GDPR mettere in regola il sito: cosa fare?… come? queste le domande che quotidianamente mi vengono poste.

Siamo in prima linea in questi mesi con gli aggiornamenti dei siti web in merito all’uscita del Regolamento Europeo e voglio condividere con voi questo articolo per dare un contributo al discusso passaggio della legge sulla Privacy 196 al GDPR – Genral Data Protection Regulation in merito all’impatto della normativa per quanto riguarda i dati gestiti sui siti web.

Sembra che per quanto riguarda il GDPR e la messa in regola del sito, come accade di solito in Italia in questi casi, si sia creata un po’  di confusione e l’avvicendamento del nuovo Governo non abbia aiutato questo passaggio. Cosa è andato storto?
In sostanza andava abrogata la vecchia 196 e promulgata quella inerente il GDPR per renderla operativa. Questo passaggio “di consegne” non è ancora avvenuto, per cui in questo momento ci ritrova in una situazione di stallo in attesa che questo passaggio e la pubblicazione sulla Gazzetta Ufficiale renda operativo il nuovo decreto.

Ma è questione di giorni, non cantate vittoria, quindi se siete in ritardo non è un dramma, ma sbrigatevi!

Preciso che questo articolo non risolve tutti i tuoi problemi sul GDPR ma mette in regola solo la gestione dei dati sul tuo sito.
Se hai Software in azienda, ERP, CRM o gestionali per fatturazione elettronica o altro, devi per quelli rivolgerti al tuo fornitore. Qundi quanto di seguito indicato è quello che devi fare per mettere in regola il tuo sito e la gestione dei dati utente lato web.

progettare sito web

Modifica il contenuto della tua privacy policy, assicurandoti di eliminare i riepiloghi e di aggiungere qualsiasi informazione fornita dal tema e dai plugin. Una volta pubblicata la tua pagina della privacy policy, ricordati anche di aggiungerla al tuo menu di navigazione.

È tua responsabilità scrivere una privacy policy completa, assicurandoti che rifletta tutti i requisiti legali nazionali e internazionali sulla privacy, mantenendola attuale ed accurata.

Dovrai prevedere la creazione di una o più pagine: io consiglio più di una magari linkate tra loro per evitare di avere una sola pagina con una quantità enorme di testo. E’ fondamentale che sia comprensibile scritto con carattere leggibile, magari suddivise per argomenti.

Ecco quello che bisogna preparare in termini di descrizione e informativa per gli utenti:

Chi siamo

In questa sezione è necessario riportare l’URL del sito, nonché il nome dell’azienda, dell’organizzazione o dell’individuo dietro di esso e alcune informazioni di contatto accurate.

La quantità di informazioni che potrebbe essere obbligatoria per la presentazione varierà in base alle normative aziendali locali o nazionali. Ad esempio, potrebbe essere obbligatorio visualizzare un indirizzo fisico, un indirizzo registrato o il numero di registrazione della società.

Quali dati personali raccogliamo e perché li raccogliamo

In questa sezione dovresti annotare quali dati personali raccogli dagli utenti e visitatori del sito. Questo potrebbe includere dati personali, come nome, indirizzo email, preferenze personali sull’account; dati transazionali, come informazioni sugli acquisti; e dati tecnici, come informazioni sui cookies.

Dovresti anche prendere nota della raccolta e della conservazione di dati personali sensibili, come i dati relativi alla salute.

Oltre a elencare i dati personali che raccogli, devi motivare perché li raccogli. Queste spiegazioni devono considerare sia la base legale per la raccolta e la conservazione dei dati sia il consenso attivo che l’utente ha fornito.

I dati personali non vengono creati solo dalle interazioni dell’utente con il tuo sito. I dati personali sono generati anche da processi tecnici come moduli di contatto, commenti, cookie, statistiche e incorporamenti di terze parti.

Di default i CMS come wordpress non raccolgono i dati personali sui visitatori e raccoglie solo i dati mostrati nella schermata Profilo utente dagli utenti registrati. Tuttavia alcuni plugin potrebbero raccogliere dati personali. Dovresti aggiungere le informazioni rilevanti di seguito.

Commenti

In questa sottosezione si dovrebbe riportare quali informazioni vengono prese attraverso i commenti.

Testo suggerito: Quando i visitatori lasciano commenti sul sito, raccogliamo i dati mostrati nel modulo dei commenti oltre all’indirizzo IP del visitatore e la stringa dello user agent del browser per facilitare il rilevamento dello spam.

Media

In questa sottosezione dovresti annotare quali informazioni potrebbero essere divulgate dagli utenti che possono caricare media files. Tutti i file caricati sono solitamente pubblicamente accessibili.

