Cosa fare per mettersi in regola

GDPR SITO WEB: l’incidenza del nuovo Regolamento Privacy sulla gestione dei siti internet (aggiornamento 2020)

Il 25 maggio 2018 รจ entrato in vigore il nuovo Regolamento Privacy dellโ€™Unione Europea comunemente chiamato con l’ acronimo GDPR. Le nuove norme prevedono una serie di adempimenti per le aziende e le pubbliche amministrazioni ma, come vedremo, sono soprattutto i siti web, inclusi i blog personali e gli store online, ad essere interessati dalle novitร .

Ecco perchรฉ, se possiedi un sito web avresti giร  dovuto adeguarlo alle nuove normative onde evitare sanzioni: se ancora non lo hai fatto e, soprattutto, se stai per aprire un nuovo portale o un blog in WordPress, ecco il modo in cui รจ cambiata la gestione dei dati personali online e gli interventi da effettuare per adeguare il sito al Regolamento GDPR.

GDPR regolamento 679/2016

Il GDPR รจ un Regolamento dellโ€™Unione Europea (il numero 679/2016) in materia di protezione dei dati personali e tutela della privacy (dallโ€™inglese General Data Protection Regulation). Si tratta di un atto normativo vincolante per tutti i Paesi Membri (e, quindi, anche per lโ€™Italia), con cui le istituzioni comunitarie hanno posto lโ€™obiettivo di rafforzare e rendere omogenea la protezione dei dati personali di tutti i residenti nel territorio comunitario.

Come anticipato, questo complesso normativo, adottato il 4 maggio 2016, รจ entrato ufficialmente in vigore dal 25 maggio del 2018.Dal punto di vista legislativo, lโ€™adozione del GDPR ha comportato lโ€™abrogazione delle norme relative alla protezione dei dati personali contenute nel D.Lgs. 196/2003 (il cd. Codice della Privacy) divenute incompatibili.

Tra gli aspetti piรน importanti della nuova regolazione cโ€™รจ sia la previsione di una serie di norme puntuali per il trattamento dei dati da parte degli enti pubblici e delle aziende, che la previsione di una serie di sanzioni, anche particolarmente salate, per tutti i privati che non adempiono ad una serie di obblighi in materia.
Dal primo punto di vista si prevede un obbligo da parte delle aziende relative alla gestione e al trattamento dei dati personali, con una previsione puntuale dei casi in cui i privati possono registrare questi ultimi e degli scopi per i quali essi possono essere utilizzati; allo stesso tempo si prevede un onere di documentazione, nel senso che i dati in questione devono essere elaborati secondo precisi standard: ciรฒ si traduce in un notevole sforzo di adattamento da parte dei destinatari di questi obblighi.

I principi fondamentali del nuovo regolamento attengono, in questo ambito, al divieto (in assenza di autorizzazione da parte del relativo titolare) di elaborazione dei dati personali; alla limitazione delle finalitร  di trattamento, con la definizione specifica degli scopi per i quali i dati possono essere raccolti; alla previsione di limiti stringenti al trattamento cd. pubblicitario, cioรจ ponendo un limite allโ€™uso per finalitร  promozionale dei dati acquisiti se non vi รจ uno specifico assenso a questo scopo.

Ma quali incidenza hanno le nuove regole GDPR per chi gestisce un sito web? GDPR sito web? In effetti, una buona parte delle norme in questione si riferisce anche alle aziende e agli enti pubblici, prevedendo lโ€™istituzione di specifici controlli e protocolli che devono essere eseguiti ogni volta che si tratta di dati personali e inserendo una disciplina specifica per quanto riguarda i dati sanitari e altri considerati particolarmente sensibili.

Di tutto questo non รจ opportuno trattare adesso, per cui nei prossimi paragrafi ci limiteremo ad esaminare soltanto le norme che riguardano nello specifico il portale web e le cose da fare per adempiere agli obblighi di cui al nuovo regolamento.

Per un esame completo della nuova normativa, pertanto, ti rinviamo alla lettura del testo integrale del Regolamento come riportato sul sito del GarantePrivacy.it: qui troverai la traduzione completa del testo con tutti i suoi articoli. Se, invece, ti interessa un commento articolato dellโ€™intera riforma puoi trovarne uno molto esaustivo sulla pagina di Wikipedia relativa al GDPR.

Cta Gdpr

Nuovo Regolamento Privacy cosa cambia?

