Parliamo di GDPR. Che cos’è e come ci stiamo preparando ad affrontarla in SiteGround?

Stiamo ricevendo sempre più richieste da parte dei clienti che chiedono se SiteGround sarà GDPR-compliant e come questo influirà sui nostri servizi. In questo post, spiegherò cosa abbiamo fatto per renderci conformi, cosa vuol dire essere GDPR-compliant, cosa puoi aspettarti da noi nel prossimo mese (prima del 25 maggio 2018) e come prepararti per il GDPR.

L’uso dei nostri dati personali da parte delle aziende è indiscutibilmente l’argomento più “caldo” in questo momento e pensiamo che nessuno dubiti dell’importanza di avere normative che prevengano abusi e migliorino la sicurezza di questi dati. Il Regolamento generale sulla protezione dei dati – GDPR, che entrerà in vigore il 25 maggio 2018, mira a fare proprio questo: regolare il modo in cui i dati personali degli individui, nel territorio dell’UE, vengono raccolti e utilizzati. Definisce quali sono i dati personali, ossia la maggior parte dei dati utente (nome, e-mail, username, indirizzo, numero di telefono, dati finanziari, età, dati comportamentali e altro), e obbliga chiunque ad agire in conformità con il regolamento qualora i dati appartengano a un individuo dell’UE. Non importa dove si trova la persona o l’ente che elabora i dati.

SiteGround ha iniziato a lavorare per diventare GDPR-compliant circa un anno fa e siamo felici che questa normativa venga finalmente applicata. Riteniamo che il GDPR sia uno strumento valido per gli utenti e positivo per la sicurezza generale di internet. Non di meno, esso è perfettamente in linea con i principi che da sempre SiteGround sostiene. Il nostro obiettivo, adesso, è quello di attuare le nuove regole e assicurarci che anche i nostri clienti le applichino alla lettera, indipendentemente dal fatto che siano Europei o meno.

Il GDPR permette agli utenti di essere maggiormente informati e avere il controllo

Il GDPR è davvero una grande cosa soprattutto dal punto di vista degli utenti. Quando un utente si registra per un servizio gratuito o a pagamento e fornisce i propri dati personali, il fornitore del servizio deve informare esplicitamente l’utente sulle modalità in cui verranno utilizzati i suoi dati personali prima di completare la registrazione. Se il fine è utilizzare i dati per scopi di marketing e profilazione, o venderli a terze parti, deve essere esplicitamente dichiarato. Gli utenti saranno in grado di dire NO a determinati tipi di utilizzo e dovranno dare il consenso ai Termini di Servizio e alla Politica sulla Privacy del fornitore, facendo così una scelta consapevole. Un grande vantaggio per gli utenti: maggiore controllo sui propri dati, meno violazioni della privacy, meno spam e soprattutto meno pubblicità invasiva!

La dura burocrazia attorno al GDPR

Il progetto GDPR mira a regolamentare le attività delle grandi aziende, come Google e Facebook, che elaborano quantità impressionanti di dati personali e li utilizzano per generare guadagni. Da adesso, con il nuovo regolamento, anche se una società utilizza i dati in modo completamente legittimo, dovrà comunque attuare modifiche alla propria privacy policy per dichiarare esplicitamente che tipo di utilizzo fa dei dati e automatizzare il modo in cui l’utente potrà accedere ai propri dati personali. L’unico svantaggio è che la conformità richiede tempo e costi da sostenere, pertanto consiglio di concentrarsi sul GDPR con priorità elevata.

Come si è preparato SiteGround per il GDPR?

In conformità con il GDPR, un’azienda di hosting come SiteGround ha due responsabilità: proteggere i dati personali che raccogliamo dai nostri clienti al momento della registrazione (nome, indirizzo email, password, dati di fatturazione) e i dati che i nostri clienti raccolgono dai loro clienti ospitandoli sui nostri server. Noi dobbiamo garantire che raccogliamo, archiviamo e lavoriamo i dati dei nostri clienti in modo legittimo e che i nostri clienti sono informati su come lo facciamo. Inoltre, dobbiamo fornire garanzie e trasparenza sul modo in cui memorizziamo e gestiamo i dati dei clienti dei nostri clienti, ospitati sui nostri server.

