Cosa fare per mettersi in regola

GDPR SITO WEB: l’incidenza del nuovo Regolamento Privacy sulla gestione dei siti internet (aggiornamento 2020)

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy dell’Unione Europea comunemente chiamato con l’ acronimo GDPR. Le nuove norme prevedono una serie di adempimenti per le aziende e le pubbliche amministrazioni ma, come vedremo, sono soprattutto i siti web, inclusi i blog personali e gli store online, ad essere interessati dalle novità.

Ecco perché, se possiedi un sito web avresti già dovuto adeguarlo alle nuove normative onde evitare sanzioni: se ancora non lo hai fatto e, soprattutto, se stai per aprire un nuovo portale o un blog in WordPress, ecco il modo in cui è cambiata la gestione dei dati personali online e gli interventi da effettuare per adeguare il sito al Regolamento GDPR.

GDPR regolamento 679/2016

Il GDPR è un Regolamento dell’Unione Europea (il numero 679/2016) in materia di protezione dei dati personali e tutela della privacy (dall’inglese General Data Protection Regulation). Si tratta di un atto normativo vincolante per tutti i Paesi Membri (e, quindi, anche per l’Italia), con cui le istituzioni comunitarie hanno posto l’obiettivo di rafforzare e rendere omogenea la protezione dei dati personali di tutti i residenti nel territorio comunitario.

Come anticipato, questo complesso normativo, adottato il 4 maggio 2016, è entrato ufficialmente in vigore dal 25 maggio del 2018.Dal punto di vista legislativo, l’adozione del GDPR ha comportato l’abrogazione delle norme relative alla protezione dei dati personali contenute nel D.Lgs. 196/2003 (il cd. Codice della Privacy) divenute incompatibili.

Tra gli aspetti più importanti della nuova regolazione c’è sia la previsione di una serie di norme puntuali per il trattamento dei dati da parte degli enti pubblici e delle aziende, che la previsione di una serie di sanzioni, anche particolarmente salate, per tutti i privati che non adempiono ad una serie di obblighi in materia.
Dal primo punto di vista si prevede un obbligo da parte delle aziende relative alla gestione e al trattamento dei dati personali, con una previsione puntuale dei casi in cui i privati possono registrare questi ultimi e degli scopi per i quali essi possono essere utilizzati; allo stesso tempo si prevede un onere di documentazione, nel senso che i dati in questione devono essere elaborati secondo precisi standard: ciò si traduce in un notevole sforzo di adattamento da parte dei destinatari di questi obblighi.

I principi fondamentali del nuovo regolamento attengono, in questo ambito, al divieto (in assenza di autorizzazione da parte del relativo titolare) di elaborazione dei dati personali; alla limitazione delle finalità di trattamento, con la definizione specifica degli scopi per i quali i dati possono essere raccolti; alla previsione di limiti stringenti al trattamento cd. pubblicitario, cioè ponendo un limite all’uso per finalità promozionale dei dati acquisiti se non vi è uno specifico assenso a questo scopo.

Ma quali incidenza hanno le nuove regole GDPR per chi gestisce un sito web? GDPR sito web? In effetti, una buona parte delle norme in questione si riferisce anche alle aziende e agli enti pubblici, prevedendo l’istituzione di specifici controlli e protocolli che devono essere eseguiti ogni volta che si tratta di dati personali e inserendo una disciplina specifica per quanto riguarda i dati sanitari e altri considerati particolarmente sensibili.

Di tutto questo non è opportuno trattare adesso, per cui nei prossimi paragrafi ci limiteremo ad esaminare soltanto le norme che riguardano nello specifico il portale web e le cose da fare per adempiere agli obblighi di cui al nuovo regolamento.

Per un esame completo della nuova normativa, pertanto, ti rinviamo alla lettura del testo integrale del Regolamento come riportato sul sito del GarantePrivacy.it: qui troverai la traduzione completa del testo con tutti i suoi articoli. Se, invece, ti interessa un commento articolato dell’intera riforma puoi trovarne uno molto esaustivo sulla pagina di Wikipedia relativa al GDPR.

