sito-web-conforme-gdpr

Tratto dal mio articolo su Cybersecurity360

Rendere il sito conforme al GDPR non è così immediato, anche perché il Regolamento UE non ci viene molto in aiuto. Ecco alcuni consigli pratici e strumenti da utilizzare!

In attesa del nuovo Regolamento ePrivacy, che aspettiamo da tempo e, ci potrebbe aiutare ad interpretare con più precisione le vaghe indicazioni del Regolamento UE, tutto quello che riguarda il Web e i Social può diventare facile e pericolosa preda dell’interpretazione.

I siti Web, in particolare, essendo esposti pubblicamente, devono essere curati con la massima attenzione possibile, non solo in termini di adeguamento alle normative privacy e protezione dei dati ma, anche per mantenere una buona WEB Reputation, indipendentemente dal GDPR.

Pensiamo infatti a cosa può accadere ad un sito di e-commerce a cui vengano violati i dati delle carte di credito degli utenti piuttosto che un blog dove si parla di salute o di viaggi e vengano carpiti i dati sensibili degli iscritti o di chi semplicemente commenta in chat.

Mettere in sicurezza e a norma il sito Web deve quindi essere una priorità, non solo per il rischio di sanzioni!

Questa GUIDA in 10 PUNTI, non ha la pretesa di essere un manuale operativo, anche perché ci sono fior di libri di esperti colleghi in materia, piuttosto dovrebbe servire a verificare se quello che si è fatto è corretto e cosa manca ancora da fare.

1. L’informativa privacy

L’informativa sulla privacy è, sicuramente, il documento più importante perché da lì si può capire se il Titolare del sito web ha lavorato scrupolosamente o sommariamente, magari “scopiazzando” qua là informative dagli altri siti.

L’informativa ci dice, e ci deve dire, in modo esaustivo, chiaro e trasparente, tutto quello che abbiamo fatto, che facciamo e che faremo con i dati degli utenti, da quelli che semplicemente navigano il sito fino a quelli che con il sito hanno un’interazione maggiore come gli acquirenti on-line o i sottoscrittori di un servizio (es. newsletter).

In definitiva con l’informativa rendi note all’utente, fruitore del tuo sito web, le seguenti tipologie di informazioni:

  1. quali dati raccogli;
  2. quanti dati raccogli;
  3. in che modalità tratti i suoi dati;
  4. per che finalità raccogli i suoi dati;
  5. Se il trattamento è lecito e per quale motivo;
  6. per quanto tempo conservi i dati;
  7. come proteggi i suoi dati;
  8. chi può avere accesso ai dati;
  9. a chi possono venire comunicati e/o trasferiti i dati;
  10. come può contattare il Titolare, il suo o i suoi Responsabili e, se nominato, il Responsabile della Protezione Dati o DPO.

Quindi, se l’informativa è così importante vediamo bene, nel dettaglio, quali informazioni deve contenere:

  • informazioni generali sull’azienda od organizzazione (nel caso di un ente), quindi una descrizione sintetica dell’attività e della sua mission;
  • anche se il Gdpr incentiva l’uso di un linguaggio semplice e diretto, è sempre bene mettere un link e un brevissimo cenno alle leggi a cui l’informativa fa riferimento come, ovviamente, il Regolamento UE 2016/679 o GDPR, e le altre leggi italiane sulla protezione dei dati come il D.lgs. 196/2003 (ancora parzialmente in vigore) e suo novellato D.lgs. 101/2018 (Settembre 2018);
  • quali tipologie di dati vengono richiesti tramite i moduli di contatto
  • Molto importanti sono le finalità per cui vengono utilizzati i dati e, a questo proposito è bene sapere che le finalità devono essere ben distinte, sopratutto se necessitano di un consenso;

Le FINALITÀ devono sempre essere ben DISTINTE, sopratutto se necessitano di consenso!

