Con la nuova normativa il consenso fornito dagli utenti deve essere chiaro ed esplicito. 

Cosa significa? Che tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consenso al trattamento dei loro dati personali e, istantaneamente, tutti i siti web devono mostrare sottoforma di testo scritto in modo chiaro e leggibile la Privacy Policy indicando precisamente quali dati verranno raccolti e dove verranno memorizzati, soprattutto da chi e per quanto tempo.

Il  “proprietario del sito web”, deve dare la possibilità ai suoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).

Questa normativa interessa tutti i siti web situati nell’Unione Europea, o comunque a tutti i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica tutto il mondo).

Quali obblighi hanno Titolari di siti web o di siti eCommerce?

In primis per capire effettivamente come il tuo sito raccoglie e gestisce i dati personali e se il tuo sito contiene anche solo un form di contatto(il classico “contattaci”), bisogna prendere in  considerazione anche dove conservi quei dati e come li utilizzi. Questo significa che imprese ed enti articolati dovranno individuare un Data Protection Officer(Server dove saranno conservati i dati), il responsabile del trattamento dati appositamente scelto e inserito nella gerarchia aziendale per rispondere così alle numerose criticità informative, gestionali e di rendicontazione.

 DIciamo che una base di partenza comprende questi aspetti:

• quali aree del tuo sito raccolgono i dati
• dove vengono memorizzati (nel tuo sito? In un sistema esterno? Quale?)
• cosa ne fai (newsletter? Adempimenti contrattuali? Profilazione pubblicitaria?)
• per quanto tempo li conservi
• quale consenso hai ottenuto
• sicurezza dei dati e rischi in caso di furto come sei tutelato

Se il tuo è un sito semplice l’analisi sarà molto rapida e breve; lo sarà un po’ meno per un sito più strutturato o per un ecommerce ovviamente.

Sul fronte tecnico, devi assicurarti che tutti i componenti del tuo sito siano a loro volta conformi al GDPR. Per un sito base(sito personale) o un blog, il problema più grande può essere quello (in caso di CMS tipo wordpress,Joomla ecc ecc)in cui dei plugin che installano cookie di profilazione e li i cookie vanno bloccati fin quando l’utente non acconsente all’utilizzo.

 Come adeguare il tuo sito web o eCommerce?

3 Punti di partenza di base:

• monitorare i servizi presenti sul sito che memorizzano i dati personali degli utenti
• confrontare le informazioni memorizzate con quelle previste dal nuovo regolamento
• Tracciare e conservare il consenso offerto dagli utenti che vistano il sito

Per essere in regola con nuova normativa è fondamentale svolgere un’attenta analisi per capire quali ripercussioni si possono avere in termini di trattamento dati e capire l’infrastruttura e le funzionalità del sito.

Puoi contattatare InterfacciaWeb.it per maggiori info sull’adeguamento al GDPR.

Quello che devi assolutamente inserire e tenere presente è:

• il modo di come gestisci e memorizzi i dati sensibili dei clienti;
• i famosi Cookie e, nello specifico, il banner di partenza per il consenso sui cookie. Il consenso deve rispettare tutti i requisiti previsti dalla nuova legge sui dati personali;
• Privacy Policy deve essere aggiornata sempre per renderla conforme alla nuova legge europea.

Per risolvere il problema della Privacy Policy ed essere in regola con il nuovo regolamento europeo, sarebbe un’ottima idea chiedere supporto a un consulente, sicuramente sarebbe la migliore alternativa sopratutto se hai una specifica casistica da mettere in regola.

Le informative sulla privacy e sui cookie vanno riviste per chi già le ha inserite e aggiornarle alla luce del nuovo GDPR. Il linguaggio deve essere semplice e chiaro e va spiegato a quali fini saranno usati i dati personali, vanno fornite tutte e dico tutte le informazioni relative al titolare o quanto meno responsabile del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.

Bisogna poi illustrare su quale base vengano forniti tali dati (come un consenso o un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati nel server o secondo quali criteri vengano conservati. Si deve inoltre illustrare in modo chiaro come i dati saranno trasferiti verso Paesi terzi,fuori dall’Unione Europea, cosa molto scontata dato che oramai si usano social network e simili.

La cancellazione dei dati personali:

Tra i principi che sono alla base delle attività del trattamento dati, l’utente deve poter eliminare tale consenso in qualsiasi momento : i siti web devono provare di possedere il fondamento giuridico per poter trattare i dati sensibili. Tutte le procedure vanno modificate al fine di proteggere i diritti dell’utente, a partire dalla richiesta cancellazione dei dati personali, da poter effettuare in qualsiasi momento.

Una piattaforma di data-logging (registratore di log) in grado di collezionare i dati, tracciare le attività dell’amministratore di sistema e del webmaster, associato a un software (o nel caso di CMS plugin/moduli) di controllo accessi e protezione dei dati, può essere la soluzione a questo requisito.

Informare sempre l’utente:

Il GDPR richiede inoltre il rispetto di diversi tipi di diritti dell’utente, primo fra tutti il diritto di essere informato. I proprietari di siti web devono informare i visitatori e clienti che sono in procinto di ottenere informazioni su dati sensibili. Gli avvisi al riguardo devono essere visualizzati in modo palese e facilmente comprensibile, anche per bambini o minorenni. Gli amministratori dei siti devono inoltre effettuare una divisione tra due categorie, per distinguere dati ottenuti direttamente dagli utenti e dati secondari raccolti in base ad informazioni.

I diritti dell’utente:

Altri diritti fondamentali dell’utente sono il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di oggetto al trattamento dei dati personali. Per garantire la conformità GDPR gli amministratori possono prevedere dei meccanismi di configurazione che portino al riconoscimento di tali diritti attraverso azioni automaticamente programmate.

Le newsletter e come funzionano:

Anche le opzioni di abbonamento alla newsletter e le preferenze di contatto vanno riorganizzate, al fine di allinearsi con le nuove disposizioni, che non prevedono più la possibilità di ricevere il consenso di default. I moduli dovranno essere riadattati, con un passaggio dei messaggi sponsorizzati e delle newsletter da opt-out (come era spesso in precedenza) ad opt-in opzionale. Lo stesso vale per “Termini di servizio – condizioni” ed anche per la Privacy Policy.

Ricapitolando, quali sono i punti chiave da seguire per rednere il proprio sito a norma:

• Effettuare una verifica di tutti i dati personali collezionati
• Aggiornare l’informativa sulla privacy e policy
• Rendere affermativi gli avvisi dei cookie
• Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
• Rivedere l’acquisizione dati
• Aggiornare le Privacy Policy per le email
• Rendere immediata la possibilità di gestione/cancellazione dati
• Applicare un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
• L’utente deve confermare l’invio delle informazioni
• Abilitare una procedura per agevolare l’eliminazione dei dati di un particolare utente
• Abilitare una procedura che garantisca la portabilità dei dati
• Registrare e monitorare i log di sistema degli amministratori e dei webmaste