Cta Gdpr

Nuovo Regolamento Privacy cosa cambia?

Venendo all’esame dello specifico rapporto esistente tra GDPR e sito web dobbiamo occuparci principalmente delle novità che questa disciplina ha comportato. Infatti, le norme sui trattamenti dei dati personali sono valide anche per siti web e social media e prevedono una serie di interventi che devono essere effettuati in tutti i casi in cui avviene una raccolta (anche automatica) di dati relativi agli utenti: ad esempio, con l’utilizzo di cookie o altre misure di targetizzazione.

Per semplificare e offrirti subito una rapida risposta alla domanda che ci siamo fatti, riportiamo qui schematicamente i cambiamenti più importanti che sono stati introdotti dal regolamento, rinviando poi ai successivi paragrafi l’esame nel dettaglio degli adempimenti sulla privacy e degli interventi da effettuare per chi gestisce un sito web, un sito con wordpress o un blog personale. In particolare, le novità concernenti il sito web sono:

  • l’introduzione di un obbligo di documentazione rispetto ai dati che vengono acquisiti e conservati dal sito web;
  • una revisione complessiva delle autorizzazioni con conseguente obbligo di fornire le informazioni relative alle modalità e agli scopi del trattamento (la cd. Privacy policy);
  • la previsione dei diritti di accesso e dei diritti all’oblio rispetto alle informazioni concernenti i dati personali;
  • la subordinazione del consenso specifico alla possibilità di applicare cookie o richiedere l’utilizzo per finalità promozionali dei dati personali;
  • la previsione di multe nel caso di mancato adempimento a queste regole.
https://youtu.be/2RBzCtxdFaM

Adempimenti Privacy significato – GDPR sito web

Finora ci siamo occupati in generale delle conseguenze derivanti dall’approvazione del GDPR sulla gestione del tuo sito web: da questo momento in poi ci concentreremo, invece, sugli aspetti fondamentali, chiarendo in primo luogo che significato hanno gli adempimenti sulla privacy e fornendo, nei paragrafi successivi, delle indicazioni di dettaglio su cosa fare per adeguarsi ai nuovi principi del GDPR.

Partendo dal primo aspetto diventa importante chiarire che significato ha il termine privacy contenuto nel GDPR e quali sono gli adempimenti previsti: dobbiamo chiederci, in altri termini, cos’è il trattamento dei dati personali, cosa si intende per informativa privacy e in che modo può essere prestato il consenso da parte dell’interessato.

Il trattamento dei dati personali

Il concetto di “dati personali” è fondamentale per capire in che modo questi vengono a contatto con la gestione del sito web, determinando il tuo obbligo di intervenire con l’apposita disciplina sul trattamento.

Si possono definire dati personali le informazioni che riguardano una determinata persona fisica: nome, codice fiscale, indirizzo, data di nascita, numero di telefono, e così via.

Si tratta, cioè, di tutti quei dati che permettono di identificare un certo soggetto, sia esso determinato o determinabile grazie a queste informazioni.

Nel mondo digitale, per quello che riguarda più specificamente l’incidenza del GDPR sulla gestione del sito web, sono considerati dati personali anche le informazioni che riguardano l’indirizzo e-mail, l’indirizzo IP, i cookie e il fingerprint.

Potrai capire che la stragrande maggioranza dei siti web acquisisce queste informazioni quando un utente lo visita, oppure quando un utente si iscrive ad una newsletter o all’area riservata.

Ne deriva che, in tutti questi casi, si effettua un’opera di raccolta di questi dati da parte del sito: proprio questa raccolta qualifica il primo passaggio di quello che possiamo definire trattamento dei dati personali.

