Adeguamento sito web GDPR: come fare?

Lโ€™adeguamento sito GDPR per tutti coloro che hanno un sito web, e-commerce o blog รจ obbligatorio. Non รจ invece obbligatorio avere un consulente esterno. Infatti, i titolari del trattamento dati, studiando la normativa e leggendo le linee guida del Garante della Privacy, teoricamente possono procedere da soli allโ€™adeguamento della loro azienda, e ottemperare di conseguenza a quanto previsto per i propri siti web. 

In realtร , anche se in teoria รจ possibile effettuare un adeguamento al sito GDPR anche da soli, รจ molti difficile riuscire a seguire con attenzione tutte le norme e linee guida fornire da parte del Garante della Privacy e dal Regolamento 127/2018 dellโ€™Unione Europea. 

Il motivo รจ dato dal fatto che รจ complesso sia dal punto di vista giuridico (quindi bisognerebbe avere un minimo di competenze del settore) sia da quello informatico (che richiede di conseguenza altre competenze). 

Per questo motivo, il consiglio รจ quello di affidarsi per lโ€™adeguamento sito web al GDPR sempre ad un esperto del settore. Ma vediamo nel dettaglio, quali sono le fasi principali per avere un sito in linea con la normativa della privacy. 

GDPR siti web cosa fare? Le principali fasi per un corretto adeguamento 

In realtร  รจ fondamentale precisare come lโ€™allineamento del sito web al GDPR sia solo la fase conclusiva dellโ€™intero adeguamento dalla normativa.

Purtroppo leggo spessissimo, soprattutto in gruppi di discussione di utenti o – peggio – webmaster e consulenti, preoccuparsi solo di come adeguare il sito web, come se questa fosse lโ€™unica cosa da fare!

In realtร , ti invito a non sottovalutare il fatto che un corretto adeguamento al GDPR siti web, necessita delle seguenti fasi:

  • auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy;
  • gestione Accountability con lโ€™ identificazione dellโ€™organigramma di trattamenti e relativi flussi dati;
  • analisi dei rischi fisici e dei rischi logici;
  • Gap Analysis (analisi che evidenzia quanto รจ distante la tua azienda da un corretto adeguamento GDPR);
  • redazione del registro dei trattamenti;
  • redazione delle lettere di incarico;
  • redazione del registro dei consensi;
  • redazione analisi dei rischi;
  • produzione documentazione di adeguamento;
  • eventuali adeguamenti tecnici (in questa sezione ricade lโ€™adeguamento del proprio sito web).

Queste sono solo alcune delle fasi da svolgere, considerato che altre se ne potrebbero aggiungere, in base alla complessitร  dei dati trattati o della grandezza dellโ€™azienda da adeguare.

Spesso perรฒ, la normativa risulta di difficile comprensione o di ostica applicazione. In questi casi รจ necessario, o quasi caldamente consigliato, rivolgersi a consulenti preparati o al proprio legale di fiducia, categorie professionali che sono sufficientemente abilitate al supporto dei clienti per lโ€™adeguamento alla normativa GDPR.

Qualora tu ti voglia rivolgere ad un consulente, ricordati che devi verificare sempre le sue abilitazioni o lโ€™appartenenza ad associazioni riconosciute.

Ad esempio, la mia aziendaย Itโ€™s Genius Srl รจ membra di FederPrivacy, oltre ad essere rivenditore autorizzato diย PrivacyLab, il primo software per la privacy in cloud certificato a livello europeo UNICERT con assicurazione che copre gli errori tecniciย e si occupa di adeguamenti privacy dal 2004.ย 

Cta Gdpr

Uno degli aspetti piรน importanti, e che determina il maggior carico di aggiornamento a carico del gestore del sito web, รจ la predisposizione di procedure che assicurino la sicurezza online dei dati. 

Il riferimento รจ sicuramente alle possibili violazioni al server o alla piattaforma di gestione del webmaster, tali da comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti.

Dal momento che il GDPR pone a carico del soggetto che effettua il trattamento dei dati anche la responsabilitร  sulla loro sicurezza, ne deriva che dovrai dotarti di strumenti in grado di mettere in sicurezza il tuo sito.

Come migliorare la protezione dei dati

Non esiste un unico criterio di sicurezza valido per tutti i siti web, inoltre, le soglie di protezione dovrebbero essere tanto piรน forti quanto piรน sensibili sono i dati trattati ( in particolare se vengono conservati dati bancari o riferiti allโ€™identitร  e al domicilio delle persone). 

In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

  • predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterร  chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
  • aggiornare il server (intendendosi per tale lโ€™aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
  • aggiornare le piattaforme CMS (come WordPress, di cui parleremo a breve) con lโ€™installazione di plugin di sicurezza (quali quello che limita il numero di tentativi di accesso fallito allโ€™area riservata o che aggiunge CAPTCHA alle operazioni di login) o, ancora, lโ€™inserimento di procedure di accesso a doppia protezione e recupero password codificato);
  • se si tratta di un e-commerce รจ obbligatorio giร  da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto allโ€™inserimento dei dati bancari o di altri dati particolarmente sensibili.

Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sullโ€™uso dei cookie. Infatti, i gestori dei siti web devono mostrare unโ€™informativa (solitamente in forma breve, allโ€™interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le piรน diverse finalitร  e chiedendo uno specifico assenso per questa pratica.

In altri termini, dovrai permettere agli utenti di scegliere se consentire lโ€™utilizzo dei cookie o, in caso di diverse finalitร , di selezionare quali autorizzare e quali no, senza poter vietare lโ€™accesso al sito (come avveniva prima del GDPR) agli utenti che negano lโ€™installazione dei cookie non indispensabili al funzionamento del sito.

Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito allโ€™utente di revocare il consenso a tutti o a specifici cookie.

Il backup dei dati

Assicurati infine di avere un sistema di backup schedulato, meglio se giornaliero, sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti.

Il backup dovrร  essere possibilmente:

  • schedulato automaticamente almeno settimanale
  • effettuato su uno o piรน dispositivi esterni al server che ospita il sito web
  • crittografato, in modo che i dati non siano leggibili da terze parti non autorizzate
  • verificato: i backup possono essere inconsistenti, ovvero contenere degli errori che li renderebbero illeggibili, in caso di recupero. Eโ€™ dunque buona norma effettuare delle verifiche di consistenza dei backup creati.

Queste fasi illustrate per un corretto trattamento dati di un sito web e il suo adeguamento al GDPR, sono parte di un progetto di analisi e di azione piรน approfondito e complesso, che richiederebbe la stesura di un libro, per riuscire a integrare tutti i processi necessari al meglio. 

Con questa guida spero comunque di averti dato la possibilitร  di comprendere piรน a fondo quanto lavoro รจ necessario dietro allโ€™adeguamento di un sito web in materia di protezione e trattamento dei dati personali. 

Se hai bisogno di unโ€™ulteriore supporto e di un consiglio per riuscire ad adeguare il tuo sito, in modo attento e corretto, non esitare a contattarmi per una Consulenza sul GDPR, che ti permetta di essere in linea con la normativa e di evitare multe salate. 


Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241