Come adeguare il sito web al GDPR
11 Lug 2018

“La nuova normativa europea deve essere vista come un’opportunità per ripensare il proprio approccio alla Cybersecurity. E anche per dare avvio a un percorso di Trasformazione Digitale che non trascuri l’elemento imprescindibile della Privacy e della Sicurezza a supporto di una crescita di lungo termine”, dichiara Carlo Mauceli, National Technology Officer di Microsoft Italia.

Il regolamento è indirizzato principalmente alle imprese che, per vari motivi, si ritrovano a dover gestire e conservare i dati personali dei propri utenti. Il GDPR detta quindi norme molto precise e severe sui metodi nonché sulle forme in cui tali dati vanno trattati. In particolare, è necessario fornire all’utente una motivazione valida riguardo alla raccolta e alla conservazione dei dati
I webmaster provvedono innanzitutto a puntare sulla chiarezza di informazione verso i propri utenti: ciascun sito internet deve mostrare in modo chiaro a tutti i visitatori le risposte a domande quali:

  • Perché il sito richiede i dati personali?
  • Come vengono ottenuti e conservati i dati?
  • I dati possono essere ceduti a soggetti terzi e in quali condizioni?

GDPR e Sito Web: Cookie policy, registro delle attività di trattamento

Per dati personali si intendono nome, foto, indirizzo IP, di residenza o e-mail e qualsiasi altra informazione riguardante una persona fisica.

La cookie policy va rivista in quanto i cookie presenti attualmente sui siti, raccolgono informazioni sugli utenti, le tecniche di raccolta, però, dal 25 maggio 2018 dovranno adeguarsi a quanto prescritto dalla normativa GDPR.

I cookie presenti su un sito web possono essere propri o di terze parti, anche nel caso di cookie raccolti da terze parti, il titolare del sito web resta il soggetto che risponde del trattamento dei dati e quindi deve inserire una policy che spieghi come queste terze parti elaborino i dati degli utenti.

Il sito web, quindi, dovrà pubblicare una cookie policy dettagliata ed anche una pagina dedicata alla privacy policy. In questa pagina spiegherà agli utenti quali sono i loro diritti, così come contenuto nel regolamento europeo sulla privacy ed illustrerà, se presenti, anche l’elenco dei servizi di terze parti che raccolgono dati degli utenti. In questo caso dovrà essere presente un collegamento alla pagina di privacy policy di questi ultimi così che l’utente possa prenderne visione.

Il titolare deve possedere obbligatoriamente un registro delle attività di trattamento, qui ci saranno tutte le informazioni relative alla raccolta dei dati degli utenti: perché vengono raccolti, quali vengono raccolti, quali sono le misure di sicurezza adottate per proteggerli.

GDPR e Sito Web: diritto alla cancellazione dei dati personali

Tra i principi alla base delle attività del trattamento dati, si ha prova di aderenza alla normativa: i siti web devono provare di possedere il fondamento giuridico per poter trattare i dati sensibili. Tutte le procedure vanno modificate al fine di proteggere i diritti dell’utente, a partire dalla richiesta cancellazione dei dati personali, da poter effettuare in qualsiasi momento.

Per facilitare la procedura di richiesta cancellazione dei dati personali, è necessario che venga creato un apposito database separato per il consenso degli utenti.

GDPR e Sito Web: registrazione dei Log

La conformità GDPR per i nuovi siti richiede anche l’implementazione di un sistema di verifica dei dati dei visitatori, con possibilità di notifica immediata in caso di rischio di violazione dei dati personali.

Una piattaforma di data-logging (registratore di log) in grado di collezionare i dati, tracciare le attività dell’amministratore di sistema e del webmaster, associato a un software (o nel caso di CMS plugin/moduli) di controllo accessi e protezione dei dati, può essere la soluzione a questo requisito.

GDPR e Sito Web: diritto di essere informato

Il GDPR richiede il rispetto di diversi tipi di diritti dell’utente, primo fra tutti il diritto di essere informato. I proprietari di siti web devono informare i visitatori e clienti che sono in procinto di ottenere informazioni su dati sensibili. Gli avvisi al riguardo devono essere visualizzati in modo palese e facilmente comprensibile, anche per bambini o minorenni. Gli amministratori dei siti devono inoltre effettuare una divisione tra due categorie, per distinguere dati ottenuti direttamente dagli utenti e dati secondari raccolti in base ad informazioni.

GDPR e Sito Web: i diritti dell’interessato

Altri diritti fondamentali dell’utente sono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di oggetto al trattamento dei dati personali. Per garantire la conformità GDPR gli amministratori possono prevedere dei meccanismi di configurazione che portino al riconoscimento di tali diritti attraverso azioni automaticamente programmate.

GDPR e Sito Web: la newsletter

Anche le opzioni di abbonamento alla newsletter e le preferenze di contatto vanno riorganizzate, al fine di allinearsi con le nuove disposizioni, che non prevedono più la possibilità di ricevere il consenso di default. I moduli dovranno essere riadattati, con un passaggio dei messaggi sponsorizzati e delle newsletter da opt-out (come era spesso in precedenza) ad opt-in opzionale. Lo stesso vale per “Termini di servizio – condizioni” ed anche per la Privacy Policy.

GDPR e Sito Web: la gestione dei dati personali

Una volta fornito il consenso e l’accettazione dell’informativa sulla privacy e delle condizioni d’uso, l’utente deve avere la possibilità di gestirli e ritirarli in modo semplice ed immediato. Un approccio consigliato è quello di creare un pagina del profilo utente, dove ciascuno possa gestire autonomamente qualsiasi consenso sulla raccolta dati privati e qualsiasi invio di comunicazioni e newsletter.

Sito con Certificato SSL

Mettete il sito in Https, ovvero attivate i certificati SSL. Questo renderà il vostro sito internet più sicuro, ivi compresi i dati sensibili che rilasciano gli utenti sul vostro sito.
Inoltre è una dimostrazione in più al Garante per eventuali controlli che avete aumentato al massimo la sicurezza dei dati contenuti sul sito.

In forma sintetica, è possibile elencare gli step principali per assicurarsi un sito web a norma GDPR, con le azioni specifiche che gli amministratori dovrebbero seguire:

GDPR e Sito Web: checklist

  • Realizzare una verifica di tutti i dati personali collezionati
  • Aggiornare l’informativa sulla privacy
  • Rendere affermativi gli avvisi dei cookie
  • Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
  • Rivedere la funzionalità di acquisizione dati
  • Aggiornare le Privacy Policy per le email
  • Rendere immediata la possibilità di gestione/cancellazione dati
  • Applica un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
  • Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni
  • Abilita una procedura per agevolare l’eliminazione dei dati di un particolare utente
  • Abilita una procedura che garantisca la portabilità dei dati
  • Registrare e monitorare i log di sistema degli amministratori e dei webmaster

Condividi l'articolo

Condividi questo post

Lascia una recensione

avatar

* Questa casella GDPR è richiesta

*

Accetto

  Subscribe  
Notificami