Più precisamente, escludendo le definizioni che non riguardano i portali online, il trattamento dei dati personali avviene quando il sito web acquisisce:

  • dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o più foto, l’indirizzo e-mail e quello di residenza fisica, oppure l’indirizzo IP);
  • dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
  • dati relativi alla profilazione, e cioè idonei a determinare le abitudini di consumo o le modalità di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
  • dati bancari, tra cui IBAN, domiciliazione fiscale, e così via.
https://youtu.be/efJtKH87dCQ

Informativa privacy per sito web

Nei casi appena citati sia le vecchie normative sulla Privacy che l’attuale GDPR prevedono a carico dei gestori dei siti web un insieme di informazioni che devono essere fornite agli utenti.

Queste informazioni, secondo quanto riportato dall’art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (tratto da: www.privacy-regulation.eu/it/12.html).

Ti starai chiedendo come si traduce tutto questo nella gestione del tuo sito web: ebbene, secondo il GDPR le informazioni fornite all’utente che immette i propri dati sul portale devono contenere:

  • la descrizione del trattamento cui verranno sottoposti i dati raccolti, con l’indicazione dei dati che vengono raccolti, delle modalità con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
  • le finalità specifiche per ciascun singolo trattamento (ciò significa che per ogni finalità occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dell’interessato per l’iscrizione al sito o alla newsletter o per effettuare l’acquisto sulle store online non può valere anche per la profilazione commerciale);
  • l’elenco dei diritti degli interessati rispetto al trattamento e le modalità con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per l’accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso già prestato.

L’informativa sulla privacy, quindi, deve essere specifica per ogni singola operazione e finalità di trattamento.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web ma che ciascuno dovrà dotarsi di una informativa che contiene i dati richiesti dal regolamento, specificamente rivolta al fine per cui i dati sono richiesti.

In altre parole, se il tuo sito è un e-commerce dovrai indicare, in una sezione apposita e chiaramente raggiungibile, l’informativa riferita al trattamento dei dati personali che occorrono per poter procedere all’acquisto e al pagamento dei prodotti venduti.

Se, invece, ti occupi di un blog e vuoi offrire una newsletter ai tuoi iscritti, anche in questo caso dovrai fornire un’informativa specifica, indicando la finalità per cui tratterai i dati personali nel box di iscrizione.

Tutt’altra informativa, con indicazione specifica delle diverse finalità, nel caso dei cookie commerciali, dei banner pubblicitari e quant’altro.

Cta Gdpr

Il consenso dell’interessato

Dopo aver chiarito cosa si intende per trattamento dei dati personali e aver descritto l’informativa privacy, dobbiamo chiederci a cosa servono questi adempimenti.

La risposta è semplice: grazie all’informativa miriamo a raccogliere il consenso dell’utente alle operazioni di trattamento. Quest’ultimo, infatti, è il requisito necessario per dimostrare che l’interessato ha letto ed è d’accordo con l’informativa privacy proposta dal sito web.

Il Regolamento GDPR precisa che il consenso si traduce in un atto di assenso dell’interessato, mediante una propria dichiarazione o altra azione equipollente, rispetto alla proposta di trattamento dei suoi dati da parte del sito: normalmente, questo si traduce nella predisposizione di un box nel quale all’utente verrà richiesto di confermare (premendo il tasto “Accetto” e simili) il trattamento dei dati.

Ciò non ti vieta, però, di poter chiedere un assenso esplicito in altre forme che raggiungano lo stesso risultato.

Perché il consenso possa dirsi validamente prestato esso deve essere libero, e cioè incondizionato: questo significa che non è possibile subordinare alla prestazione del consenso l’accesso ad un determinato servizio, se per l’esecuzione dello stesso il consenso non è strettamente necessario.

Ad esempio, se per uno dei servizi relativi al tuo sito web non c’è neanche astrattamente alcun profilo che riguarda il trattamento dei dati personali non puoi condizionare l’accesso al servizio alla prestazione del consenso.

Ovviamente, il GDPR chiede che il consenso sia preventivo, esplicito e informato:

  • preventivo, nel senso che esso deve essere prestato prima che il trattamento abbia inizio; esplicito, nel senso che non è possibile lasciarlo sottinteso in qualunque modo;
  • informato, nel senso che all’interessato deve essere offerta la possibilità di leggere l’informativa sul trattamento, sulle finalità del medesimo e sui propri diritti prima di prestare il consenso.