Venendo allโ€™esame dello specifico rapporto esistente tra GDPR e sito web dobbiamo occuparci principalmente delle novitร  che questa disciplina ha comportato. Infatti, le norme sui trattamenti dei dati personali sono valide anche per siti web e social media e prevedono una serie di interventi che devono essere effettuati in tutti i casi in cui avviene una raccolta (anche automatica) di dati relativi agli utenti: ad esempio, con lโ€™utilizzo di cookie o altre misure di targetizzazione.

Per semplificare e offrirti subito una rapida risposta alla domanda che ci siamo fatti, riportiamo qui schematicamente i cambiamenti piรน importanti che sono stati introdotti dal regolamento, rinviando poi ai successivi paragrafi lโ€™esame nel dettaglio degli adempimenti sulla privacy e degli interventi da effettuare per chi gestisce un sito web, un sito con wordpress o un blog personale. In particolare, le novitร  concernenti il sito web sono:

  • lโ€™introduzione di un obbligo di documentazione rispetto ai dati che vengono acquisiti e conservati dal sito web;
  • una revisione complessiva delle autorizzazioni con conseguente obbligo di fornire le informazioni relative alle modalitร  e agli scopi del trattamento (la cd. Privacy policy);
  • la previsione dei diritti di accesso e dei diritti allโ€™oblio rispetto alle informazioni concernenti i dati personali;
  • la subordinazione del consenso specifico alla possibilitร  di applicare cookie o richiedere lโ€™utilizzo per finalitร  promozionali dei dati personali;
  • la previsione di multe nel caso di mancato adempimento a queste regole.
https://youtu.be/2RBzCtxdFaM

Adempimenti Privacy significato – GDPR sito web

Finora ci siamo occupati in generale delle conseguenze derivanti dallโ€™approvazione del GDPR sulla gestione del tuo sito web: da questo momento in poi ci concentreremo, invece, sugli aspetti fondamentali, chiarendo in primo luogo che significato hanno gli adempimenti sulla privacy e fornendo, nei paragrafi successivi, delle indicazioni di dettaglio su cosa fare per adeguarsi ai nuovi principi del GDPR.

Partendo dal primo aspetto diventa importante chiarire che significato ha il termine privacy contenuto nel GDPR e quali sono gli adempimenti previsti: dobbiamo chiederci, in altri termini, cosโ€™รจ il trattamento dei dati personali, cosa si intende per informativa privacy e in che modo puรฒ essere prestato il consenso da parte dellโ€™interessato.

Il trattamento dei dati personali

Il concetto di “dati personali” รจ fondamentale per capire in che modo questi vengono a contatto con la gestione del sito web, determinando il tuo obbligo di intervenire con lโ€™apposita disciplina sul trattamento.

Si possono definire dati personali le informazioni che riguardano una determinata persona fisica: nome, codice fiscale, indirizzo, data di nascita, numero di telefono, e cosรฌ via.

Si tratta, cioรจ, di tutti quei dati che permettono di identificare un certo soggetto, sia esso determinato o determinabile grazie a queste informazioni.

Nel mondo digitale, per quello che riguarda piรน specificamente lโ€™incidenza del GDPR sulla gestione del sito web, sono considerati dati personali anche le informazioni che riguardano lโ€™indirizzo e-mail, lโ€™indirizzo IP, i cookie e il fingerprint.

Potrai capire che la stragrande maggioranza dei siti web acquisisce queste informazioni quando un utente lo visita, oppure quando un utente si iscrive ad una newsletter o allโ€™area riservata.

Ne deriva che, in tutti questi casi, si effettua unโ€™opera di raccolta di questi dati da parte del sito: proprio questa raccolta qualifica il primo passaggio di quello che possiamo definire trattamento dei dati personali.

Piรน precisamente, escludendo le definizioni che non riguardano i portali online, il trattamento dei dati personali avviene quando il sito web acquisisce:

  • dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o piรน foto, lโ€™indirizzo e-mail e quello di residenza fisica, oppure lโ€™indirizzo IP);
  • dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
  • dati relativi alla profilazione, e cioรจ idonei a determinare le abitudini di consumo o le modalitร  di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
  • dati bancari, tra cui IBAN, domiciliazione fiscale, e cosรฌ via.
https://youtu.be/efJtKH87dCQ

Informativa privacy per sito web

Nei casi appena citati sia le vecchie normative sulla Privacy che lโ€™attuale GDPR prevedono a carico dei gestori dei siti web un insieme di informazioni che devono essere fornite agli utenti.

Queste informazioni, secondo quanto riportato dallโ€™art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: “Il titolare del trattamento adotta misure appropriate per fornire allโ€™interessato tutte le informazioni [โ€ฆ] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (tratto da: www.privacy-regulation.eu/it/12.html).

