Adeguare un sito web al GDPR è un procedimento complesso, che richiede un monitoraggio costante e sistematico degli strumenti utilizzati e dei dati trattati.

Di seguito proponiamo i principali elementi per rendere "compliance" un sito web, ricordando comunque che è conveniente affidarsi sempre a tecnici esperti.

1. L'informativa sulla Privacy assicura la trasparenza e la correttezza del trattamento dei dati degli utenti, sia di quelli che navigano semplicemente all'interno del sito, che di quelli che hanno un'interazione maggiore. L'informativa, redatta secondo quanto imposto dal GDPR, deve poter essere accessibile da ogni pagina, modulo o form del sito, per cui il consiglio è quello di creare una pagina privacy specifica e mettere un link nel footer del sito e in tutti i moduli di richiesta dati e/o consenso.
2. I cookies, sono dei marcatori temporali che consentono al sito internet di riconoscere l'utente e conservarne informazioni specifiche. Si distinguono in diverse categorie e per alcuni di essi è necessario chiedere il consenso all'utente, che deve essere sempre informato in merito al loro uso.
3. I moduli o form di richiesta dati dell'utente non devono essere ridondanti e i dati richiesti devono essere necessari per la sola finalità di raccolta (minimizzazione). E' importante prevedere una casella di spunta per la presa visione dell'informativa, permettendo la consultazione della stessa tramite link o altra modalità ritenuta idonea. Per i trattamenti che necessitano del consenso, inserire una casella di conferma o di revoca.
4. I plugin sono quelle applicazioni che permettono al tuo sito di aggiungere facilmente delle funzionalità senza dover scrivere delle righe di codice (per permettere, ad esempio, di controllare le attività di spam). Prima di istallarne uno, verifica che sia conforme al GDPR e, normalmente, questo viene specificato dal produttore.
5. Il CMS (Content Management System) è l'editor che permette di gestire e aggiornare i contenuti, pagine e articoli del blog. Verifica che sia aggiornato, protetto e conforme al GDPR. Nel caso in cui il sito sia stato curato da una Web Agency, controllare che nel contratto sia prevista la manutenzione e l'aggiornamento.
6. Per le pagine di checkout, ovvero quelle che servono per il controllo dei dati necessari alla finalizzazione di un ordine on-line, valgono gli aspetti del punto 3: non eccedere nella richiesta di dati, richiedere conferma dell'avvenuta lettura dell'informativa, richiedere il consenso ove necessario e verificare sempre che le caselle di spunta non siano pre-impostate.
7. E' necessario controllare che i consensi raccolti prima del 25 maggio 2018, siano stati ottenuti rispettando i principi del GDPR, altrimenti è necessario chiedere un nuovo consenso.
8. Il sistema di back-up dovrebbe essere schedulato (meglio se giornaliero) sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti. Assicurati di avere più copie dello stesso back-up in posti diversi (Locale, Cloud e Off-line), limita l'accesso ai dati di back-up alle sole persone e/o Responsabili autorizzati o nominati; usa supporti, dischi o sistemi che prevedono la cifratura dei dati, e testa i tuoi back-up periodicamente con prove di restore dei dati.
9. Assegna le nomine ai partner che trattano i dati raccolti tramite il sito e ai dipendenti/collaboratori che in azienda ne hanno accesso. Si tenga presente che i "big player" come Google, Facebook, Mailchimp…, hanno già predisposto tali nomine nei loro contratti di servizio base.

Consigliamo infine, a chi ha un sito Web, di non porsi solo il problema di evitare le sanzioni, ma di mantenere anche una buona Web Reputation.

Se non ti sei ancora adeguato al GDPR (Regolamento Generale sulla Protezione dei Dati), contattaci e richiedi una consulenza gratuita.

Vedi anche

• Privacy - GDPR