Ciao,
al momento scrivo anche io più che altro per inserirmi nella discussione.
Ho dato una prima lettura al testo integrale del GDPR e devo dire che se non si spezzetta in vari blocchi diventa veramente ingestibile perchè gli ambiti di applicazione sono decisamente vasti.
I punti da chiarire a mio avviso per quanto riguarda i siti web sono quello che cambia in merito alle informative su privacy e cookies e blocco preventivo e cancellazione dei dati. Questo aspetto credo riguardi la maggior parte dei siti di un comune libero professionista (web master, per intenderci) anche perchè aziende di una certa importanza avranno i loro referenti legali sui quali appoggiarsi: se sono un azienda che deve nominare un DPO e tenere i registri allora il sito web è tra i miei problemi minori e saranno i legali a dire come adeguarsi agli informatici.
Al contrario penso alle migliaia di siti web di piccole e medie imprese e liberi professionisti che hanno più che altro un sito vetrina dove magari c'è qualche pulsante social, un po di codice analytics, un form di contatto, una modulo newsletter. Tutte cosette che spesso sono più che altro di facciata e inserite perchè viste in tutti gli altri siti o per copiare i grandi siti.
Potrei sbagliarmi ma credo che qui sul forum la maggior parte si trova in questa condizione e vorrebbe sapere cosa e come fare.
Allo stato attuale a documentarsi in rete c'è solo da aumentare lo stato confusionale. Tutti scrivono scrivono ma alla fine ribadiscono 4 concetti e 4 definizioni estrapolate dalla normativa e concludono con il disclaimer in cui ti avvisano di non prendere in considerazione quello che hanno detto perchè è la loro interpretazione e di rivogersi ad un legale. Ma allora che hai scritto a fare mi chiedo?
Un saluto e a presto
Sono perfettamente d'accordo con te, Frascan.
Sto anch'io finendo di documentarmi per offrire soluzioni concrete ed efficaci ai miei clienti, che si trovano per lo più nelle condizioni che tu hai ben descritto.
Purtroppo, in rete si sta facendo (un po' come nel 2015 per i cookie) molta confusione (quando non vera e propria disinformazione), a volte - temo - anche per riuscire a vendere soluzioni che risultano poi sovradimensionate per certe realtà.
I tre punti che, personalmente e per quanto riguarda i soli siti internet, ho finora potuto cogliere, di questa nuova normativa, sono i seguenti.
1) Il blocco preventivo dei cookie, di "terze parti" e "profilanti" di "prima parte",
è un obbligo ora più che mai chiaro (a dire il vero, doveva esser fatto anche nel 2015, anche se l'ambiguità del legislatore e la mancanza di controlli hanno fatto sì che quasi nessuno si uniformasse a tale disposizione).
Resta, almeno per me, incerto se vi sia l'obbligo o meno di tenere un "registro" delle scelte effettuate dai visitatori, che mi pare abbia senso soltanto in caso i cookie (di prime o di terze parti) fossero utilizzati dal proprietario del sito per profilare il visitatore (come può infatti facilmente avvenire per un sito di e-commerce).
2) Tutti i form di contatto, registrazione, di inserimento commenti (compresi libri degli ospiti) eccetera,
devono prevedere un "checkbox" col quale si deve esprimere il consenso al trattamento dei dati secondo l'informativa del sito.
Non mi è ancora del tutto chiaro se tale disposizione si debba imporre, ad esempio, anche per quelle risorse (come può esserlo un sistema di commenti o un forum) che fossero riservate esclusivamente a utenti iscritti (che hanno perciò accettato le politiche della Privacy al momento dell'iscrizione al sito).
E non mi è neppure ancor del tutto chiaro se - ad esempio, per un form contatti che raccolga le comunicazioni all'interno di una tabella di database - sia necessario dedicare un campo a tale consenso, visto che risulterebbe impossibile inviare quei dati senza mettere la spunta sul checkbox riservato alla Privacy.
3) Gli utilizzatori del sito devono essere messi in condizioni di poter verificare, modificare e cancellare i propri dati. Ciò può essere realizzato fornendo loro sia strumenti per renderli autonomi, sia riferimenti di contatto di uno o più responsabili del sito che siano in grado di rispondergli adeguatamente e nei tempi previsti dalla normativa.
Devo ancora finire di capire in quali ambiti (tutti o solo in alcuni) sia davvero necessaria la "pseudonimizzazione" (leggasi anche: protezione dei dati personali mediante criptazione degli stessi, nelle tabelle dei database, o mediante altre soluzioni).
Per il resto, visto che,
a dispetto della "chiarezza" che con questo "Regolamento" si vorrebbe imporre riguardo alle varie informative,
il legislatore europeo è stato, per molti versi, estremamente vago e ambiguo, ogni contributo o chiarimento (specie se basato sul "buon senso") è sempre graditissimo.