GDPR come adeguare sito web

Il Regolamento Europeo Privacy – il tuo sito web è a norma?

• CENTRALITÀ DELL’UTENTE: l’utente è il centro intorno al quale deve ruotare tutto il resto
• PRIVACY BY DESIGN: la privacy deve essere incorporata nella progettazione
• PRIVACY BY DEFAULT: non è possibile raccogliere dati personali a meno che non dimostri che ciò è necessario
• PROATTIVITÀ: meglio prevenire che correggere
• TRASPARENZA: si deve garantire la massima trasparenza possibile
• MASSIMA FUNZIONALITÀ: si deve garantire la tutela adeguata al rischio.

La persona a cui si riferiscono i dati soggetti al trattamento è l’interessato. Oltre ai dati classici di identificazione, come il nome e il codice fiscale, sono da considerarsi dati personali anche la voce, le immagini e i filmati, il numero di telefono, il codice fiscale, la targa dell’auto, l’impronta digitale, le ore lavorative, le informazioni patrimoniali.

Il GDPR prevede il divieto generico di trattare i dati soggetti a trattamento speciale, ovvero i dati sensibili. Sono quelli che possono mettere a rischio le libertà personali ed essere oggetto di discriminazione. Ad esempio:

• dati sulla razza o etnia, religione, appartenenza sindacale;
• dati genetici;
• dati biometrici (ad esempio i rilevamenti facciali o dattiloscopici);
• dati giudiziari (che rivelano l’esistenza di procedure penali).

I dati sensibili possono essere trattati solo in casi specifici, l’interessato deve avere dato il proprio consenso esplicito e inequivocabile e devono essere trattati e custoditi nella massima sicurezza.

L’ANALISI DEI RISCHI

QUANDO EFFETTUARLA?

Devo fare un’analisi dei rischi? Certo, a prescindere dalla norma. E per questo condivido con te uno schema che ho utilizzato per fare l’analisi dei rischi della mia attività. Vediamo cosa ci indica l’articolo 35 del GDPR. Quando devo eseguire l’analisi?

“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si devono mettere in atto misure tali da garantire un livello di sicurezza adeguato al rischio” (art. 32 del GDPR)

L’obiettivo finale è quello di definire i dati personali, i rischi connessi e le misure per proteggerli prima di trattarli.

DI QUALI DATI SEI IN POSSESSO

E PER QUALI FINALITÀ?

Ogni attività ha esigenze di trattamento dati differenti, dati anagrafici dei clienti, per compilare contratti e documentazione amministrativa, come bolle e fatture, dati che servono per mantenere un rapporto commerciale con i clienti. Dati dei clienti e dei fornitori etc. alcune attività detengono anche dati soggetti a trattamento speciale. Quali rischi corrono i diritti e le libertà personali delle persone oggetto del tuo trattamento?

I rischi più gravi sono connessi con i servizi di posta elettronica nei quali le misure di sicurezza devono essere elevate, ma anche l’attenzione del cliente nella gestione delle password ha una rilevanza notevole.

Devi capire quindi tramite una analisi dei rischi e tramite una analisi dei dati in tuo possesso, se il tuo sito web è in regola con il nuovo GDPR europeo, altrimenti devi adeguarlo per metterlo a norma.

IL TUO SITO WEB È CONFORME AL GDPR?

Il GDPR prevede che il consenso per il trattamento dati personali deve essere fornito per ogni finalità. Questo provocherà dei cambiamenti anche per i possessori di siti web? Cosa dovrà essere fatto per adeguare l’invio di newsletter? Cambieranno i termini per la gestione del cookie policy?

Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito.

Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.

In qualità di proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).