Ti starai chiedendo come si traduce tutto questo nella gestione del tuo sito web: ebbene, secondo il GDPR le informazioni fornite allโ€™utente che immette i propri dati sul portale devono contenere:

  • la descrizione del trattamento cui verranno sottoposti i dati raccolti, con lโ€™indicazione dei dati che vengono raccolti, delle modalitร  con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
  • le finalitร  specifiche per ciascun singolo trattamento (ciรฒ significa che per ogni finalitร  occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dellโ€™interessato per lโ€™iscrizione al sito o alla newsletter o per effettuare lโ€™acquisto sulle store online non puรฒ valere anche per la profilazione commerciale);
  • lโ€™elenco dei diritti degli interessati rispetto al trattamento e le modalitร  con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per lโ€™accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso giร  prestato.

Lโ€™informativa sulla privacy, quindi, deve essere specifica per ogni singola operazione e finalitร  di trattamento.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web ma che ciascuno dovrร  dotarsi di una informativa che contiene i dati richiesti dal regolamento, specificamente rivolta al fine per cui i dati sono richiesti.

In altre parole, se il tuo sito รจ un e-commerce dovrai indicare, in una sezione apposita e chiaramente raggiungibile, lโ€™informativa riferita al trattamento dei dati personali che occorrono per poter procedere allโ€™acquisto e al pagamento dei prodotti venduti.

Se, invece, ti occupi di un blog e vuoi offrire una newsletter ai tuoi iscritti, anche in questo caso dovrai fornire unโ€™informativa specifica, indicando la finalitร  per cui tratterai i dati personali nel box di iscrizione.

Tuttโ€™altra informativa, con indicazione specifica delle diverse finalitร , nel caso dei cookie commerciali, dei banner pubblicitari e quantโ€™altro.

Cta Gdpr

Il consenso dell’interessato

Dopo aver chiarito cosa si intende per trattamento dei dati personali e aver descritto lโ€™informativa privacy, dobbiamo chiederci a cosa servono questi adempimenti.

La risposta รจ semplice: grazie allโ€™informativa miriamo a raccogliere il consenso dellโ€™utente alle operazioni di trattamento. Questโ€™ultimo, infatti, รจ il requisito necessario per dimostrare che lโ€™interessato ha letto ed รจ dโ€™accordo con lโ€™informativa privacy proposta dal sito web.

Il Regolamento GDPR precisa che il consenso si traduce in un atto di assenso dellโ€™interessato, mediante una propria dichiarazione o altra azione equipollente, rispetto alla proposta di trattamento dei suoi dati da parte del sito: normalmente, questo si traduce nella predisposizione di un box nel quale allโ€™utente verrร  richiesto di confermare (premendo il tasto “Accetto” e simili) il trattamento dei dati.

Ciรฒ non ti vieta, perรฒ, di poter chiedere un assenso esplicito in altre forme che raggiungano lo stesso risultato.

Perchรฉ il consenso possa dirsi validamente prestato esso deve essere libero, e cioรจ incondizionato: questo significa che non รจ possibile subordinare alla prestazione del consenso lโ€™accesso ad un determinato servizio, se per lโ€™esecuzione dello stesso il consenso non รจ strettamente necessario.

Ad esempio, se per uno dei servizi relativi al tuo sito web non cโ€™รจ neanche astrattamente alcun profilo che riguarda il trattamento dei dati personali non puoi condizionare lโ€™accesso al servizio alla prestazione del consenso.

Ovviamente, il GDPR chiede che il consenso sia preventivo, esplicito e informato:

  • preventivo, nel senso che esso deve essere prestato prima che il trattamento abbia inizio; esplicito, nel senso che non รจ possibile lasciarlo sottinteso in qualunque modo;
  • informato, nel senso che allโ€™interessato deve essere offerta la possibilitร  di leggere lโ€™informativa sul trattamento, sulle finalitร  del medesimo e sui propri diritti prima di prestare il consenso.

Anche in questo caso, questo si traduce nella pratica nella predisposizione di un box in cui, accanto alle opzioni di assenso o dissenso rispetto al trattamento dei dati, vengono linkati i documenti in cui sono riportate le informative (o si permette di selezionare la spunta che certifica lโ€™avvenuta lettura dei medesimi).

