Adeguamento sito web GDPR: come fare?

L’adeguamento sito GDPR per tutti coloro che hanno un sito web, e-commerce o blog è obbligatorio. Non è invece obbligatorio avere un consulente esterno. Infatti, i titolari del trattamento dati, studiando la normativa e leggendo le linee guida del Garante della Privacy, teoricamente possono procedere da soli all’adeguamento della loro azienda, e ottemperare di conseguenza a quanto previsto per i propri siti web. 

In realtà, anche se in teoria è possibile effettuare un adeguamento al sito GDPR anche da soli, è molti difficile riuscire a seguire con attenzione tutte le norme e linee guida fornire da parte del Garante della Privacy e dal Regolamento 127/2018 dell’Unione Europea. 

Il motivo è dato dal fatto che è complesso sia dal punto di vista giuridico (quindi bisognerebbe avere un minimo di competenze del settore) sia da quello informatico (che richiede di conseguenza altre competenze). 

Per questo motivo, il consiglio è quello di affidarsi per l’adeguamento sito web al GDPR sempre ad un esperto del settore. Ma vediamo nel dettaglio, quali sono le fasi principali per avere un sito in linea con la normativa della privacy. 

GDPR siti web cosa fare? Le principali fasi per un corretto adeguamento 

In realtà è fondamentale precisare come l’allineamento del sito web al GDPR sia solo la fase conclusiva dell’intero adeguamento dalla normativa.

Purtroppo leggo spessissimo, soprattutto in gruppi di discussione di utenti o – peggio – webmaster e consulenti, preoccuparsi solo di come adeguare il sito web, come se questa fosse l’unica cosa da fare!

In realtà, ti invito a non sottovalutare il fatto che un corretto adeguamento al GDPR siti web, necessita delle seguenti fasi:

  • auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy;
  • gestione Accountability con l’ identificazione dell’organigramma di trattamenti e relativi flussi dati;
  • analisi dei rischi fisici e dei rischi logici;
  • Gap Analysis (analisi che evidenzia quanto è distante la tua azienda da un corretto adeguamento GDPR);
  • redazione del registro dei trattamenti;
  • redazione delle lettere di incarico;
  • redazione del registro dei consensi;
  • redazione analisi dei rischi;
  • produzione documentazione di adeguamento;
  • eventuali adeguamenti tecnici (in questa sezione ricade l’adeguamento del proprio sito web).

Queste sono solo alcune delle fasi da svolgere, considerato che altre se ne potrebbero aggiungere, in base alla complessità dei dati trattati o della grandezza dell’azienda da adeguare.

Spesso però, la normativa risulta di difficile comprensione o di ostica applicazione. In questi casi è necessario, o quasi caldamente consigliato, rivolgersi a consulenti preparati o al proprio legale di fiducia, categorie professionali che sono sufficientemente abilitate al supporto dei clienti per l’adeguamento alla normativa GDPR.

Qualora tu ti voglia rivolgere ad un consulente, ricordati che devi verificare sempre le sue abilitazioni o l’appartenenza ad associazioni riconosciute.

Ad esempio, la mia azienda It’s Genius Srl è membra di FederPrivacy, oltre ad essere rivenditore autorizzato di PrivacyLab, il primo software per la privacy in cloud certificato a livello europeo UNICERT con assicurazione che copre gli errori tecnici e si occupa di adeguamenti privacy dal 2004. 

Cta Gdpr

Uno degli aspetti più importanti, e che determina il maggior carico di aggiornamento a carico del gestore del sito web, è la predisposizione di procedure che assicurino la sicurezza online dei dati. 

Il riferimento è sicuramente alle possibili violazioni al server o alla piattaforma di gestione del webmaster, tali da comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti.

Dal momento che il GDPR pone a carico del soggetto che effettua il trattamento dei dati anche la responsabilità sulla loro sicurezza, ne deriva che dovrai dotarti di strumenti in grado di mettere in sicurezza il tuo sito.

Come migliorare la protezione dei dati

Non esiste un unico criterio di sicurezza valido per tutti i siti web, inoltre, le soglie di protezione dovrebbero essere tanto più forti quanto più sensibili sono i dati trattati ( in particolare se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone). 

In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

  • predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterà chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
  • aggiornare il server (intendendosi per tale l’aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
  • aggiornare le piattaforme CMS (come WordPress, di cui parleremo a breve) con l’installazione di plugin di sicurezza (quali quello che limita il numero di tentativi di accesso fallito all’area riservata o che aggiunge CAPTCHA alle operazioni di login) o, ancora, l’inserimento di procedure di accesso a doppia protezione e recupero password codificato);
  • se si tratta di un e-commerce è obbligatorio già da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto all’inserimento dei dati bancari o di altri dati particolarmente sensibili.

Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sull’uso dei cookie. Infatti, i gestori dei siti web devono mostrare un’informativa (solitamente in forma breve, all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le più diverse finalità e chiedendo uno specifico assenso per questa pratica.

In altri termini, dovrai permettere agli utenti di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza poter vietare l’accesso al sito (come avveniva prima del GDPR) agli utenti che negano l’installazione dei cookie non indispensabili al funzionamento del sito.

Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.

Il backup dei dati

Assicurati infine di avere un sistema di backup schedulato, meglio se giornaliero, sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti.

Il backup dovrà essere possibilmente:

  • schedulato automaticamente almeno settimanale
  • effettuato su uno o più dispositivi esterni al server che ospita il sito web
  • crittografato, in modo che i dati non siano leggibili da terze parti non autorizzate
  • verificato: i backup possono essere inconsistenti, ovvero contenere degli errori che li renderebbero illeggibili, in caso di recupero. E’ dunque buona norma effettuare delle verifiche di consistenza dei backup creati.

Queste fasi illustrate per un corretto trattamento dati di un sito web e il suo adeguamento al GDPR, sono parte di un progetto di analisi e di azione più approfondito e complesso, che richiederebbe la stesura di un libro, per riuscire a integrare tutti i processi necessari al meglio. 

Con questa guida spero comunque di averti dato la possibilità di comprendere più a fondo quanto lavoro è necessario dietro all’adeguamento di un sito web in materia di protezione e trattamento dei dati personali. 

Se hai bisogno di un’ulteriore supporto e di un consiglio per riuscire ad adeguare il tuo sito, in modo attento e corretto, non esitare a contattarmi per una Consulenza sul GDPR, che ti permetta di essere in linea con la normativa e di evitare multe salate. 

Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.