Anche in questo caso, questo si traduce nella pratica nella predisposizione di un box in cui, accanto alle opzioni di assenso o dissenso rispetto al trattamento dei dati, vengono linkati i documenti in cui sono riportate le informative (o si permette di selezionare la spunta che certifica l’avvenuta lettura dei medesimi).

Occorre precisare che il GDPR pone anche due ulteriori regole circa il consenso al trattamento dei dati personali:

  • l’interessato può negare il proprio consenso e, se lo concede, può ritirarlo in ogni momento;- il gestore del sito web non può abbinare più consensi al medesimo atto di accettazione: tornando all’esempio dell’e-commerce, la prestazione del consenso relativamente alla finalità del trattamento necessaria a perfezionare l’acquisto non può essere utilizzata anche per l’iscrizione ad una newsletter; per quest’ultima o per qualsiasi altra finalità occorre predisporre un’autonoma informativa e richiedere un autonomo atto di consenso da parte dell’interessato.

Altro adempimento importante per il sito web richiesto dal GDPR riguarda la prova del consenso: il titolare del sito, infatti, deve conservare e documentare l’avvenuto consenso da parte dell’interessato, ad esempio registrandone l’indirizzo IP nel momento in cui l’utente clicca su “Accetto” o su “Ok” nel box opportunamente predisposto.

Dovrai conservare questa prova per tutto il periodo in cui si effettua il trattamento e fino al momento in cui avverrà la cancellazione dei dati personali: ti può occorrere sia per rispondere ad eventuali richieste di accesso dell’interessato, sia per le eventuali verifiche da parte dell’Autorità.

Adeguamento sito gdpr: cosa fare?

Finora ci siamo occupati prevalentemente della parte teorica, individuando quali sono le principali norme introdotte dal GDPR. Ora è il caso di vedere in che modo è possibile adeguare il proprio sito web o crearne uno compatibile con il Regolamento Privacy.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web ma che ciascuno dovrà dotarsi di una informativa che contiene i dati richiesti dal regolamento specificamente rivolta al fine per cui i dati sono richiesti

Nel farlo, ti indicheremo i passaggi fondamentali, rinviando ai concetti che abbiamo sopra indicato e specificando che per i siti basati su architettura WordPress e per i blog si aggiungeranno altre indicazioni a quelle che stiamo per fornirti.

Ogni sito web che tratta dati, per adeguarsi al gdpr, deve contenere un’informativa privacy, possibilmente con un collegamento accessibile da qualunque pagina del sito. Per far ciò, solitamente si usa inserire il collegamento all’informativa privacy nella parte bassa del sito (footer).

L’informativa privacy, chiamata anche “privacy policy sito web” è il documento con il quale si informano gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità. Questo documento obbligatorio, secondo quanto previsto dall’articolo 13 paragrafo 1 del Regolamento Europeo sulla privacy che cita:

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

il successivo articolo del gdpr, ovvero il 14 nel suo paragrafo 1 ci indica cosa deve obbligatoriamente contenere l’informativa.

Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • le categorie di dati personali in questione;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

E’ dunque facile intuire, come l’informativa sia un documento personalizzato e non standardizzabile, che si basa sull’adeguamento al Gdpr del soggetto che tratta i dati e sugli specifici trattamenti e modalità che questo adotta.

L’errore più comune è dunque quello di pensare che basti un’informativa standard per essere a norma gdpr.

Privacy sito web:i moduli di contatto

Ne abbiamo già parlato sopra quando abbiamo definito il significato degli adempimenti sulla privacy. Ricapitolando quello che abbiamo descritto, alla luce del GDPR il tuo sito web dovrà dotarsi di un documento che spieghi agli utenti il tipo di dati raccolti, chi e come li raccoglie, perché vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.

Abbiamo inoltre ricordato che questa informativa è necessaria per ottenere il consenso al trattamento dei dati personali: a questo proposito è dunque necessario dotarsi di un’apposita sezione del sito o di un form da compilare per poter consentire all’utente di accedere all’informativa e di prestare il proprio consenso.