Occorre precisare che il GDPR pone anche due ulteriori regole circa il consenso al trattamento dei dati personali:

  • lโ€™interessato puรฒ negare il proprio consenso e, se lo concede, puรฒ ritirarlo in ogni momento;- il gestore del sito web non puรฒ abbinare piรน consensi al medesimo atto di accettazione: tornando allโ€™esempio dellโ€™e-commerce, la prestazione del consenso relativamente alla finalitร  del trattamento necessaria a perfezionare lโ€™acquisto non puรฒ essere utilizzata anche per lโ€™iscrizione ad una newsletter; per questโ€™ultima o per qualsiasi altra finalitร  occorre predisporre unโ€™autonoma informativa e richiedere un autonomo atto di consenso da parte dellโ€™interessato.

Altro adempimento importante per il sito web richiesto dal GDPR riguarda la prova del consenso: il titolare del sito, infatti, deve conservare e documentare lโ€™avvenuto consenso da parte dellโ€™interessato, ad esempio registrandone lโ€™indirizzo IP nel momento in cui lโ€™utente clicca su “Accetto” o su “Ok” nel box opportunamente predisposto.

Dovrai conservare questa prova per tutto il periodo in cui si effettua il trattamento e fino al momento in cui avverrร  la cancellazione dei dati personali: ti puรฒ occorrere sia per rispondere ad eventuali richieste di accesso dellโ€™interessato, sia per le eventuali verifiche da parte dellโ€™Autoritร .

Adeguamento sito gdpr: cosa fare?

Finora ci siamo occupati prevalentemente della parte teorica, individuando quali sono le principali norme introdotte dal GDPR. Ora รจ il caso di vedere in che modo รจ possibile adeguare il proprio sito web o crearne uno compatibile con il Regolamento Privacy.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web ma che ciascuno dovrร  dotarsi di una informativa che contiene i dati richiesti dal regolamento specificamente rivolta al fine per cui i dati sono richiesti

Nel farlo, ti indicheremo i passaggi fondamentali, rinviando ai concetti che abbiamo sopra indicato e specificando che per i siti basati su architettura WordPress e per i blog si aggiungeranno altre indicazioni a quelle che stiamo per fornirti.

Ogni sito web che tratta dati, per adeguarsi al gdpr, deve contenere un’informativa privacy, possibilmente con un collegamento accessibile da qualunque pagina del sito. Per far ciรฒ, solitamente si usa inserire il collegamento all’informativa privacy nella parte bassa del sito (footer).

L’informativa privacy, chiamata anche “privacy policy sito web” รจ il documento con il quale si informano gli utenti del sito sulle modalitร  di trattamento dei dati e sulle finalitร . Questo documento obbligatorio, secondo quanto previsto dall’articolo 13 paragrafo 1 del Regolamento Europeo sulla privacy che cita:

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  • l’identitร  e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalitร  del trattamento cui sono destinati i dati personali nonchรฉ la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

il successivo articolo del gdpr, ovvero il 14 nel suo paragrafo 1 ci indica cosa deve obbligatoriamente contenere l’informativa.

Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

  • l’identitร  e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalitร  del trattamento cui sono destinati i dati personali nonchรฉ la base giuridica del trattamento;
  • le categorie di dati personali in questione;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

E’ dunque facile intuire, come l’informativa sia un documento personalizzato e non standardizzabile, che si basa sull’adeguamento al Gdpr del soggetto che tratta i dati e sugli specifici trattamenti e modalitร  che questo adotta.

L’errore piรน comune รจ dunque quello di pensare che basti un’informativa standard per essere a norma gdpr.

Privacy sito web:i moduli di contatto

Ne abbiamo giร  parlato sopra quando abbiamo definito il significato degli adempimenti sulla privacy. Ricapitolando quello che abbiamo descritto, alla luce del GDPR il tuo sito web dovrร  dotarsi di un documento che spieghi agli utenti il tipo di dati raccolti, chi e come li raccoglie, perchรฉ vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.

Abbiamo inoltre ricordato che questa informativa รจ necessaria per ottenere il consenso al trattamento dei dati personali: a questo proposito รจ dunque necessario dotarsi di unโ€™apposita sezione del sito o di un form da compilare per poter consentire allโ€™utente di accedere allโ€™informativa e di prestare il proprio consenso.

Nello specifico, una prima modifica dovrร  riguardare i moduli di contatto (solitamente i form HTML con cui avviene lโ€™accesso al sito web da parte dellโ€™utente): in questo caso lโ€™inserimento dei dati da parte dellโ€™utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, cosรฌ costringendo il titolare ad adeguare il modulo al GDPR.

Per fare un esempio, se si predispone un modulo attraverso il quale inviare richieste al titolare del sito e in cui il cliente deve inserire nome, cognome e indirizzo mail, questo modulo deve rispettare le norme del Regolamento.

