Modular Software
Da 40 anni, il nuovo software gestionale italiano
Iscriviti


GDPR: adeguamento di software gestionali e siti web[altre sezioni]
A cosa serve questa pagina?

Con questa pagina vorremmo spiegarti in modo chiaro e semplice ciò che abbiamo fatto per adeguare al GDPR (cioè la nuova legge sulla privacy) tutti i nostri software gestionali e i nostri siti web. Per "nostri" intendo anche e soprattutto i gestionali e i siti web dei nostri clienti, attuali e futuri (tra i quali, se già non fosse così, spero potrai presto esserci anche tu).
Poiché siamo un'azienda che produce software gestionali e siti web, ovviamente mi riferirò ai nostri prodotti. I concetti e le soluzioni qui proposte hanno comunque validità generale e potrebbero essere applicate ad altri prodotti, anche in ambiti diversi. Ti spiegheremo anche le best practice per usare il tuo gestionale e il tuo sito web in modo conforme al GDPR.

 

Cos'è il GDPR?

Il 25 maggio 2018 è la data di entrata in vigore del Regolamento UE 679/2016, noto anche come GDPR (General Data Protection Regulation), che introduce molte novità sul trattamento e la protezione dei dati personali dei cittadini UE. In due parole: è la nuova legge sulla privacy.
In sintesi, questi sono gli obblighi a cui devi attenerti e i diritti che devi garantire quando tratti dati personali:

  • Devi definire chi è il titolare del trattamento (di norma sarà la tua azienda) e nominare un DPO, Data Protection Officer, cioè il responsabile della protezione dei dati (di norma è il titolare/amministratore dell'azienda).
  • Devi acquisire preventivamente il consenso dell'utente al trattamento dei suoi dati, meglio se in forma scritta: facendogli compilare un form sul tuo sito web o firmare un'informativa.
  • Devi definire la natura dei dati che raccogli, in particolare evidenziando se sono dati sensibili o di minorenni.
  • Devi definire la finalità del trattamento, cioè i motivi per cui stai raccogliendo i dati e tutti i possibili usi che ne farai.
  • Devi definire le modalità di conservazione e le forme di protezione che garantirai sui dati
  • Devi garantire alcuni diritti fondamentali all'interessato: in particolare il diritto di accesso, di rettifica e di cancellazione (diritto all'oblio) sui propri dati personali.
  • Devi redigere e pubblicare un'informativa che comunichi in modo chiaro e semplice tutti i punti di cui sopra. Tale documento dovrà essere esplicitamente accettato da ogni utente di cui tratterai i dati. Puoi vedere ad esempio la nostra informativa privacy.

 

Ok, ma in pratica cosa cambia?

Restiamo nell'ambito dei software gestionali e dei siti web: per le piccole e medie aziende (che NON gestiscono dati sensibili) non cambia molto rispetto a prima (ovviamente ciò vale solo se i gestionali e i siti web erano già in regola con la precedente legge sulla privacy). Per chi trattasse dati sensibili ci sono invece alcuni obblighi in più.

In pratica che adeguamenti abbiamo fatto? Per fortuna i nostri software erano già progettati secondo i requisiti  di privacy by design e privacy by default previsti dalla nuova legge. Quindi abbiamo dovuto effettuare solo alcuni aggiornamenti relativamente sempilci.

Ora vediamo in dettaglio come attenersi al GDPR usando un nostro gestionale o un nostro sito web.

 

GDPR - Adeguamento dei programmi gestionali

Per quanto riguarda l'uso dei nostri programmi gestionali, sia nelle versioni Online Cloud sia nelle versioni PC, l'adeguamento comporta l'osservazione di alcuni principi:

  • Acquisizione preventiva del consenso al trattamento dei dati personali. Prima di procedere al trattamento dei dati personali, è indispensabile aver acquistito il consenso dell'utente. A questo fine è fondamentale far accettare al cliente un'informativa privacy conforme e personalizzata per la propria azienda. Nella versione ONLINE CLOUD ciò avviene tramite la compilazione da parte del cliente di un form online, pubblicato sul sito web integrato (tale form può anche essere stampato per acquisire il consenso in formato cartaceo). Nella versione PC viene messa a disposizione l'informativa da stampare e far firmare al cliente.
  • Protezione dei dati non sensibili. Le misure di protezione devono essere proporzionali all'importanza dei dati trattati. Per chi non tratta dati sensibili sono di norma sufficienti le misure dettate dal buon senso che non comportano sforzi o costi eccessivi. Ciò avviene ad esempio proteggendo l'accesso al software con userid e password. Questa opzione è facoltativa nella versione PC, mentre è standard nella versione Online Cloud. La versione Online Cloud inolte fornisce una connessione protetta (https) per la trasmissione criptata dei dati. La versione PC dovrebbe essere installata su un computer protetto da firewall o opportunamente mantenuto disconneso da internet.
  • Protezione dei dati sensibili. Per chi tratta dati sensibili sono necessarie ulteriori misure di protezione: 1) la criptazione o la pseudonimizzazione dei dati memorizzati; 2) l'obbligo di tenuta del registro delle attività di trattamento.

 

GDPR - Adeguamento dei siti web aziendali

Per quanto riguarda l'uso dei nostri siti web, l'adeguamento è stato realizzato con questi interventi tecnici:

  • Attivazione della protezione dati sul sito web, tramite connessione protetta https (il "lucchetto verde" che compare in alto a sinistra nel browser). Ciò garantisce la protezione dei dati che gli utenti scambiano col sito web
  • Presenza, nell'area riservata utenti, di un link con cui l'utente accede alla propria scheda anagrafica. Così l'utente ha sempre la possibilità di verificare i propri dati e può chiederne la modifica/rimozione.
  • Pagina "privacy" aggiornata con la nuova informativa di consenso, che soddisfa alcune variazioni introdotte dal GDPR (ad esempio la figura del "Data Protection Officer").
  • Inserimento del nuovo banner per la verifica e l'accettazione dei cookie gestiti dal sito web (evoluzione della "cookie law" del 2015).

 

Considerazioni finali

Gli interventi sopra descritti ti permettono di avere software gestionali e siti web adeguati al GDPR, secondo buon senso e con benefici proporzionati a un costo sostenibile. Essi però non  esauriscono eventuali altri obblighi della tua azienda. Tali valutazioni ricadono sotto la tua responsabilità, così come qualsiasi conseguenza derivante da eventuali mancanze. È opportuno consultare sempre il commercialista e/o consulente legale per definire le esatte misure da intraprendere. L'avere in uso un software o un sito web infatti non può  di per sé certificare né essere garanzia di conformità alla legge della tua azienda: è lo specifico uso che ne fai, unitamente a tutti i comportamenti e ai processi adottati dalla tua azienda, a determinare il rispetto della legge e a dire se hai a cuore o meno la privacy dei tuoi clienti.

We-Commerce ©2018