Come adeguare il sito web al GDPR
Con le nuove disposizioni introdotte dal GDPR per la tutela dei dati personali e della privacy, tutte le aziende che posseggono un sito web e che elaborano le informazioni dei propri utenti, devono adeguarsi al Regolamento Europeo.
Richiedi una consultazione
I webmaster provvedono innanzitutto a puntare sulla chiarezza di informazione verso i propri utenti: ciascun sito internet deve mostrare in modo chiaro a tutti i visitatori le risposte a domande quali:
- Perché il sito richiede i dati personali?
- Come vengono ottenuti e conservati i dati?
- I dati possono essere ceduti a soggetti terzi e in quali condizioni?
GDPR e Sito Web: diritto alla cancellazione dei dati personali
Tra i principi alla base delle attività del trattamento dati, si ha prova di aderenza alla normativa: i siti web devono provare di possedere il fondamento giuridico per poter trattare i dati sensibili. Tutte le procedure vanno modificate al fine di proteggere i diritti dell’utente, a partire dalla richiesta cancellazione dei dati personali, da poter effettuare in qualsiasi momento.
Per facilitare la procedura di richiesta cancellazione dei dati personali, è necessario che venga creato un apposito database separato per il consenso degli utenti.
GDPR e Sito Web: registrazione dei Log
La conformità GDPR per i nuovi siti richiede anche l’implementazione di un sistema di verifica dei dati dei visitatori, con possibilità di notifica immediata in caso di rischio di violazione dei dati personali. Una piattaforma di data-logging (registratore di log) in grado di collezionare i dati, tracciare le attività dell’amministratore di sistema e del webmaster, associato a un software (o nel caso di CMS plugin/moduli) di controllo accessi e protezione dei dati, può essere la soluzione a questo requisito.
GDPR e Sito Web: diritto di essere informato
Il GDPR richiede inoltre il rispetto di diversi tipi di diritti dell’utente, primo fra tutti il diritto di essere informato. I proprietari di siti web devono informare i visitatori e clienti che sono in procinto di ottenere informazioni su dati sensibili. Gli avvisi al riguardo devono essere visualizzati in modo palese e facilmente comprensibile, anche per bambini o minorenni. Gli amministratori dei siti devono inoltre effettuare una divisione tra due categorie, per distinguere dati ottenuti direttamente dagli utenti e dati secondari raccolti in base ad informazioni.
GDPR e Sito Web: i diritti dell’interessato
Altri diritti fondamentali dell’utente sono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di oggetto al trattamento dei dati personali. Per garantire la conformità GDPR gli amministratori possono prevedere dei meccanismi di configurazione che portino al riconoscimento di tali diritti attraverso azioni automaticamente programmate.
GDPR e Sito Web: la newsletter
Anche le opzioni di abbonamento alla newsletter e le preferenze di contatto vanno riorganizzate, al fine di allinearsi con le nuove disposizioni, che non prevedono più la possibilità di ricevere il consenso di default. I moduli dovranno essere riadattati, con un passaggio dei messaggi sponsorizzati e delle newsletter da opt-out (come era spesso in precedenza) ad opt-in opzionale. Lo stesso vale per “Termini di servizio – condizioni” ed anche per la Privacy Policy.
GDPR e Sito Web: la gestione dei dati personali
Una volta fornito il consenso e l’accettazione dell’informativa sulla privacy e delle condizioni d’uso, l’utente deve avere la possibilità di gestirli e ritirarli in modo semplice ed immediato. Un approccio consigliato è quello di creare un pagina del profilo utente, dove ciascuno possa gestire autonomamente qualsiasi consenso sulla raccolta dati privati e qualsiasi invio di comunicazioni e newsletter.
In forma sintetica, è possibile elencare gli step principali per assicurarsi un sito web a norma GDPR, con le azioni specifiche che gli amministratori dovrebbero seguire:
GDPR e Sito Web: checklist
- Realizzare una verifica di tutti i dati personali collezionati
- Aggiornare l’informativa sulla privacy
- Rendere affermativi gli avvisi dei cookie
- Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
- Rivedere la funzionalità di acquisizione dati
- Aggiornare le Privacy Policy per le email
- Rendere immediata la possibilità di gestione/cancellazione dati
- Applica un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
- Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni
- Abilita una procedura per agevolare l’eliminazione dei dati di un particolare utente
- Abilita una procedura che garantisca la portabilità dei dati
- Registrare e monitorare i log di sistema degli amministratori e dei webmaster