A tal fine, il modulo deve essere integrato con il link allโ€™informativa sulla privacy, mettendo lโ€™utente in condizione di accettare il trattamento relativo mettendo la spunta sul checkbox relativo. Ricordando, peraltro:

  • che questo non consenso puรฒ essere utilizzato solo per le finalitร  di contatto e non anche per altre finalitร  (nel qual caso รจ necessario predisporre unโ€™apposita policy con relativo modulo di consenso);- che non รจ possibile chiedere per queste finalitร  dati che non risultano indispensabili per lo scopo di contatto (come, ad esempio, data di nascita, titolo di studio, stato civile, e cosรฌ via).

Lโ€™aggiornamento del proprio sito e il data-logging

Proprio in stretta conseguenza รจ importante correggere i moduli giร  presenti sul proprio sito, per consentire allโ€™utente di prestare in modo espresso il proprio consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una casella di spunta per consentire allโ€™utente di prestare autonomamente il proprio consenso.

Come abbiamo visto, inoltre, il titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi allโ€™utente che quelli concernenti la prestazione del consenso al trattamento.

Per questo motivo, il sito web si deve dotare di un apposito database che faciliti lโ€™accesso e la conservazione sicura dei dati ottenuti. A questo fine, puรฒ essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.

Unโ€™ipotesi in cui viene in gioco questo aspetto รจ nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano lโ€™inserimento di dati specifici dellโ€™utente.

In questo caso, รจ necessario predisporre sia strumenti che permettono di monitorare gli accessi effettuati (tramite il giร  citato controllo dellโ€™indirizzo IP), sia modificare le aree riservate agli utenti, integrandole di alcune funzionalitร  che permettano agli stessi:

  • lโ€™accesso ai propri dati;
  • la modifica degli stessi;
  • la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
  • la cancellazione della propria iscrizione e, conseguentemente, dei dati forniti.

In tutti i casi in cui utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato lโ€™indirizzo IP dellโ€™utente o le azioni compiute sul sito (pagine visitate, tempi online, referrers, e cosรฌ via). In questo caso, dunque, รจ necessario indicare nellโ€™informativa privacy che esistono queste modalitร  di tracciamento (e richiedere, quindi, che il consenso si estenda anche a questo tipo di trattamento).

La protezione dei dati

Uno degli aspetti piรน importanti e che determina il maggior carico di aggiornamento a carico del gestore del sito web รจ la predisposizione di procedure che assicurino la sicurezza online dei dati. Il riferimento รจ sicuramente alle possibili violazioni al server o alla piattaforma di gestione del webmaster che puรฒ comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti.

Dal momento che il GDPR pone a cariion-gll5w7wo6fgz7b6s9b0r3jo95a4c8rza” class=”textannotation”>co del soggetto che effettua il trattamento dei dati anche la responsabilitร  sulla loro sicurezza, ne deriva che dovrai dotarti di strumenti in grado di mettere in sicurezza il tuo sito.

Ovviamente, non esiste un unico criterio di sicurezza valido per tutti i siti web; inoltre, le soglie di protezione dovrebbero essere tanto piรน forti quanto piรน sensibili sono i dati trattati (e, in particolare, se vengono conservati dati bancari o riferiti allโ€™identitร  e al domicilio delle persone). In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

  • predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterร  chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
  • aggiornare il server (per tale intendendosi lโ€™aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
  • aggiornamento delle piattaforme CMS (come WordPress, di cui parleremo a breve) con lโ€™installazione di plugin di sicurezza (quali quello che limita il numero di tentativi di accesso fallito allโ€™area riservata o che aggiunge CAPTCHA alle operazioni di login) o, ancora, lโ€™inserimento di procedure di accesso a doppia protezione e recupero password codificato);
  • se si tratta di un e-commerce รจ obbligatorio giร  da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto allโ€™inserimento dei dati bancari o di altri dati particolarmente sensibili.

Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sullโ€™uso dei cookie. Infatti, i gestori dei siti web devono mostrare unโ€™informativa (solitamente in forma breve, allโ€™interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le piรน diverse finalitร  e chiedendo uno specifico assenso per questa pratica.

In altri termini, dovrai permettere agli utenti di scegliere se consentire lโ€™utilizzo dei cookie o, in caso di diverse finalitร , di selezionare quali autorizzare e quali no, senza poter vietare lโ€™accesso al sito (come avveniva prima del GDPR) agli utenti che negano lโ€™installazione dei cookie non indispensabili al funzionamento del sito.Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito allโ€™utente di revocare il consenso a tutti o a specifici cookie.

Il backup dei dati

Assicurandoti di avere un sistema di back up schedulato, meglio se giornaliero, sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti.