Testo suggerito: Se carichi immagini sul sito web, dovresti evitare di caricare immagini che includono i dati di posizione incorporati (EXIF GPS). I visitatori del sito web possono scaricare ed estrarre qualsiasi dato sulla posizione dalle immagini sul sito web.

Modulo di contatto

Se si utilizza un plugin per il modulo di contatto, utilizzare questa sottosezione per descrivere quali dati personali vengono acquisiti quando qualcuno invia un modulo di contatto e per quanto tempo lo si conserva. Ad esempio, è possibile riportare che si mantengono gli invii dei moduli di contatto per un certo periodo ai fini del servizio clienti, ma non si utilizzano le informazioni inviate attraverso di loro per scopi di marketing. In ogni caso sarebbe bene utilizzare per i form di contatto il sistema messo a disposizione da Google ReCaptcha, che identifica l’esecuzione dell’azione da parte di una persona e non da parte di un robot che prelevando indirizzi a caso esercita tale azione cercando di installare qualche malware nel vostro sito.

GDPR mettere in regola il sito

Cookie

In questa sottosezione dovresti elencare i cookie utilizzati dal tuo sito web, compresi quelli impostati dai tuoi plugin, social media e statistiche.

Testo suggerito: Se lasci un commento sul nostro sito, puoi scegliere di salvare il tuo nome, indirizzo email e sito web nei cookie. Sono usati per la tua comodità in modo che tu non debba inserire nuovamente i tuoi dati quando lasci un altro commento. Questi cookie dureranno per un anno.

Se hai un account e accedi a questo sito, verrà impostato un cookie temporaneo per determinare se il tuo browser accetta i cookie. Questo cookie non contiene dati personali e viene eliminato quando chiudi il browser.

Quando effettui l’accesso, verranno impostati diversi cookie per salvare le tue informazioni di accesso e le tue opzioni di visualizzazione dello schermo. I cookie di accesso durano due giorni mentre i cookie per le opzioni dello schermo durano un anno. Se selezioni “Ricordami”, il tuo accesso persisterà per due settimane. Se esci dal tuo account, i cookie di accesso verranno rimossi.

Se modifichi o pubblichi un articolo, un cookie aggiuntivo verrà salvato nel tuo browser. Questo cookie non include dati personali, ma indica semplicemente l’ID dell’articolo appena modificato. Scade dopo 1 giorno.

Contenuto incorporato da altri siti web

Testo suggerito: Gli articoli su questo sito possono includere contenuti incorporati (ad esempio video, immagini, articoli, ecc.). I contenuti incorporati da altri siti web si comportano esattamente allo stesso modo come se il visitatore avesse visitato l’altro sito web.

Questi siti web possono raccogliere dati su di te, usare cookie, integrare ulteriori tracciamenti di terze parti e monitorare l’interazione con quel contenuto incorporato, incluso il tracciamento della tua interazione con il contenuto incorporato se hai un account e hai effettuato l’accesso a quel sito web.

Analytics

In questa sottosezione dovresti annotare quali pacchetti analitici usi, come gli utenti possono uscire dal tracciamento analitico, e un link alla privacy policy dei tuoi provider di analisi, se presenti.
Molti account di hosting Web raccolgono dati statistici anonimi. Potresti aver installato anche un plugin che fornisce servizi di analisi. In tal caso, aggiungi qui le informazioni da quel plugin.

Con chi condividiamo i tuoi dati

In questa sezione dovresti nominare ed elencare tutti i fornitori di terze parti con cui condividi i dati del sito, inclusi partner, servizi basati su cloud, sistemi di pagamento e fornitori di servizi di terze parti, e riportare quali dati condividi con loro e perché. Aggiungi un collegamento alle loro privacy policies, se possibile.

Per quanto tempo conserviamo i tuoi dati

In questa sezione dovresti spiegare per quanto tempo conservi i dati personali raccolti o elaborati dal sito web. Anche se è tua responsabilità descrivere per quanto tempo mantieni ogni set di dati e perché lo mantieni, queste informazioni devono essere elencate qui. Ad esempio, potresti voler dire che mantieni le voci dei moduli di contatto per sei mesi, i record delle statistiche per un anno e i record di acquisto dei clienti per dieci anni.

Testo suggerito: Se lasci un commento, il commento e i relativi metadati vengono conservati a tempo indeterminato. È così che possiamo riconoscere e approvare automaticamente eventuali commenti successivi invece di tenerli in una coda di moderazione.

Per gli utenti che si registrano sul nostro sito web (se presenti), memorizziamo anche le informazioni personali che forniscono nel loro profilo utente. Tutti gli utenti possono vedere, modificare o cancellare le loro informazioni personali in qualsiasi momento (eccetto il loro nome utente che non possono cambiare). Gli amministratori del sito web possono anche vedere e modificare queste informazioni.