  • Indicare se il trattamento è lecito e quindi, su quali BASI GIURIDICHE poggiano le finalità per cui si raccolgono i dati (Es. in base ad Obblighi Contrattuali o pre-contrattuali, Obblighi di legge, Legittimo Interesse, Pubblico Interesse o in base al Consenso dell’interessato);
  • se c’è un processo di checkout dei dati per finalizzare un acquisto on-line: che tipologie di dati vengono richiesti attraverso la pagina di checkout e il loro scopo (finalità);
  • se esiste un processo di profilazione dei dati in base al quale vengono prese decisioni automatiche ovvero senza intervento umano (es. decisione di fornire o meno il servizio richiesto sulla base di un algoritmo);
  • informazioni sui servizi Cloud che ospitano e/o gestiscono il sito (Hosting Provider),  in particolar modo se i Data Center risiedono all’interno della UE o fuori dalla UE (in quest’ultimo caso è necessario fornire le garanzie di adeguatezza es. Privacy Shield per gli USA);
  • indicare i fornitori di terze parti, (Responsabili Esterni) che trattano i dati dei tuoi utenti (ad es. Activecampaign, Mailchimp, MailUP, Google, PayPal, Credit Check) e link alle rispettive pagine privacy.
  • link alle rispettive pagine privacy dei fornitori di terze parti che hanno servizi attivi sul tuo sito web mediante cookies di cui citiamo i più utilizzati: Google Analytics, Google AdWords, il Pixel di Facebook, servizi di remarketing, servizi che tengono traccia dei dati degli utenti finali ;
  • a chi potrebbero essere trasferiti (altri Titolari in Paesi extra UE) e/o comunicati i dati (Es. Enti Pubblici, Forze di Polizia, Responsabili esterni ecc.);
  • chi nella tua azienda accede ai dati (dipendenti autorizzati interni, collaboratori o Responsabili esterni);
  • link a tutti i plugin, applicazioni o software che memorizzano i dati dei tuoi utenti (ad esempio Woocommerce, Akismet antispam, subscribe to comments ecc.);

ESERCIZIO dei DIRITTI dell’Interessato

L’informativa deve inoltre indicare chiaramente quali sono i Diritti dell’utente e come può esercitarli.

Vediamo quali possono essere le opzioni di esercizio dei diritti più frequenti:

  • modulo on-line o off-line dove l’utente può esplicitare la propria richiesta;
  • richiesta dell’utente di accedere e/o scaricare (Diritto di accesso) tutti i dati memorizzati sul tuo sito web;
  • richiesta dell’utente di cancellare qualsiasi tipo di dato che lo riguardano (Diritto all’oblio);
  • richiesta di limitare (Diritto di opposizione) un determinato trattamento per esempio in merito alla profilazione.

Infine, i dati di contatto del Titolare del Trattamento e del DPO (Data Protection Officer o Responsabile Protezione Dati se presente) indirizzo, Partita IVA, sede, mail e telefono sono sufficienti.

L’informativa deve essere BEN VISIBILE ed ACCESSIBILE da ogni parte del sito e in tutte le form di richiesta dati!

Troppo spesso si vedono siti web dove per trovare l’informativa privacy bisogna girare in lungo e in largo fra le pagine per poi trovare un “linkino” nascosto in un angolino perché “…tanto occupa solo spazio e non la legge nessuno!”.

L’informativa deve poter essere accessibile da ogni paginamodulo o form del sito per cui, il consiglio è quello di creare una pagina privacy specifica, mettere un link nel footer del sito (barra sempre presente in basso) ed in tutti i moduli di richiesta dati e/o consenso.

Siamo d’accordo che la privacy non è certo il “core business” dell’azienda ma, per quei “pochi” che se la vogliono leggere devono poterla trovare agevolmente.

Il sito è il nostro “biglietto da visita”, non solo per clienti e potenziali ma, anche per chi può decidere di controllarci, per i quali presentarsi subito male, con un’informativa incompleta, non aggiornata, con riferimenti alle vecchie normative, vuol dire proprio che non si ha la minima attenzione agli aspetti della Privacy.

2. I Cookies

Quanti fra di voi sanno veramente cosa sono i COOKIES e a cosa servono? Probabilmente pochissimi, anche se tutti ci incappiamo dentro quando visitiamo un sito nuovo e ci appare quell’odioso banner che ci chiede di cliccare se no non possiamo proseguire. E ovviamente, clicchiamo tutti come dei pazzi, senza sapere cosa facciamo, pur di poter proseguire per scaricare in fretta la ricetta del “soufflè alla cioccolata” che ci piace tanto.

Quel piccolo gesto, apparentemente innocente, in realtà può dare il via libera a dei tenaci “segugi”, ovvero i cookies, che cominciano a tracciare tutto quello che facciamo in quel sito e utilizzano quei dati per scopi diversi; dai più innocui e meramente statistici o funzionali a quelli un po’ più invasivi della nostra privacy, compreso quello di poterci rincorrere letteralmente in tutti i siti che visitiamo, anche per diverso tempo, per riproporci quel “paio di calzini” che non abbiamo comprato mesi fa.

Cosa sono i cookies?