Il backup dovrร  essere possibilmente:

  • schedulato automaticamente almeno settimanale
  • effettuato su uno o piรน dispositivi esterni al server che ospita il sito web
  • crittografato, in modo che i dati non siano leggibili da terze parti non autorizzate
  • verificato:i backup possono essere inconsistenti, ovvero contenere degli errori che li renderebbero illeggibili, in caso di recupero. E’ dunque buona norma effettuare delle verifiche di consistenza dei backup creati

Cosa รจ il Data-Breach?

Il Data-Breach รจ definito e normato dagli articoli 33 e 34 del GDPR che qui di seguito riporto:

Art. 33 GDPR โ€“ Regolamento Generale sulla Protezione dei Dati (UE/2016/679)

Notifica di una violazione dei dati personali allโ€™autoritร  di controllo

1.   In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allโ€™autoritร  di controllo competente a norma dellโ€™articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne รจ venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertร  delle persone fisiche. Qualora la notifica allโ€™autoritร  di controllo non sia effettuata entro 72 ore, รจ corredata dei motivi del ritardo.

2.   Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3.   La notifica di cui al paragrafo 1 deve almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonchรฉ le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere piรน informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone lโ€™adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4.   Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5.   Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente allโ€™autoritร  di controllo di verificare il rispetto del presente articolo.

Art. 34 GDPR โ€“ Regolamento Generale sulla Protezione dei Dati (UE/2016/679)

Comunicazione di una violazione dei dati personali allโ€™interessato

7xw8ij4ot2xyro8oeocwz30″ class=”textannotation”>1.   Quando la violazione dei dati personali รจ suscettibile di presentare un rischio elevato per i diritti e le libertร  delle persone fisiche, il titolare del trattamento comunica la violazione allโ€™interessato senza ingiustificato ritardo.

2.   La comunicazione allโ€™interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui allโ€™articolo 33, paragrafo 3, lettere b), c) e d).

3.   Non รจ richiesta la comunicazione allโ€™interessato di cui al paragrafo 1 se รจ soddisfatta una delle seguenti condizioni:

  • il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertร  degli interessati di cui al paragrafo 1;
  • detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4.   Nel caso in cui il titolare del trattamento non abbia ancora comunicato allโ€™interessato la violazione dei dati personali, lโ€™autoritร  di controllo puรฒ richiedere, dopo aver valutato la probabilitร  che la violazione dei dati personali presenti un rischio elevato, che vi provveda o puรฒ decidere che una delle condizioni di cui al paragrafo 3 รจ soddisfatta.

Per capire quanto sia semplice, se non si adottano le corrette misure di sicurezza, subire un data-breach, basti pensare al semplice virus sul nostro computer o ad un malfunzionamento del nostro sito internet che metta in chiaro gli eventuali dati di utenti che siano stati memorizzati nel database del sito web.

Ci sono migliaia di siti internet che subiscono attacchi informatici e moltissimi di questi hanno al loro interno dati soggetti al GDPR.

Cta Gdpr

Linee guida da adottare in caso di Data-Breach

Vista la completezza di informazioni presente sul sito del Garante, preferisco rimandarvi alle sue pagine.

> Vai alle pagine del Garante <

WordPress Gdpr: Come adeguare il sito web al gdpr

Alle indicazioni che abbiamo finora fornito bisogna aggiungerne alcune specifiche per i siti che utilizzano WordPress come architettura di base (che, secondo quanto riportato dal sito w3techs.com sono oltre il 30% del totale). Se non sai esattamente di cosa stiamo parlando, forse potresti essere interessato a capire in quali casi lโ€™utilizzo di WordPress coinvolge lโ€™applicazione delle norme sulla Privacy. Schematizzando, ciรฒ avviene in tutti i casi in cui:

  • per gestire il sito e le sue funzionalitร  รจ necessario chiedere dei dati agli utenti;
  • รจ necessario consentire lโ€™accesso di tali dati ad altre persone che lavorano sul tuo sito;
  • in alternativa, utilizzi dei plugin che comportano il trattamento dei dati personali come sopra descritto.

Quando si verifica una o piรน delle condizioni citate, sei obbligato a rispettare le norme e gli accorgimenti relativi allโ€™aggiornamento del tuo sito agli standard richiesti dalla GDPR.

In questo caso soccorrono le recenti modifiche operate dallo stesso team WordPress, che prima del 25 maggio 2018, รจ intervenuto per aggiornare il codice del CMS alle normative richieste dal GDPR.

