GDPR è un acronimo che sta per “General Data Protection Regulation“, un nuovo regolamento della Comunità Europea che entrerà in vigore il 25 maggio 2018 e che si applicherà a tutti gli stati membri dell’Europa con il fine di proteggere i dati personali dei cittadini residenti nell’unione Europea. Questo significa che gli utenti dovranno essere in grado di esprimere un esplicito consenso sul permesso di utilizzare i loro dati e qualora questi vengano archiviati si dovrà specificare come verranno utilizzati e dare la possibilità ai soggetti interessati di avere accesso alle informazioni o richiederne la rimozione. In questo articolo cercherò di riassumere le principali azioni da attuare per mettere in regola un sito web per il GDPR n.679/2016
Eseguire un’analisi del sito per capire che tipologia di dati personali vengono trattati
La prima cosa da fare è l’analisi dettagliata del vostro sito web per capire quali informazioni personali vengono archiviate o richieste, di seguito ho riassunto una lista di domande che dovreste porvi prima di iniziare il processo per mettervi in regola con il nuovo GDPR:
1. Per cosa utilizzate i dati personali che trattate?
2. Dove sono archiviate informazioni?
3. Sono questi dati ancora necessari?
Questo significa che qualora utilizziate dein servizi forniti da terzi è opportuno controllare che abbiano aggiornato il loro regolamento sulla privacy degli utenti per assicurarsi che siano in accordo con la nuova normativa europea su trattamento dei dati personali, anche se molte delle compagnie hanno già prvveduto ad aggiornare questi dettagli è comunque bene essere informati.
Come mettervi in regola per il GDPR?
1. Richiedere agli utenti il consenso esplicito al trattamento dei loro dati
2. Rivedere la Privacy Policy presente sul sito
3. Diritto all’oblio
4. Comunicare violazione dati personali
Richiedi il consenso esplicito all’uso dei dati personali
Con consenso esplicito si intende la volontà dell’utente di eseguire una certa azione mediante un atto inequivocabile che manifesti l’intenzione libera e informata di accettare il trattamento dei dati personali. In alcuni casi il consento può anche essere implicito, purchè non sussista alcun dubbio che con la propria scelta l’interessato abbia voluto comunicare il proprio consenso. Quanti di voi ad esempio hanno dei moduli di contatto sul proprio sito? In questo caso è necessario ad esmpio inserire una casella di spunta che può essere selezionata dall’utente prima di inviare la richiesta. Se ad esempio volete integrare l’iscrizione alla vostra newsletter all’intenro del modulo contatti allora questa casella non potrà e non dovrà essere spuntata automaticamente ma deve essere lasciata vuota così da dare all’utente la possibilità di scegliere. La richiesta deve essere quindi chiara, concisa e non interferire emotivamente con il servizio per il quale il consenso è richiesto. é inoltre opportuno che il modulo invii una notifica contenente il fatto che l’utente ha accettato la privacy policy punto 42 Regolamento (UE) 2016/679
Il consenso deve essere esplicito (art. 9 GDPR) nel caso del trattamento di dati sensibili o nel caso di processi automatizzati quali alcuni metodi di profilazione. Il titolare del trattamento deve informare gli individui interessati dell’esistenza di una decisione basata sul trattamento di dati in modo automatizzato, nell’informativativa devono quindi essere esplicitate le modalità e finalità di profilazione e dovranno essere utilizzati solo i dati strettamente necessari pe rla finalità specificata.
Per consenso libero si intende la possibilità di operare una scelta effettiva senza condizionamenti emotivi o intimidazioni ad esempio nel caso di alcune pubblicità commerciali l’utenrte deve avere la possibilità di addivenire al contratto senza subire il ricatto di dover ricevere pubblicità commerciale.
Infine il consenso dovrà essere revocabile, questo significa che può non essere specificata la motivazione per la quale la revoca è richiesta, in generale le regole per la revoca del consenso sono le stesse di quelle per la concessione, Ad esmepio è possibile revocare il consenso inviando una comunicazione o tramite un apposito form sul sito. Per revoca si intende il diritto di cancellazione dei dati personali dell’utente.
Rivedi la privacy policy del tuo sito web
La norvativa europea in campo di privacy prvede che il titolare debba fornire ai soggetti interessati, prima del trattamento dei loro dati personali, un’informativa finalizzata ad informali così che si possa render eun valido consenso. L’informativa sulla privacy policy è dovuta qualora un sito web offra la registrazione e creazione di un profilo utente o quando si verificho una raccolta o trattamento di dati sensibili (es indirizzo ip, email, compilazione di moduli) o in tutti i casi di utilizzo di cookie per raccogliere i dati degli utenti, per quanto riguarda la legge sui cookies ti consiglio anche di leggere l’articolo dal titolo “Cookie Law: tutto quello che devi sapere” . Se il sito permette la registrazione degli utenti ma i dati vengono usati solo per fini del sito stesso (mailinglist) e non per l’invio di proposte commerciali allora occore solo mostrare l’informativa della privacy (da linkare all’interno del modulo di registrazione, per consentirne la consulatazione) ma non occorre la raccolta del consenso.
