I tre quarti delle aziende italiane possiedono un sito web e circa un quinto è provvisto di e-commerce.
La normativa prevista dal Regolamento Europeo (leggi anche GDPR: che cos'è e perché è stato introdotto) prevede una serie di adempimenti che interessano proprio il mondo internet: siti, blog, portali e stores online dovrebbero essere adeguati alle richieste dell'attuale legislazione per evitare sanzioni. Per questo chi ancora non lo avesse fatto, o chi è in procinto di aprire un nuovo portale o blog (anche su piattaforme o spazi gratuiti) dovrebbe mettersi in regola.
Di seguito vi sveliamo com'è cambiata la gestione dei dati personali online e quali sono gli interventi da effettuare per adeguare il vostro spazio su internet per essere compliance GDPR.
La Privacy Policy e i moduli di contatto
Al primo posto tra le attività da fare compare la Privacy Policy, ovvero un documento che spieghi agli utenti il tipo di dati raccolti, chi e come li raccoglie, perché vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.
Questa informativa è necessaria per ottenere il consenso al trattamento dei dati personali: a questo proposito è dunque necessario dotarsi di un’apposita sezione del sito o di un form da compilare per poter consentire all’utente di accedere all’informativa e di prestare il proprio consenso.
Nello specifico, una prima modifica dovrà riguardare i moduli di contatto: in questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di "dotazione al titolare del server delle informazioni personali", costringendo così il Titolare ad adeguare il modulo al GDPR.
Ad esempio, se si predispone un modulo attraverso il quale inviare richieste al Titolare del sito e in cui il cliente deve inserire nome, cognome e indirizzo mail, questo modulo deve rispettare le norme del Regolamento ed essere integrato con il link all’Informativa sulla Privacy, mettendo l’utente in condizione di accettare il trattamento dati tramite la spunta sul checkbox relativo.
In questo caso è doveroso esplicitare:
– che questo consenso può essere utilizzato solo per le finalità di contatto e non anche per altre finalità (per esempio quella di "marketing" nel qual caso è necessario predisporre un’apposita Privacy Policy con relativo modulo di consenso);
- che non è possibile chiedere per queste finalità dati che non risultino indispensabili per lo scopo di contatto (come, ad esempio, data di nascita, titolo di studio, stato civile, e così via).
L’aggiornamento e il data-logging
Proprio in stretta conseguenza è importante, se ci sono, correggere i moduli già presenti sul proprio sito per consentire all’utente di prestare in modo espresso il proprio consenso: a tal fine tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una "casella di spunta" per consentire all’utente di prestare autonomamente ed esplicitamente il proprio consenso.
Inoltre, il Titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi all’utente sia quelli concernenti la concessione del proprio consenso al trattamento.
Per questo motivo, il sito web si deve dotare di un apposito database che faciliti l’accesso e la conservazione sicura dei dati ottenuti. A questo fine, può essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.
Un’ipotesi in cui viene in gioco questo aspetto è nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano l’inserimento di dati specifici dell’utente.
In questo caso, è necessario predisporre sia strumenti che permettano di monitorare gli accessi effettuati (tramite il controllo dell’indirizzo IP), sia modificare le aree riservate agli utenti, integrandole con alcune funzionalità che permettano loro:
- l’accesso ai propri dati;
- la modifica degli stessi;
- la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
- la cancellazione della propria iscrizione e conseguentemente dei dati forniti.
In tutti i casi in cui il sito utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato l’indirizzo IP dell’utente o le azioni compiute sul sito (pagine visitate, tempi online, ecc.). In questo caso, dunque, è necessario indicare nell’Informativa Privacy che esistono queste modalità di tracciamento (e richiedere, quindi, che il consenso si estenda anche a questo tipo di trattamento).
La protezione dei dati
Uno degli aspetti più importanti e che determina il maggior carico di aggiornamento al gestore del sito web è la predisposizione di procedure che assicurino la sicurezza online dei dati in riferimento alle possibili violazioni al server o alla piattaforma di gestione del webmaster (che può comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti).
Dal momento che il GDPR pone a carico del soggetto che effettua il trattamento dei dati anche la responsabilità sulla loro sicurezza, ne deriva l'importanza di dotarsi di strumenti in grado di mettere in sicurezza il sito.
Ovviamente, non esiste un unico criterio di sicurezza valido per tutti i siti web e le soglie di protezione dovrebbero essere tanto più forti quanto più sensibili sono i dati trattati (in particolare se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone).
La gestione dei cookies
Successivamente alla Privacy Policy troviamo un altro ambito particolarmente inciso dalla normativa GDPR: la disciplina sull’uso dei cookies. Infatti, i gestori dei siti web sono tenuti a mostrare un’informativa (solitamente in forma breve all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookies per le più diverse finalità e chiedendo uno specifico assenso per questa pratica.
In altri termini, dovrebbe essere permesso agli utenti di scegliere se consentire l’utilizzo dei cookies o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza poter vietare l’accesso al sito (come avveniva prima del GDPR) agli utenti che negano l’installazione dei cookies non indispensabili al funzionamento del sito. Anche per la gestione dei consensi relativi ai cookies deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookies. Per saperne di più sui cookies, leggi anche l'articolo La ricetta dei "Web Cookies".
Per maggiori informazioni o per chiedere un preventivo gratuito e senza impegno per mettersi in regola sul fronte GDPR in riferimento al proprio sito web, per richiedere una Privacy Policy o l'Informativa sui cookies non esitare a contattarci, i nostri specialisti sono a tua completa disposizione ai nostri recapiti:
Cel. +39 371 46 371 45 - 371 46 30 129
E-mail: info@enterprise-solutions.net
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.