GDPR – Guida all’adeguamento del proprio sito web
Dal 25 maggio 2018, ormai è in vigore la nuova normativa europea che regolamenta i diritti in materia di privacy. Per chi possiede un sito web, se non lo ha già fatto, è di vitale importanza che si adoperi per adeguarlo tempestivamente alle nuove normative per non incorrere nelle pesanti sanzioni previste dalla UE (fino a 20 milioni di euro).
Il tempo ormai è scaduto ed è opportuno correre subito ai ripari prima che accada il peggio!
Ma quali sono i passi necessari per adeguare il proprio sito alla normativa GDPR?
GDPR in 7 punti:
BANNER INZIALE NOTIFICA COOKIE
PAGINA PRIVACY POLICY / COOKIE POLICY
PAGINA TERMINI E CONDIZIONI
RACCOLTA DATI PERSONALI
ACQUISIZIONE CONSENSO
GESTIONE CONSENSO
SICUREZZA DEL SITO
1. BANNER INZIALE NOTIFICA COOKIE
Se, attraverso i cookie installati sulle varie pagine, il vostro sito raccoglie dati di marketing o dati statistici, è necessario che questo venga notificato agli utenti con un banner all’apertura di una qualsiasi delle pagine del sito. L’utente deve essere avvisato e poter scegliere se accettare o meno l’installazione di questi cookie. E’ ovvio che i cookie che raccolgono dati devono essere bloccati preventivamente e sbloccati solo quando l’utente li accetta dandone il consenso.
Nel banner deve essere presente il link per la pagina della “Privacy Policy / Cookie Policy”.
2. PAGINA PRIVACY POLICY / COOKIE POLICY
Sono le pagine che definiscono, rispettivamente, come vengono trattati i dati raccolti attraverso il sito (IP, dati statistici generici, dati forniti volontariamente, eccetera) e la lista dei cookie utilizzati con i relativi link di terze parti e le indicazioni su come disabilitarli. Queste informazioni possono essere suddivise in due pagine separate o essere accorpate in un’unica pagina.
In ogni caso devono necessariamente contenere in maniera più chiara e semplice possibile (e nella lingua in cui il servizio è offerto):
- Elenco dei dati trattati
- Estremi del titolare
- Modalità e finalità
- Strumenti terzi utilizzati
- Elenco dei cookie
- Classificazione dei cookie (descrizione, durata e dominio)
- Istruzioni per disabilitare i cookie
3. PAGINA TERMINI E CONDIZIONI
Questa pagina è indispensabile per i siti che forniscono servizi online quali la vendita di prodotti e di software scaricabili; per i siti che danno accesso, previa iscrizione, ad usufruire di applicativi, di video-corsi e qualsiasi altro servizio a prescindere che preveda una qualche forma di pagamento o meno.
La pagina di “Termini e Condizioni” informa l’utente delle modalità del rapporto contrattuale che si instaura tra lui ed il titolare del sito che fornisce il servizio. Deve contenere le condizioni di utilizzo, le clausole sul copyright, la dichiarazione di esclusione di responsabilità, le condizioni di vendita, le condizioni di spedizione, eccetera.
Per gli e-commerce è una pagina obbligatoria ed è utile tanto all’utente per conoscere i termini dei servizi offerti, quanto al titolare del sito per tutelarsi da eventuali contestazioni.
4. RACCOLTA DATI PERSONALI
I dati personali raccolti, quale, nome, cognome, indirizzo email, numero carta di credito, numero di telefono, data di nascita, informazioni di preferenze, eccetera, devono essere memorizzati con esplicito consenso dell’utente.
Il titolare del sito è garante del trattamento e della conservazione dei dati nei limiti e nelle modalità previsti dalla normativa.
5. ACQUISIZIONE CONSENSO
Il consenso all’acquisizione e trattamento dei dati, deve essere acquisito ogni volta che l’utente è chiamato a rilasciarli per le finalità previste dal sito. Ad esempio quando:
- Si iscrive alla newsletter
- Crea un account al sito
- Procede ad un acquisto
- Compila un form di richiesta informazioni
In questi, e in altri casi similari, all’utente dovrà sempre essere richiesto di rilasciare il proprio consenso in modo esplicito (non tacito) per proseguire. E’ importante sapere che il consenso occorre per ogni trattamento.
6. GESTIONE CONSENSO
La gestione del consenso espresso dall’utente e deve essere:
- Verificabile (deve essere documentato e archiviato)
- Specifico (deve essere fornito per ciascun trattamento)
- Revocabile (l’utente deve poter cambiare / negare il consenso)
Inoltre all’utente deve essere consentito di potersi cancellare del tutto dagli archivi del sito: diritto all’oblio.
7. SICUREZZA DEL SITO
Il sito deve garantire la sicurezza della trasmissione dei dati affinché non siano intercettati da terzi e le misure di sicurezze adeguate a garantire la protezione dei dati archiviati nello spazio web su cui poggia. Per questo il titolare del sito deve accertarsi che:
- Il sito abbia un certificato SSL (che usi il protocollo HTTPS quindi). Per approfondimenti su questo punto vi rimandiamo all’articolo linkato di seguito: PROTOCOLLO HTTPS: INDISPENSABILE DA LUGLIO 2018;
- L’hosting su cui poggia abbia preso le misure di protezione necessarie a garantire la sicurezza dei dati archiviati. Per questo punto vi consigliamo di leggere le specifiche dell’ hoster a cui avete affidato il vostro sito.