Nello specifico, una prima modifica dovrà riguardare i moduli di contatto (solitamente i form HTML con cui avviene l’accesso al sito web da parte dell’utente): in questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, così costringendo il titolare ad adeguare il modulo al GDPR.

Per fare un esempio, se si predispone un modulo attraverso il quale inviare richieste al titolare del sito e in cui il cliente deve inserire nome, cognome e indirizzo mail, questo modulo deve rispettare le norme del Regolamento.

A tal fine, il modulo deve essere integrato con il link all’informativa sulla privacy, mettendo l’utente in condizione di accettare il trattamento relativo mettendo la spunta sul checkbox relativo. Ricordando, peraltro:

  • che questo non consenso può essere utilizzato solo per le finalità di contatto e non anche per altre finalità (nel qual caso è necessario predisporre un’apposita policy con relativo modulo di consenso);- che non è possibile chiedere per queste finalità dati che non risultano indispensabili per lo scopo di contatto (come, ad esempio, data di nascita, titolo di studio, stato civile, e così via).

L’aggiornamento del proprio sito e il data-logging

Proprio in stretta conseguenza è importante correggere i moduli già presenti sul proprio sito, per consentire all’utente di prestare in modo espresso il proprio consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una casella di spunta per consentire all’utente di prestare autonomamente il proprio consenso.

Come abbiamo visto, inoltre, il titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi all’utente che quelli concernenti la prestazione del consenso al trattamento.

Per questo motivo, il sito web si deve dotare di un apposito database che faciliti l’accesso e la conservazione sicura dei dati ottenuti. A questo fine, può essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.

Un’ipotesi in cui viene in gioco questo aspetto è nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano l’inserimento di dati specifici dell’utente.

In questo caso, è necessario predisporre sia strumenti che permettono di monitorare gli accessi effettuati (tramite il già citato controllo dell’indirizzo IP), sia modificare le aree riservate agli utenti, integrandole di alcune funzionalità che permettano agli stessi:

  • l’accesso ai propri dati;
  • la modifica degli stessi;
  • la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
  • la cancellazione della propria iscrizione e, conseguentemente, dei dati forniti.

In tutti i casi in cui utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato l’indirizzo IP dell’utente o le azioni compiute sul sito (pagine visitate, tempi online, referrers, e così via). In questo caso, dunque, è necessario indicare nell’informativa privacy che esistono queste modalità di tracciamento (e richiedere, quindi, che il consenso si estenda anche a questo tipo di trattamento).

La protezione dei dati

Uno degli aspetti più importanti e che determina il maggior carico di aggiornamento a carico del gestore del sito web è la predisposizione di procedure che assicurino la sicurezza online dei dati. Il riferimento è sicuramente alle possibili violazioni al server o alla piattaforma di gestione del webmaster che può comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti.

Dal momento che il GDPR pone a cariion-gll5w7wo6fgz7b6s9b0r3jo95a4c8rza” class=”textannotation”>co del soggetto che effettua il trattamento dei dati anche la responsabilità sulla loro sicurezza, ne deriva che dovrai dotarti di strumenti in grado di mettere in sicurezza il tuo sito.

Ovviamente, non esiste un unico criterio di sicurezza valido per tutti i siti web; inoltre, le soglie di protezione dovrebbero essere tanto più forti quanto più sensibili sono i dati trattati (e, in particolare, se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone). In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

  • predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterà chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
  • aggiornare il server (per tale intendendosi l’aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
  • aggiornamento delle piattaforme CMS (come WordPress, di cui parleremo a breve) con l’installazione di plugin di sicurezza (quali quello che limita il numero di tentativi di accesso fallito all’area riservata o che aggiunge CAPTCHA alle operazioni di login) o, ancora, l’inserimento di procedure di accesso a doppia protezione e recupero password codificato);
  • se si tratta di un e-commerce è obbligatorio già da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto all’inserimento dei dati bancari o di altri dati particolarmente sensibili.

Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sull’uso dei cookie. Infatti, i gestori dei siti web devono mostrare un’informativa (solitamente in forma breve, all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le più diverse finalità e chiedendo uno specifico assenso per questa pratica.

In altri termini, dovrai permettere agli utenti di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza poter vietare l’accesso al sito (come avveniva prima del GDPR) agli utenti che negano l’installazione dei cookie non indispensabili al funzionamento del sito.Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.

Il backup dei dati

Assicurandoti di avere un sistema di back up schedulato, meglio se giornaliero, sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti.

Il backup dovrà essere possibilmente:

  • schedulato automaticamente almeno settimanale
  • effettuato su uno o più dispositivi esterni al server che ospita il sito web
  • crittografato, in modo che i dati non siano leggibili da terze parti non autorizzate
  • verificato:i backup possono essere inconsistenti, ovvero contenere degli errori che li renderebbero illeggibili, in caso di recupero. E’ dunque buona norma effettuare delle verifiche di consistenza dei backup creati

Cosa è il Data-Breach?

Il Data-Breach è definito e normato dagli articoli 33 e 34 del GDPR che qui di seguito riporto:

Art. 33 GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679)

Notifica di una violazione dei dati personali all’autorità di controllo

1.   In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2.   Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3.   La notifica di cui al paragrafo 1 deve almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4.   Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.   Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Art. 34 GDPR – Regolamento Generale sulla Protezione dei Dati (UE/2016/679)

Comunicazione di una violazione dei dati personali all’interessato

7xw8ij4ot2xyro8oeocwz30″ class=”textannotation”>1.   Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

2.   La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).

3.   Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
  • detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.   Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

Per capire quanto sia semplice, se non si adottano le corrette misure di sicurezza, subire un data-breach, basti pensare al semplice virus sul nostro computer o ad un malfunzionamento del nostro sito internet che metta in chiaro gli eventuali dati di utenti che siano stati memorizzati nel database del sito web.

Ci sono migliaia di siti internet che subiscono attacchi informatici e moltissimi di questi hanno al loro interno dati soggetti al GDPR.

Cta Gdpr

Linee guida da adottare in caso di Data-Breach

Vista la completezza di informazioni presente sul sito del Garante, preferisco rimandarvi alle sue pagine.

> Vai alle pagine del Garante <

WordPress Gdpr: Come adeguare il sito web al gdpr

Alle indicazioni che abbiamo finora fornito bisogna aggiungerne alcune specifiche per i siti che utilizzano WordPress come architettura di base (che, secondo quanto riportato dal sito w3techs.com sono oltre il 30% del totale). Se non sai esattamente di cosa stiamo parlando, forse potresti essere interessato a capire in quali casi l’utilizzo di WordPress coinvolge l’applicazione delle norme sulla Privacy. Schematizzando, ciò avviene in tutti i casi in cui:

  • per gestire il sito e le sue funzionalità è necessario chiedere dei dati agli utenti;
  • è necessario consentire l’accesso di tali dati ad altre persone che lavorano sul tuo sito;
  • in alternativa, utilizzi dei plugin che comportano il trattamento dei dati personali come sopra descritto.

Quando si verifica una o più delle condizioni citate, sei obbligato a rispettare le norme e gli accorgimenti relativi all’aggiornamento del tuo sito agli standard richiesti dalla GDPR.

In questo caso soccorrono le recenti modifiche operate dallo stesso team WordPress, che prima del 25 maggio 2018, è intervenuto per aggiornare il codice del CMS alle normative richieste dal GDPR.

A tal proposito, il servizio WordPress ha inserito una serie di filtri che permettono di indicare il modo di gestione e archiviazione da parte dei plugin dei dati personali degli utenti: in questo caso, tutto quello che devi fare è aggiornare il programma alla sua più recente versione, che già include tutti i protocolli adeguati alla privacy policy e alla gestione dei dati.