A tal proposito, il servizio WordPress ha inserito una serie di filtri che permettono di indicare il modo di gestione e archiviazione da parte dei plugin dei dati personali degli utenti: in questo caso, tutto quello che devi fare รจ aggiornare il programma alla sua piรน recente versione, che giร  include tutti i protocolli adeguati alla privacy policy e alla gestione dei dati.

Tra le novitร  piรน importanti segnaliamo:

  • lโ€™inserimento di un apposito form per consentire agli utenti il salvataggio dei propri dati tramite cookie ogni volta che si commenta un articolo (tramite lโ€™opzione “Salva il mio nome, email e sito web per la prossima volta”);
  • la previsione, per il proprietario del sito, di unโ€™apposita pagina in cui inserire la Privacy Policy, che verrร  visualizzata dagli utenti nelle pagine di accesso e di registrazione;
  • lโ€™implementazione di un sistema di esportazione dei dati personali degli utenti, da parte del gestore del sito, in un apposito file zip;
  • lโ€™implementazione di un sistema che permette al gestore di cancellare i dati personali raccolti, inclusi quelli trattati dai plugin.

Gdpr e blog: cosa dice la normativa

Chiaramente, ad integrazione di quanto abbiamo detto finora, gli unici dati che utilizzerai in qualitร  di blogger sono quelli strettamente personali: dunque, non dovrai prestare attenzione ai dati genetici, ai dati bancari, sulla salute e cosรฌ via.

Tutto quello che ti interessa, come blogger, sono le informazioni di identificazione (nickname, e-mail, eventualmente foto, data di nascita e indirizzo fisico).

Anche in questo caso, dovrai fornire ai tuoi utenti unโ€™informativa che indichi quali dati vengono raccolti, per quanto tempo, da chi e come vengono conservati.

Se, in particolare, utilizzi unโ€™architettura WordPress per il tuo blog, allora puoi trovare le principali risposte nel paragrafo precedente. Per tutti gli altri casi o per i servizi esterni (come Jetpack, Google Analytics o Google Adsense, i collegamenti social, le mailing list, e cosรฌ via), invece, dovrai predisporre delle check box specifiche (non precompilate) e salvare i log che ti permettono di dimostrare lโ€™avvenuta prestazione del consenso.

Solitamente, perรฒ, tutto questo avviene giร  in automatico da parte dei provider dei servizi (di commenti, di newsletter o di mailing) utilizzati, per cui lโ€™adempimento si traduce in realtร  nel tenere aggiornati i plugin.

La parte piรน importante a carico del blogger sta quindi nella predisposizione dellโ€™informativa privacy in tutti i moduli di contatto e di registrazione, dal momento che si tratta dei processi sensibili in cui avviene lo scambio di dati personali su un blog.

Lโ€™informativa dovrร  essere facilmente leggibile e accessibile da parte degli interessati, ricordando che dovrai personalizzare la policy in base alle diverse finalitร , come: cookies, commenti, iscrizione al blog, social network, newsletter, affiliazioni e cosรฌ via.

Per quanto riguarda, infine, la gestione dei cookie, potresti decidere di bloccarli tramite un apposito plugin (come Cookiebot ); se, invece, ritieni che siano utili alla tua attivitร , ti consigliamo di adottare un plugin che renda facilmente reperibile il link alla privacy policy che hai predisposto.

Norma Gdpr: le sanzioni

Il quadro sanzionatorio del GDPR รจ piuttosto complesso ed articolato, con parti che ancora oggi lasciano dubbi interpretativi. L’ autoritร  di controllo รจ il Garante della Privacy, che si avvarrร  delle forze dell’ ordine per le verifiche sulle segnalazioni giunte dai privati cittadini o rilevate dai siti internet.

Le sanzioni, secondo l’ articolo 83 del GDPR, si dividono in due gruppi.

1 ) Violazioni di minore gravitร  Per le quali sono previste sanzioni amministrative fino a 10 milioni di euro per le imprese o fino al 2% del fatturato mondiale dell’anno precedente.

Viene irrorata la sanzione nei seguenti casi:

  • violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della societร  dellโ€™informazione;
  • trattamento illecito di dati personali che non richiede lโ€™identificazione dellโ€™interessato;
  • mancata o errata notificazione e/o comunicazione di un data breach allโ€™Autoritร  nazionale competente;
  • violazione dellโ€™obbligo di nomina del DPO;
  • mancata applicazione di misure di sicurezza.

2) Violazioni di maggiore gravitร  Per le quali sono previste sanzioni amministrative fino a 20 milioni di euro per le imprese o fino al 4% del fatturato mondiale dell’ anno precedente.