Anche se SiteGround ha sempre agito in conformità con i principi del GDPR, ci sono diversi punti su cui abbiamo lavorato per essere totalmente in conformità con le nuove norme. Di seguito trovate un elenco delle principali cose sulle quali stiamo lavorando.

1. Termini di servizio e aggiornamenti sulla privacy

Il GDPR dice che dobbiamo informare i clienti su quali dati vengono raccolti e dichiarare in che modo li useremo in seguito. La buona notizia è che noi raccogliamo solo un set minimo di dati personali di cui necessitiamo per fornire il servizio di hosting. Ad esempio, raccogliamo il tuo indirizzo fisico per la fatturazione e a fini fiscali. Raccogliamo i dati della tua carta di credito per esigenze di acquisto. Raccogliamo la tua email perché abbiamo bisogno di contattarti per quanto riguarda i tuoi ordini, lo stato dei servizi, importanti aggiornamenti sulle funzionalità e, se hai acconsentito a riceverle, inviarti newsletter e promozioni. Utilizziamo i cookie perché ci permettono di avere contenuti inerenti ai visitatori del nostro sito e a pubblicizzare i nostri servizi in base alle interazioni. Non utilizziamo nessuno dei dati raccolti per profilazione o vendita a terze parti.

In base ai requisiti GDPR, la nostra nuova informativa sulla privacy descriverà perché e come raccogliamo ed elaboriamo le informazioni personali e sarà a disposizione di qualsiasi cliente per rendere trasparente al massimo queste informazioni.

2. Clausole contrattuali standard e accordi scudo per la privacy UE-USA e Svizzera-USA

SiteGround è un gruppo di società, tutte con sede nell’UE, ad eccezione della nostra sede statunitense. In base al modo in cui sono organizzate le operazioni standard, i dati dei clienti dell’UE possono essere trasferiti e trattati dalla nostra società statunitense, ad esempio, puoi scegliere di ospitare il tuo sito nei nostri data center negli Stati Uniti o chattare con uno dei nostri rappresentanti del Customer Care negli Stati Uniti. In conformità con il GDPR, dobbiamo garantire che la nostra società statunitense offra lo stesso livello di protezione dei dati dell’UE, come richiesto dal GDPR, anche se è soggetta alla giurisdizione degli Stati Uniti. Il modo in cui regoleremo questo è attraverso clausole contrattuali standard*, che saranno incluse in tutti i contratti delle nostre società per garantire che il trasferimento dei dati sia conforme ai requisiti GDPR.

Inoltre, stiamo lavorando a una certificazione “scudo” per la privacy UE-USA e Svizzera-USA con il Dipartimento del Commercio tramite la quale si dichiara che aderiamo ai principi dello scudo per la privacy riguardanti la raccolta, l’utilizzo e la conservazione delle informazioni personali provenienti dai paesi membri dell’UE e dalla Svizzera. Questo è necessario per permetterci di ospitare in modo semplice i dati dei clienti dell’UE sui nostri server statunitensi qualora venisse richiesto o fosse necessario.

* Le clausole contrattuali standard sono condizioni standard fornite dalla Commissione Europea che possono essere utilizzate per trasferire dati al di fuori dell’Area Economica Europea in modo conforme alle nuove norme.

3. Allegati ai contratti con fornitori esterni

Alcuni dei servizi che vendiamo sono forniti da partner esterni: registrar di domini come Tucows e Open Provider, GlobalSign per i certificati SSL, Cloudflare per la CDN e altri ancora. Questi hanno bisogno dei dati dei clienti in modo che possano fornire i propri servizi.

Quello che stiamo facendo è far aderire i nostri partner agli obblighi di protezione dei dati e alle responsabilità per la protezione dei dati nello stesso modo in cui lo facciamo noi. Questo avviene aggiungendo, ai contratti con questi fornitori, degli allegati in cui viene definita la responsabilità di ogni entità, come da GDPR.