Come redigere una buona privacy policy
Il testo dell’informativa sulla privacy deve avere un contenuto affine con gli articoli 13 e 14 del regolamento europeo e pertanto specificare le finalità e modalità su come verranno trattati i dati e dividere questi per categorie. Il testo deve essere chiaro e conciso, facilemte accessibile e leggibile eventualemte utilizzando anche immagini ed icone (queste ultime non sono necessariamente richieste ma qualora presenti dovranno conformarsi alle direttive euorpee che verranno specificate nei provvedimenti futuri). Di seguito le principali caratteristiche che una buona privacy policy deve avere:
1. Specificare i dati del responsabile del trattamento dei dai personali (nome cognome, indirizzo, contatti etc)
2. Specificare a quale fine vengono utilizzati quesrti dati
3. Specificare se i dati sensibili vengono cancellati dopo un determinato periodo di tempo
4. Specificare come i soggetti interessati possono rettificare o modificare i propri dati personali
5. Specificare se questi dati vengono ceduti a terzi o per attività finalizzate al marketing
6. Specificare il diritto all’oblio e cioè la possibilità per gli utenti di richiedere la cancellazione dei propri dati personali
7. Se vengono raccolti dati di minori di 16 è necessario il consenso dei genitori
La scrittura di una privacy policy di sicuro è un’operazione delicata e che richiede tempo anche perchè non esista un modello uguale per utti i siti ma deve essere costruita e personalizzata sulle caratteristiche specifiche del sito stesso, per fortuna però qualcuno ha pensato ad un approccio che permette una gestione facile e semplificata della rpivacy policy, sto parlando di Iubenda. e che utilizzo da tempo anche sul questo blog. Grazie a Iubenda potrai generare una privacy policy e cookie policy in pochissimi passaggi e utilizzando una grafica di elaborazione facile ed intuitiva. Se ad esempio il tuo sito internet utilizza Google Analytics per monitorare le visite, basterà aggiungere il servizio “Google Analytics” tramite un semplice pulsante. Alla fine del processo riceverai un link che rimanderà alla privacy policy e che potrai implementare nel footer delle tue pagine. La privacy policy verrà ospitata direttamente sul sito di Iubenda e potrai modificarla e aggiornala in qualsiasi momento.
Garantire il diritto all’oblio
Come abbiamo descritto sopra e anche all’articolo 65 del regolamento europeo, nella vostra Privacy Policy dovete anche aggiungere il diritto di cancellazione (impropriamente definito come diritto all’oblio). Questo signifa che il titolare del trattamento dei dati nei casi in cui gli viene chiesto è obbligato a procedere alla cancellazione di tutti i dati sensibili.
Comunicazione della violazioni dei dati personali (Data Breach)
Il responsabile o titolare del trattamento dei dati personali è tenuto a comunicare entro 72 ore una violazione dei dati, questo sisgnifica che se il vostro sito è stato vittima di un attacco informatico e questo ha portato ad un furto o perdita di informazioni sensibili allora dovrai comunicarlo alle autorità competenti in quanto questo potrebbe comportare un rishio alla libertà dei tuoi clienti o utenti. Di conseguenza questo comporta la necessità di avere una copia di backup dei dati in quanto dovrete essere in grado di comunicare il furto anche ai diretti interessati. Pwer maggiori informazioni puoi consultare gli articoli 32-34 del regolamento europeo
Come rendere WordPress compatibile con il GDPR?
WordPress è di sicuro il sistema più diffuso per la creazione di blog e siti internet, pertanto è lecito chiedersi come questo nuovo regolamento possa avere impatto sui plugin utilizzati da WordPress, dobbiamo infatti tenere in considerazione che numerosi plugin archiviano dati sensibili e alcuni tengono traccia delle informazioni personali, basti pensare a plugins come woocommerce per la creazione di e-commerce ma anche quelli per la creazione di moduli di contatto e tanti altri.
Il tema di sviluppo di WordPress è già a lavoro per cercare di implementare gli asapetti fondamentale del nuovo regolamento direttamete nel core del CMS, ancora tuttavia è tutto in fase di sviluppo e cercercherò di aggiornare questo post con le ultime novità. Nel frattempo però qualcuno ha creato un plugin gratuito che permette lavore su alcune cose, ad esempio vi da la possibilità di creare una pagina dalla quale i soggetti interessati potranno richedere informazioni sulle modalità di trattamento dei loro dati ma anche la possibilità di inserire la chiesta di consenso all’interno del sistema di commenti di WordPress. Per ulteriori informazioni sul plugin potete visistare la seguente pagina
Lascia un commento