Tra le novità più importanti segnaliamo:

  • l’inserimento di un apposito form per consentire agli utenti il salvataggio dei propri dati tramite cookie ogni volta che si commenta un articolo (tramite l’opzione “Salva il mio nome, email e sito web per la prossima volta”);
  • la previsione, per il proprietario del sito, di un’apposita pagina in cui inserire la Privacy Policy, che verrà visualizzata dagli utenti nelle pagine di accesso e di registrazione;
  • l’implementazione di un sistema di esportazione dei dati personali degli utenti, da parte del gestore del sito, in un apposito file zip;
  • l’implementazione di un sistema che permette al gestore di cancellare i dati personali raccolti, inclusi quelli trattati dai plugin.

Gdpr e blog: cosa dice la normativa

Chiaramente, ad integrazione di quanto abbiamo detto finora, gli unici dati che utilizzerai in qualità di blogger sono quelli strettamente personali: dunque, non dovrai prestare attenzione ai dati genetici, ai dati bancari, sulla salute e così via.

Tutto quello che ti interessa, come blogger, sono le informazioni di identificazione (nickname, e-mail, eventualmente foto, data di nascita e indirizzo fisico).

Anche in questo caso, dovrai fornire ai tuoi utenti un’informativa che indichi quali dati vengono raccolti, per quanto tempo, da chi e come vengono conservati.

Se, in particolare, utilizzi un’architettura WordPress per il tuo blog, allora puoi trovare le principali risposte nel paragrafo precedente. Per tutti gli altri casi o per i servizi esterni (come Jetpack, Google Analytics o Google Adsense, i collegamenti social, le mailing list, e così via), invece, dovrai predisporre delle check box specifiche (non precompilate) e salvare i log che ti permettono di dimostrare l’avvenuta prestazione del consenso.

Solitamente, però, tutto questo avviene già in automatico da parte dei provider dei servizi (di commenti, di newsletter o di mailing) utilizzati, per cui l’adempimento si traduce in realtà nel tenere aggiornati i plugin.

La parte più importante a carico del blogger sta quindi nella predisposizione dell’informativa privacy in tutti i moduli di contatto e di registrazione, dal momento che si tratta dei processi sensibili in cui avviene lo scambio di dati personali su un blog.

L’informativa dovrà essere facilmente leggibile e accessibile da parte degli interessati, ricordando che dovrai personalizzare la policy in base alle diverse finalità, come: cookies, commenti, iscrizione al blog, social network, newsletter, affiliazioni e così via.

Per quanto riguarda, infine, la gestione dei cookie, potresti decidere di bloccarli tramite un apposito plugin (come Cookiebot ); se, invece, ritieni che siano utili alla tua attività, ti consigliamo di adottare un plugin che renda facilmente reperibile il link alla privacy policy che hai predisposto.

Norma Gdpr: le sanzioni

Il quadro sanzionatorio del GDPR è piuttosto complesso ed articolato, con parti che ancora oggi lasciano dubbi interpretativi. L’ autorità di controllo è il Garante della Privacy, che si avvarrà delle forze dell’ ordine per le verifiche sulle segnalazioni giunte dai privati cittadini o rilevate dai siti internet.

Le sanzioni, secondo l’ articolo 83 del GDPR, si dividono in due gruppi.

1 ) Violazioni di minore gravità Per le quali sono previste sanzioni amministrative fino a 10 milioni di euro per le imprese o fino al 2% del fatturato mondiale dell’anno precedente.

Viene irrorata la sanzione nei seguenti casi:

  • violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
  • trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
  • mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
  • violazione dell’obbligo di nomina del DPO;
  • mancata applicazione di misure di sicurezza.

2) Violazioni di maggiore gravità Per le quali sono previste sanzioni amministrative fino a 20 milioni di euro per le imprese o fino al 4% del fatturato mondiale dell’ anno precedente.

Viene irrorata la sanzione nei seguenti casi:

  • inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità nazionale competente;
  • trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

L’ importo delle sanzioni è stabilito dal Garante della Privacy che, in ottemperanza a quanto stabilito dall’ Art. 83 del Gdpr, deve valutare, caso per caso ed irrorare sanzioni che siano effettive, proporzionate e dissuasive.