Quali diritti hai sui tuoi dati

In questa sezione dovresti indicare quali diritti hanno i tuoi utenti nella gestione dei loro dati e come possono esercitarli, quali sistemi vengono utilizzati per modificarli o eliminarli e come raggiungere questo servizio.

Testo suggerito: Se hai un account su questo sito, o hai lasciato commenti, puoi richiedere di ricevere un file esportato dal sito con i dati personali che abbiamo su di te, compresi i dati che ci hai fornito. Puoi anche richiedere che cancelliamo tutti i dati personali che ti riguardano. Questo non include i dati che siamo obbligati a conservare per scopi amministrativi, legali o di sicurezza.

Dove spediamo i tuoi dati

In questa sezione dovresti elencare tutti i trasferimenti di dati del sito al di fuori dell’Unione Europea e descrivere in che modo i dati sono salvaguardati in base agli standard europei di protezione dei dati. Questo potrebbe includere il tuo web hosting, il cloud storage o altri servizi di terze parti.

La normativa europea sulla protezione dei dati richiede che i dati riguardanti i residenti europei trasferiti al di fuori dell’Unione Europea siano tutelati secondo gli stessi standard come se i dati fossero in Europa. Cosi oltre a elencare dove vengono spostati i dati, dovresti descrivere in che modo vengono assicurati che questi standard siano soddisfatti da parte tua o dai tuoi fornitori di terze parti, sia attraverso un accordo come il Privacy Shield, clausole nei tuoi contratti o regole aziendali vincolanti.

Testo suggerito: I commenti dei visitatori possono essere controllati attraverso un servizio di rilevamento automatico dello spam

Le tue informazioni di contatto

In questa sezione si dovrebbe segnalare un metodo di contatto per problemi riguardanti la privacy. Se è necessario disporre di un Responsabile della Protezione dei Dati (DPO), elencare qui il loro nome e i dettagli completi del contatto.

Informazioni aggiuntive

Se usi il tuo sito per scopi commerciali e ti impegni in una raccolta più complessa o nel trattamento dei dati personali, dovresti prendere nota delle seguenti informazioni nella tua privacy policy oltre alle informazioni di cui abbiamo già discusso.

Come proteggiamo i tuoi dati

In questa sezione dovresti spiegare quali misure hai preso per proteggere i dati dei tuoi utenti’. Questo potrebbe includere misure tecniche come la crittografia; misure di sicurezza come l’autenticazione a due fattori; e misure come la formazione del personale sulla protezione dei dati. Qui puoi anche menzionare se hai effettuato una valutazione dell’impatto sulla privacy.

Quali procedure abbiamo predisposto per prevenire la violazione dei dati

In questa sezione, dovresti spiegare quali procedure attuerai nell’eventualità di una falla dei dati, sia essa potenziale o reale, come ad esempio sistemi di report interni, messa in contatto automatica o cacciatori di bug.

Da quali terze parti riceviamo dati

Se il tuo sito web riceve dati sugli utenti da terze parti, compresi gli inserzionisti, queste informazioni devono essere incluse nella sezione della tua privacy policy che tratta i dati di terze parti.

Quale processo decisionale automatizzato e/o profilazione facciamo con i dati dell’utente

Se il tuo sito web fornisce un servizio che include il processo decisionale automatico, per esempio permettere ai clienti di richiedere credito, o aggregare i loro dati in un profilo pubblicitario – devi notare che questo sta succedendo, e include informazioni riguardo come quell’informazione è usata, quali decisioni sono fatte con quei dati aggregati, e quali diritti hanno gli utenti sulle decisioni prese senza intervento umano.

Requisiti di informativa normativa del settore

Se sei un membro di un’industria regolamentata, o se sei soggetto a ulteriori leggi sulla privacy, potrebbe esserti richiesto di rivelare tale informazione qui.

Consigli finali

Come vedete fare una analisi dei meccanismi in essere sul vostro sito e redigere una informativa dettagliata non è così immediato.
Un consiglio finale: consigliamo di utilizzare per il tuo sito se realizzato su piattaforme CMS plugin riconosciuti professionalmente che automatizzano questi processi, citandoli nella descrizione dei sistemi utilizzati. Tra questi Mailchimp e MailUp, tra i più conosciuti e utilizzati.

In questo caso ti solleverai di un bel fardello nel dover gestire e implementare sistemi di gestione dei dati e cancellazione da parte dell’utente. Consigliabile inoltre per i form mail attivare il sistema ReCapTcha messo a disposizione da Google per la verifica dell’invio form.

Inoltre utilizzando uno dei plugin citati potrai automatizzare tutte le comunicazioni in caso di news lettere e quindi modifica o cancellazione o autorizzazione al consenso.

Ti consiglio in ogni caso appoggiarsi ad un professionista che conosca la materia e soprattutto i servizi e requisiti tecnici dell’ISP Internet Service Provider che ospita il tuo sito.