questo punto di vista una porcata. La cosa che mi lascia perplesso è che nel caso di pubblicità NON mirata, senza raccolta di dati personali, è comunque richiesto il consenso per via di cookie o sistemi grossolani di identificazione che servono, ad esempio, per capire se sei in Italia - non per tracciare la tua posizione o i tuoi interessi - al fine di visualizzare annunci in italiano. Ora, se le situazione dovesse essere proprio questa (e le mail di Google e i forum degli sviluppatori lo lasciano intendere) è la fine degli annunci pubblicitari nelle app, chi mai darebbe il consenso? Ok i bm festeggeranno ma un intero settore potrebbe andare in crisi.
Secondo me non è così, l'obbligo è quello di informare su come vengano utilizzati i dati e chi questi dati li utilizzerà. Credo abbiano il diritto di bloccare il servizio in caso di mancata accettazione, staremo a vedere
Ma molti di questi servizi campano sulla pubblicità, loro ti informano su come trattano i tuoi dati, se non lo accetti non puoi usare la loro app
trovo che sia una presa in giro in molte situazioni questa legge... doveva essere menzionato il divieto di blocco dell'app o account x il non consenso di dare i miei dati a terzi per pubblicità e offerte... per uso interno ok... mha...
Per me con la scusa di informarci hanno fatto un flood di email da spam... Con tanto di adv annesso. Sarebbe stato doveroso segnalare all'atto di uso del servizio non approfittarne per spammare.
ma anche cell?
e secondo me hai sbagliato, gli sviluppatori in workflow serio si fanno dare indicazioni dal cliente e / o dal loro avvocato in merito alle modifiche da implementare.
se l'avvocato non ha saputo risponderti è perchè non era specializzato in materia, se poi il progetto è una startup e non ha fondi per pagare un avvocato specializzato è un altro paio di maniche.
se come hai descritto il tuo core business è basato sulla raccolta dati direi che ti conviene investire in un buon avvocato oppure fermare il progetto.
In realtà si tratta di consensi obbligatori che ti hanno fatto “firmare” pena l’impossibilitá di gestire i tuoi dati e quindi di poter utilizzare l’app! Potevi leggerli se davvero avessi tenuto alla tua privacy ed in caso non fossi stato d’accordo con le modalità di trattamento dei tuoi dati avresti potuto negare il consenso! Ciò avrebbe comportato chiaramente l’impossibilità di utilizzo dell’app in questione. La tua tutela tuttavia sta nel migliore (si spera) trattamento che il gestore dei tuoi dati, a seguito del GDPR, effettuerà, nel rispetto dei principi previsti dalla direttiva UE!
l'avvocato mi ha scritto un bel papiro da mettere nel mio sito madre per la gdpr compliance. Tuttavia non è in grado di comprendere i lati tecnici della questione, quindi mi sono rivolto a programmatori
perdonami ma "consultato anche gente che lavora nel mondo web da molti anni" anche se qualcuno mi dovesse chiamare e chiedermi cosa fare gli risponderei parla con un AVVOCATO e non uno qualsiasi ma uno esperto in privacy
lo so, l'ip è un dato personale e l'unico che colleziono, gli altri sono dettagli non riconducibili a persone, quindi lo eliminerò nei prossimi giorni e fine. Però avrei preferito tenere tutto e avere regole tecniche per essere sicuro al 100% di cosa fare. Nessuno ha saputo dirmi e ho consultato anche gente che lavora nel mondo web da molti anni.
mi sto predisponendo direi che se non sei compliant ti conviene andare offline perchè ad oggi dovevi già essere in regola
informati meglio e ti consiglio vivamente di pagare un avvocato se la tua attività si basa su quello perchè anche il semplice indirizzo IP non sarei sicuro al 100% che sia compliant
basta pensare agli utenti con IP fisso
mi sto predisponendo per evitare di collezionare qualsiasi dato personale, nel mio caso solo l'indirizzo ip, così mi tiro fuori dalla cosa.
premesso che non sono un legale...
direi che è il sito che embedda il tuo codice che dve preoccuparsi di eseguirlo senza consenso o di avvisare
alla pari di come si fa con i codici di remarketing di AdWords
se poi tu incroci dati aggregati raccolti da diversi siti, non so cosa devi mettere a disposizione dell'utente... sicuramente come minimo una consulenza da un legale specializzato in privacy direi che è il minimo visto che come saprai le multe sono esorbitanti
non posso aggiungere nessun opt in opt out, io sono un javascript infilato in N siti non miei e non posso far comparire a caso finestre popup
Volendo far rispettare la legge al 100%, quindi eliminando l'accettazione attraverso lo scroll, aggiungendo l'obbligatorietà dell'interazione dell'utente (mettere la spunta a marketing/analytics), SI, statisticamente i siti medio-piccoli andranno a perdere il 95-99% delle entrate adsense.
Andrebbe leggermente meglio ai grossi siti come HdBlog, che, avendo un pubblico di affezionati, potrebbero tranquillamente accettare di farsi tracciare e visionare le pubblicità, tuttavia anche in questo caso presumo che le perdite Adsense o simili saranno del 50%.
Ad esempio nel mio giornale online, circa 250mila di visite a settimana, dopo una prova di 7 giorni i risultati sono stati disastrosi.
Statistiche: Visitatori reali 238mila - Visitatori che hanno accettato di essere tracciati e dunque visite riportate da Analytics 989!!!!!!!!!!!!
Adsense non ne parliamo proprio, da una media di 400 euro settimanali a poco meno di 10 euro!
Fortunatamente vivo di altro, ma per molti siti sarà una situazione drammatica se non cambia qualcosa.
la "roba tecnica"
É vero ma ci vuole l'Europa per scrivere QUESTE leggi.
Curiosità...
Stamattina apro L'app polar flow per aggiornare il mio peso e bammm una schermata mi informa dei nuovi termini e gestione dei miei dati... Sti stonzi se non cliccavo su tutte le caselle non mi faceva più collegare al mio account... A prima vista mi sono detto... haaaa posso finalmente gestire se la mia mail o dati andranno a terzi... E invece??? Mi obbligano ancora di più???
E normale tutto questo???
Grazie
hahahahaha
si, hai ragione. Non sono contro la teoria della legge. sono contro la mancanza di guide tecniche estremamente precise che coprano ogni caso d'uso
Scusa il paragone molto duro, ma anche i ladri mangiano rubando, ma non per questo il furto cessa di essere un reato (chiaramente non faccio nessuna associazione tra la tua attività e quella dei ladri). Così a naso potrei dire che il legislatore europeo abbia preferito esaltare i diritti personali al posto del business, poi come sempre a chi tocca tocca...
non sai quante aziende vivono di questo, senza usare alcun dato in modo malevolo...inclusa la mia
infatti sta cosa della gdpr è utile per gli utenti finali, ma per gli sviluppatori, sopratutto piccoli team o sviluppatori singoli che pubblicano qualche app/bot/software vario, è un gran casino.
a momenti devi pagare un legale solo per capire che cavolo devi fare con la tua app
Probabilmente il senso finale del tutto è che NON devi fare analisi del traffico e cose del genere
bene
Eh si infatti concordo.. Io infatti non farò nulla e lascio tutto così
Bell'articolo su cosa cambia per NOI utenti?
Ma anche per VOI, HDblog, le cose cambiano...
C'è da aggiornare l'informativa privacy, dove si parla ancora di decreto legislativo 196/2203 che il GDPR sostituisce, che dite? :)