LA GESTIONE COOKIES del TUO SITO WEB – Il GDPR riguarda sia i dati personali e sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie si elaborano dati personali (identificabili), questi cookie sono soggetti al nuovo del GDPR europeo:

(Considerando 30 del GDPR) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a cookies-marcatori temporanei o a identificativi di altro tipo, come i TAG di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

ANALISI ADEGUATEZZA SITO WEB

ALLE NUOVE NORME

In pratica, all’interno del tuo sito web, devi analizzare questi aspetti:

• Moduli di registrazione utenti con accettazione esplicita e univoca del consenso dati
• Sezione Commenti post articoli pagine conformi alle norme
• Moduli di contatto – Form con accettazione esplicita e univoca del consenso dati
• Analisi dei log del traffico che tracciano IP utenti
• Plugin utilizzati che utilizzano cookies di profilazione dati utenti
• Tools di email marketing che gestiscono dati utenti

Le cose che, nel tuo sito web, devi assolutamente rivedere sono:

• il modo con il quale gestisci e memorizzi i dati e se hai dati utenti sensibili porre tutte le barriere adeguate
• i Cookie e, nello specifico, il banner per il consenso sui cookie. Il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali
• Privacy Policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.

Per risolvere il problema della Privacy Policy in alcuni siti web particolari ed essere in regola con il nuovo regolamento europeo, potresti anche richiedere il supporto di un consulente legale.

GDPR come adeguare sito web

QUALI MISURE DEVI METTERE IN ATTO PER GARANTIRE UN LIVELLO DI PROTEZIONE GDPR ADEGUATO?

Ecco alcune delle misure preventive:

• Certificato SSL attivo e correttamente installato
• Informazioni accurate e pubbliche su cookies funzionanti sul sito
• Possibilità dell’utente di scegliere che cookies accettare o meno
• Informativa privacy estesa sul sito web
• Banner INFO cookies idoneo a GDPR con assenso selezione e accettazione univoca
• Accesso al server-data center limitato al personale autorizzato
• Filtri anti-spam e anti-virus su pc locali e sui server e sul sito web
• Backup giornalieri e settimanali database dati riposti in luoghi protetti
• Monitoraggio delle risorse con sistema di notifica in caso di down
• Replica dei backup in più locazioni e riposti in luogo protetti
• Impostazioni di password adeguate
• Utilizzare Form / moduli contatti dal sito web che obbligano preventivamente la spunta di accettazione spedizione e conservazione dati personali e che impediscono l’invio se non accettate in modo univoco
• Impostazione filtro IP per la lettura della posta
• Non archiviazione delle password dei clienti, sia cartacea che digitale
• Sensibilizzazione del personale interno sul valore del dato personale del cliente

Alcune misure migliorative GDPR devono:

• Rendere effettiva la privacy by design e la privacy by default in ogni servizio offerto
• Tutelare il dato in caso di trasferimento in paesi extra UE
• Sensibilizzare i clienti sull’importanza dei backup e la gestione delle password
• Informare sulle impostazioni della privacy sui social e l’utilizzo dei social login

Tramite GDPR il tuo sito web deve tra le altre cose essere in grado di:

• monitorare e documentare qualsiasi attività di tracciamento sul sito
• visualizzare le informazioni richieste dal GDPR europeo per i visitatori del sito
• documentare, in qualsiasi momento ed automaticamente tutti i consensi prestati dagli utenti

PROCEDURE APPLICABILI AL TUO SITO PER GDPR

ALDES è in grado di esaminare il tuo sito web alla ricerca di tutti i sistemi di tracciamento e ti fornisce un resoconto di quali servizi di terzi monitorano i tuoi utenti e dove nel mondo vengono inviate queste informazioni (es. COMUNITA EUROPEA, Stati Uniti, Russia, Cina, etc.).

Ogni mese generare un report completo sui cookie e sull’attività di elaborazione dei dati sul tuo sito web, pubblicandoli direttamente sulle pagine della privacy politica del sito e garantendo ai visitatori un del tuo sito il completo controllo in ogni momento.

Il consenso dell’utente verrà richiesto mediante un banner comprensibile, in cui gli utenti potranno facilmente attivare e disattivare i vari tipi di cookie. Gli utenti potranno, in qualsiasi momento, accedere alla configurazione del loro consenso e modificare o ritirare il proprio consenso.

Al fine di documentare il consenso ai cookie degli utenti, è consigliabile scaricare tutti i consensi in un foglio elettronico criptato. Ogni dodici mesi, il consenso verrà automaticamente rinnovato alla prima visita dell’utente sul sito web.

Il consenso sarà richiesto prima della configurazione dei cookie, ad eccezione di quelli strettamente necessari al funzionamento del sito web e dunque legali. Tutti i consensi verranno automaticamente raccolti tramite una connessione protetta e memorizzati con password chiavi crittografate.