Viene irrorata la sanzione nei seguenti casi:

  • inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da unโ€™Autoritร  nazionale competente;
  • trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.

L’ importo delle sanzioni รจ stabilito dal Garante della Privacy che, in ottemperanza a quanto stabilito dall’ Art. 83 del Gdpr, deve valutare, caso per caso ed irrorare sanzioni che siano effettive, proporzionate e dissuasive.

Recentemente รจ stato emesso il Decreto 101/2018 dell’ 8 Agosto, che stabilisce, secondo quanto richiesto dal GDPR,  le sanzioni penali da applicarsi nei casi previsti.

Il decreto chiarifica i casi in cui saranno emesse sanzioni penali che sono:

  • Trattamento illecito dei dati
  • Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
  • Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala 
  • Falsitร  nelle dichiarazioni al Garante e interruzione dellโ€™esecuzione dei compiti o dellโ€™esercizio dei poteri del Garante 
  • Inosservanza dei provvedimenti del Garante

Vale la pena ricordare inoltre, che oltre le sanzioni qui sopra indicate, ogni persona che si vede ledere la propria privacy, ai sensi dell’ Art. 82 del GDPR, puรฒ richiedere un risarcimento danno al titolare del trattamento, commisurata alla violazione dei suoi dati.

A chi rivolgersi per adeguarsi al gdpr?

Per adeguarsi al GDPR, non รจ strettamente necessario rivolgersi a consulenti esterni. I titolari del trattamento dati, studiando la normativa e leggendo tutte le linee guida del Garante della Privacy, possono adeguare la propria azienda ed ottemperare a quanto previsto per i propri siti web.

E’ utile che preciso che l’ adeguamento del sito web al GDPR รจ solo la fase conclusiva dell’ intero adeguamento dalla normativa.

Purtroppo leggo spessissimo, sopratutto in gruppi di discussione, utenti o peggio webmaster e consulenti, preoccuparsi solo di come adeguare il sito web, come se questa fosse l’ unica cosa da fare.

Un corretto adeguamento al GDPR necessita delle seguenti fasi:

  • Auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy
  • Gestione Accountability con lโ€™ identificazione dellโ€™ organigramma di trattamenti e relativi flussi dati
  • Analisi dei rischi fisici e dei rischi logici
  • Gap Analysis ( analisi che evidenzia quanto รจ distante la tua azienda da un corretto adeguamento GDPR )
  • Redazione del registro dei trattamenti
  • Redazione delle lettere di incarico
  • Redazione del registro dei consensi
  • Redazione analisi dei rischi
  • Produzione documentazione di adeguamento
  • Eventuali adeguamenti tecnici ( in questa sezione ricade l’ adeguamento del proprio sito web )

queste sono solo alcune delle fasi da svolgere.

Altre se ne potrebbero aggiungere, in base alla complessitร  dei dati trattati o della grandezza dell’ azienda da adeguare.

Spesso perรฒ, la normativa risulta di difficile comprensione o di ostica applicazione. In questi casi รจ necessario, o quasi caldamente consigliato, rivolgersi a consulenti preparati o al proprio legale di fiducia.Queste due categorie sono abilitate al supporto dei clienti per l’ adeguamento alla normativa GDPR.

Qualora tu ti voglia rivolgere ad un consulente, verifica sempre le sue abilitazioni o l’ appartenenza ad associazioni riconosciute.

Ad esempio, la mia azienda It’s Genius Srl รจ membra di FederPrivacy oltre ad essere rivenditore autorizzato di PrivacyLab, il primo software per la privacy in cloud certificato a livello europeo UNICERT con assicurazione che copre gli errori tecnici e si occupa di adeguamenti privacy dal 2004.

Software privacy per analisi gratuita GDPR

Al termine di questo lungo articolo, per premiare la tua attenzione e dedizione, voglio omaggiarti della licenza base di Privacy Lab , miglior software per gdpr, dal mio punto di vista, che rimarrร  gratuita e ti permetterร  di:

  • fare l’ Audit e l’ analisi della tua azienda
  • fare il censimento dei dati e degli archivi
  • fare la Gap Analisys
  • fare l’ analisi dei rischi
  • verificare le misure di sicurezza

CLICCA QUI PER ACCEDERE ALLA LICENZA GRATUITA BASE DI PRIVACY LAB

AGGIORNAMENTO: Leggi l’aggiornamento che รจ stato emanato dal Comitato Europeo per la protezione dei dati in data 4 Maggio 2020

Cta Gdpr

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Oppure chiamami gratuitamente:

Numero Verde Max Valle