La conformità al GDPR di un sito web è una procedura in più step che richiede di prestare attenzione sia alle normative che al livello più tecnico della protezione dei dati.

Il GDPR non elenca un preciso percorso…

il che rende tutto un pò più complesso. Il Regolamento cioè dice a grandi linee cosa bisogna fare, ma non dettaglia come ciò debba essere fatto. Che, però, questo adeguamento sia inevitabile dipende sia dal fatto che è un obbligo legale sia dal fatto che anche la qualità del sito web concorre alla web reputation. Web reputation che non può non essere tenuta in considerazione dal momento in cui un’azienda o un professionista decidono di sbarcare sul web per pubblicizzarsi, farsi conoscere e magari vendere online. Subire un data breach, ad esempio, non gioverà sicuramente alla reputazione del sito web e di chi lo ha messo online.

Non si può avere la pretesa di scrivere il “manuale del perfetto sito web”: il GDPR è vago nei mezzi da usare perché tiene di conto che le situazioni e le esigenze possono variare. Quindi ogni percorso di conformità al GDPR per un sito web dovrà essere valutato intorno al sito web stesso. Ci sono però sicuramente alcuni passi obbligatori, step minimi senza i quali non si può parlare di conformità al GDPR nè di sito web sicuro dal punto di vista della sicurezza dei dati.

 

Step 1: l’informativa privacy

E’ lo step numero uno per la conformità al GDPR, il documento più importante. L’informativa è un documento sul quale prestare grande attenzione ed è come un biglietto da visita. Informative trascurate, opache, con errori, magari copincollate da altri documenti dimostrano scarsa attenzione da parte del titolare del sito.

Una informativa quindi deve essere pensata secondo le esigenze di trattamento dati del titolare del sito web e deve essere esaustiva, chiara e trasparente. Gli utenti, leggendola, devono avere chiaro quali dati vedranno raccolti, per quali finalità e per quanto tempo. In breve deve elencare:

  • i dati raccolti dal sito;
  • la modalità di trattamento dei dati;
  • la finalità del trattamento dei dati;
  • il periodo di conservazione degli stessi;
  • le modalità e le soluzioni di protezione dei dati attuate;
  • i soggetti che hanno accesso ai dati;
  • i soggetti terzi ai quali i dati potrebbero essere trasferiti o comunicati;
  • i dati del titolare e del responsabile del trattamento e i dati del DPO, se nominato.

E’ utile inserire in informativa alcune informazioni generali sull’azienda / organizzazione, fare cenni, anche linkando direttamente, al GDPR e altre normative privacy.

Molto importante, se si prevede l’uso di moduli di contatto, indicare quali dati sono richiesti da tali moduli e lo scopo per cui sono usati. In caso di form di iscrizioni a newsletter, ad esempio, andrà linkata l’informativa privacy del fornitore del servizio e se i dati degli utenti saranno profilati o meno. Si fa invece molto più complesso, il punto, in caso di form legati ad acquisti da effettuarsi presso e-commerce…

 

Step 2: i cookie

In base alle necessità del titolare del sito web, quindi ai dati che necessita di trattare, bisogna anzitutto stabilire la tipologia di cookie necessari.

  • i cookie tecnici sono necessariamente presenti. Servono a far funzionare il sito web;
  • gli analytics rilevano dati statistici in forma aggregata e consentono di produrre analisi su come gli utenti navigano e usano il sito web senza però trattare dati personali;
  • i cookie di profilazione invece rilevano il comportamento del singolo utente direttamente dal sito web;
  • i cookie di profilazione di terze parti, tramite i quali terze parti rilevano il comportamento dell’utente e ne tracciano dispositivo e indirizzo IP.

Se per i cookie tecnici e di analytics non serve richiedere il consenso dell’utente, per i cookie di profilazione è necessario il consenso. Il titolare del sito quindi dovrà allestire, a livello tecnico, un meccanismo di raccolta dei consensi. Questo viene fatto tramite appositi widget, come appunto acconsento.click.

Per saperne di più > Linee Guida del Garante su privacy e cookie: con Acconsento la conformità in un attimo

L’informativa cookie dovrà essere parte integrante o comunque essere richiamata nell’informativa generale. Dovrà spiegare cosa sono i cookie, le modalità con cui l’utente può negare o prestare il consenso, le categorie di cookie tecnici e analytics attivi sul sito e le finalità. Per i cookie di profilazione

  • di prima parte: va prevista una descrizione e il relativo modulo di consenso;
  • di terze parti: vanno identificate le parti (es. Google), indicata la finalità de cookie, va linkata l’informativa al modulo di consenso della terza parte e un link all’informativa degli intermediari, se presenti.

Step 3: moduli o form di richiesta degli utenti

Qualsiasi form richieda dati degli utenti deve rispettare il principio di minimizzazione del GDPR. In parole semplici vanno raccolti soltanto i dati strettamente necessari alle finalità. Va prevista una casella che richieda conferma che l’utente abbia visto l’informativa privacy e va prevista una casella di richiesta consenso per ogni specifica finalità del trattamento dati. E’ importante che le caselle non siano pre-spuntate. A grandi linee, queste indicazioni sono valide anche per le cosiddette pagine di checkout, che verificano i dati degli utenti prima di procedere ad un pagamento online.

 

Step 4: Plugin e app

Molti siti web utilizzano plugin e funzionalità aggiuntive. Esempi classici sono WooCommerce per le funzionalità di e-commerce ma anche tutti i plugin per la condivisione social. Quando si decide di implementare questi plugin su un sito web è bene verificare che siano conformi al GDPR, altrimenti è meglio scegliere altri plugin.

Step cinque: CMS (Content Management System)
Nel caso un sito web utilizzi CMS, è fondamentale che questi siano sempre aggiornati e protetti. E’ necessario quindi assicurarsi che il CMS sia sempre aggiornato e richiederne la manutenzione nel caso il sito web sia stato consegnato da una web agency. Anche il CMS scelto deve essere conforme al GDPR.

 

Step 5: consenso

Se il sito web raccoglie dati da prima del 25 Maggio 2018 è necessario verificare che i consensi a queste raccolte siano stati ottenuti in conformità al GDPR. Altrimenti è necessario richiedere un nuovo consenso. Servirà sicuramente un nuovo consenso nel caso in cui il sito web prevedesse l’uso di caselle pre spuntate o se si richiedeva un solo consenso per più finalità. Una comunicazione agli utenti che avvisa del cambiamento delle condizioni di trattamento dei dati e richiede un nuovo consenso sarà sufficiente. Andranno cancellati i dati di coloro che non prestano il consenso.

 

Step 6: backup

Il backup è obbligatorio e, ormai, anche una questione di buon senso. Va impostato a cadenza regolare, deve prevedere più copie dei dati in location diverse non collegate tra loro (locale, cloud e una copia offline). I dati devono essere criptati e i backup vanno periodicamente testati per valutarne l’integrità. Limita l’accesso al backup solo alle persone strettamnte interessate.

 

Step 7: le nomine e le autorizzazioni

Ultimo step: il GDPR art 28 e 29 prevede che chiunque acceda ai dati personali sotto autorità del Titotale del trattamento deve essere adeguatamente formato. Chi invece tratta i dati per conto del titolare, ma con mezzi propri, deve essere nominato responsabile del trattamento con atto formale.

Ringraziamo gli esperti di GDPRlab per il loro prezioso contributo.

Vuoi verificare se il tuo sito web è conforme alla normativa vigente? Contattaci, ti aiuteremo noi!

ArabicChinese (Simplified)DutchEnglishFrenchGermanItalianPortugueseRussianSpanish