4. Miglioramenti delle procedure interne e del controllo dell’accesso

Dato che da 14 anni siamo tra le aziende che più hanno dato valore alla sicurezza, tutte le nostre operazioni sono state progettate sin dall’inizio seguendo i principi di sicurezza e privacy. Quello che stiamo facendo in linea con il GDPR è l’auditing e il miglioramento dei livelli di sicurezza con l’aggiunta di alcune nuove procedure (ove richiesto dal nuovo regolamento). Ad esempio, stiamo rafforzando i controlli sul personale e estendendo i nostri accordi di riservatezza e miglioriamo le nostre procedure di gestione della sicurezza e degli incidenti. Un’altra nuova procedura che abbiamo introdotto è: lavorare solamente con partner conformi al GDPR.

5. Preparare un nuovo accordo sull’elaborazione dei dati

Molti dei nostri clienti lavorano con i dati personali dei loro clienti: prendono ordini, raccolgono email tramite moduli di registrazione, utilizzano carte di credito e altro. Il cliente controlla i dati e il modo in cui essi vengono raccolti e utilizzati, ma SiteGround li memorizza sui propri server e quindi partecipa al loro trattamento. Il nuovo accordo sull’elaborazione dei dati disciplinerà il trattamento di tali dati da parte nostra; essi saranno usati solo ai fini della fornitura del servizio di hosting, della risoluzione di richieste tecniche e di altre funzioni secondarie, come sempre. Fornendo questo accordo ai nostri clienti, garantiamo essere un partner di fiducia impegnato a rispettare i principi di trasparenza e dimostriamo di adempiere i nostri obblighi ai sensi del GDPR.

6. Diritto all’oblio

Ai sensi del GDPR, ogni cliente può far valere il diritto all’oblio, vale a dire che tutti i dati devono essere cancellati e mai utilizzati nuovamente, salvo in determinate circostanze, che possono includere il dover continuare a elaborare le informazioni personali per adempiere a un obbligo legale. Un esempio è l’obbligo di conservare una copia di tutte le fatture per dovere finanziario e fiscale. Ora stiamo sviluppando una funzionalità che consente ai nostri clienti di cancellare i loro profili dopo che tutti i servizi saranno stati disattivati.

7. Diritto di accesso, aggiornamento, portabilità e ritiro del consenso

La nostra nuova Informativa sulla Privacy ti fornirà tutti i dettagli su come trattiamo i tuoi dati personali. Come cliente sarai anche in grado di vedere quali dati memorizziamo su di te, aggiornarli e scegliere se ritirare il tuo consenso al loro uso. Tutti i nostri clienti possono attualmente vedere le loro informazioni personali nella sezione I Miei Dettagli della loro Area Utente e sono in grado di modificarli. L’uso da parte nostra delle tue informazioni personali è necessario per fornire i nostri servizi come stabilito da contratto. Chiediamo il tuo consenso solo per inviarti informazioni di marketing e offerte promozionali e abbiamo introdotto di recente nuove preferenze che ti consentono di gestire il tuo consenso al loro utilizzo. Stiamo lavorando per essere in grado di fornirti una copia dei dati che ti riguardano in modo semplice, esportandoli su richiesta.

8. Il responsabile della privacy dei dati

Il GDPR afferma che è necessario assegnare un responsabile della privacy dei dati per assicurarsi che siamo conformi alle normative e alla gestione dei reclami. Stiamo portando in azienda un DPO (Data Protection Officer) e istruendo un piccolo gruppo di persone che saranno in grado di fornire assistenza in caso di richieste e casi di protezione dei dati.

Dove siamo adesso?

Tutte le cose di cui sopra e molte altre sono in arrivo. Molte cose sono già pronte, mentre altre sono ancora in lavorazione. Prima del 25 maggio 2018, una volta che sarà tutto pronto, elencheremo con precisione, a clienti e non, tutte le novità adottate.

Rilasceremo versioni aggiornate della nostra Politica sulla Privacy, dei Termini di Servizio e un accordo sull’elaborazione dei dati. In realtà non vi saranno grandi sconvolgimenti soprattutto perché, come detto a inizio post, SiteGround da sempre adotta principi di gestione dei dati in linea con la nuova normativa.

Spero che questo primo approfondimento vi sia stato utile, nelle prossime settimane sarete aggiornati con tutte le novità. Nel frattempo fatemi sapere se avete domande o dubbi riguardo l’argomento.