Recentemente è stato emesso il Decreto 101/2018 dell’ 8 Agosto, che stabilisce, secondo quanto richiesto dal GDPR,  le sanzioni penali da applicarsi nei casi previsti.

Il decreto chiarifica i casi in cui saranno emesse sanzioni penali che sono:

  • Trattamento illecito dei dati
  • Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
  • Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala 
  • Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante 
  • Inosservanza dei provvedimenti del Garante

Vale la pena ricordare inoltre, che oltre le sanzioni qui sopra indicate, ogni persona che si vede ledere la propria privacy, ai sensi dell’ Art. 82 del GDPR, può richiedere un risarcimento danno al titolare del trattamento, commisurata alla violazione dei suoi dati.

A chi rivolgersi per adeguarsi al gdpr?

Per adeguarsi al GDPR, non è strettamente necessario rivolgersi a consulenti esterni. I titolari del trattamento dati, studiando la normativa e leggendo tutte le linee guida del Garante della Privacy, possono adeguare la propria azienda ed ottemperare a quanto previsto per i propri siti web.

E’ utile che preciso che l’ adeguamento del sito web al GDPR è solo la fase conclusiva dell’ intero adeguamento dalla normativa.

Purtroppo leggo spessissimo, sopratutto in gruppi di discussione, utenti o peggio webmaster e consulenti, preoccuparsi solo di come adeguare il sito web, come se questa fosse l’ unica cosa da fare.

Un corretto adeguamento al GDPR necessita delle seguenti fasi:

  • Auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy
  • Gestione Accountability con l’ identificazione dell’ organigramma di trattamenti e relativi flussi dati
  • Analisi dei rischi fisici e dei rischi logici
  • Gap Analysis ( analisi che evidenzia quanto è distante la tua azienda da un corretto adeguamento GDPR )
  • Redazione del registro dei trattamenti
  • Redazione delle lettere di incarico
  • Redazione del registro dei consensi
  • Redazione analisi dei rischi
  • Produzione documentazione di adeguamento
  • Eventuali adeguamenti tecnici ( in questa sezione ricade l’ adeguamento del proprio sito web )

queste sono solo alcune delle fasi da svolgere.

Altre se ne potrebbero aggiungere, in base alla complessità dei dati trattati o della grandezza dell’ azienda da adeguare.

Spesso però, la normativa risulta di difficile comprensione o di ostica applicazione. In questi casi è necessario, o quasi caldamente consigliato, rivolgersi a consulenti preparati o al proprio legale di fiducia.Queste due categorie sono abilitate al supporto dei clienti per l’ adeguamento alla normativa GDPR.

Qualora tu ti voglia rivolgere ad un consulente, verifica sempre le sue abilitazioni o l’ appartenenza ad associazioni riconosciute.

Ad esempio, la mia azienda It’s Genius Srl è membra di FederPrivacy oltre ad essere rivenditore autorizzato di PrivacyLab, il primo software per la privacy in cloud certificato a livello europeo UNICERT con assicurazione che copre gli errori tecnici e si occupa di adeguamenti privacy dal 2004.

Software privacy per analisi gratuita GDPR

Al termine di questo lungo articolo, per premiare la tua attenzione e dedizione, voglio omaggiarti della licenza base di Privacy Lab , miglior software per gdpr, dal mio punto di vista, che rimarrà gratuita e ti permetterà di:

  • fare l’ Audit e l’ analisi della tua azienda
  • fare il censimento dei dati e degli archivi
  • fare la Gap Analisys
  • fare l’ analisi dei rischi
  • verificare le misure di sicurezza

CLICCA QUI PER ACCEDERE ALLA LICENZA GRATUITA BASE DI PRIVACY LAB

AGGIORNAMENTO: Leggi l’aggiornamento che è stato emanato dal Comitato Europeo per la protezione dei dati in data 4 Maggio 2020

Cta Gdpr