Quindi, per chi non lo sa, i cookies sono dei semplici marcatori software che consentono di rilevare dati dell’utente quali indirizzo IP, tipo di dispositivo e browser, posizione geografica, data e ora, comportamenti sul sito, pagine visitate, click e così via…

Alcuni di questi cookies sono installati e gestiti direttamente dal gestore del sito e sono strettamente funzionali per la fruizione del sito stesso (cookies tecnici) o per scopi statistici (cookies analitici e di profilazione), altri invece cosiddetti di “terze parti”, sono installati e gestiti da società esterne al sito come ad esempio Google Ads, Facebook, LInkedin etc..

Come distinguere i cookies e gestirli nel sito

Essendo ancora in attesa del nuovo Regolamento ePrivacy, su cui si stanno scannando i Big mondiali del web per ritardarla e limitarla il più possibile, su tutto quello che concerne il mondo Web, non è proprio chiarissimo cosa bisogna fare; in particolare, sulle modalità e tempistiche della loro attivazione nel momento in cui l’utente entra nel sito.

In effetti sui cookie bisognerebbe scrivere un articolo a parte ma qui, ci limitiamo a dire l’essenziale basandoci sull’unica normativa specifica attualmente in vigore ovvero la Direttiva ePrivacy del 2002 meglio conosciuta come “Cookie law” nonché sul provvedimento del Garante n.229/2014:

Definisci quali cookie usi nel tuo sito e per cosa servono distinti in:

  • Cookie tecnici di “navigazione” o di “sessione” (quelli strettamente necessari all’uso del sito);
  • Cookie Analytics assimilabili a quelli tecnici che rilevano dati statistici in forma aggregata (es. nr. visitatori, orari, area geografica ecc.)
  • Cookie di profilazione (quelli che permettono di creare un profilo in base ai comportamenti dell’utente sul tuo sito);
  • Cookie di profilazione di terze parti (come sopra ma gestiti da APP di società terze es. Google Analytics se viene rilevato anche l’indirizzo IP in chiaro).

I soli cookie tecnici analytics NON necessitano di consenso, basta un semplice banner di cui un esempio:

“Questo sito usa solo cookie tecnici strettamente indispensabili alla navigazione, se vuoi sapere quali leggi l’informativa link

Per i cookie di profilazione raccolti direttamente dal tuo sito è necessario chiedere un consenso inserendo nello stesso banner una frase che informa della presenza di questi cookie con un messaggio del tipo:

“Questo sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link). Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie… OK

Per i cookie di profilazione di terze parti è necessario chiedere un ulteriore consenso. Se però usi, ad esempio, solo Google Analytics (come la maggior parte dei siti) rendendo anonimo l’indirizzo IP il consenso non sarebbe necessario.

Come deve essere il Cookie Banner

Il COOKIE BANNER deve quindi avere le seguenti caratteristiche:

  • dimensioni tali da rendere il banner facilmente visibile, o – in alternativa – espandibile;
  • font più evidenti rispetto a quello del sito;
  • un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso;
  • deve comparire immediatamente alla prima visita dell’utente sul sito;

Il consenso ai cookie può avvenire:

  • compiendo un’azione di scorrimento (scroll-down della pagina);
  • o facendo clic su uno dei link interni della pagina;
  • o facendo clic (preferibile) sul tasto “OK” o sul tasto “X” di chiusura banner – che può essere posizionato in basso o in alto a destra.
  • Nei moduli cookie più strutturati (vedi esempio sotto) ci possono anche essere dei bottomscroll di abilitazione o disabilitazione per ogni cookie che necessita di consenso, com’è molto probabile che dovrà essere una volta approvata la E-Privacy (quando? Non si sa!).

Infine,l’informativa cookie deve essere parte integrante o comunque riconducibile (tramite link) all’informativa generale di cui sopra e deve contenere:

  • una descrizione sintetica, usando pochi tecnicismi, di cosa sono i cookie e come possono essere gestiti tramite le impostazioni del browser;
  • la spiegazione di come viene prestato il consenso (scroll-down, tasto OK o X e link);
  • la descrizione delle categorie di cookie tecnici e analytics e relative finalità;
  • la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
  • la descrizione dei cookie di terza parte e, per ognuno di questi (identificabile anche tramite il nome commerciale, ad esempio: Facebook, Google ecc.) la descrizione della finalità del cookie oltre a:
    • iI link all’informativa e al modulo di consenso della terza parte con la quale si è stipulato un accordo (spesso on-line) per l’installazione dei cookie sul proprio sito;
    • il link all’informativa degli intermediari (solitamente il concessionario di pubblicità del sito) se presenti;

Ecco un semplice esempio di BANNER

cookie-banner-corretto-gdpr

STRUMENTI

Un servizio molto utile che consente di analizzare tutti i cookie installati nel tuo sito è CookieBot che, oltretutto, ti permette di configurare ed installare il banner da inserire con la possibilità per l’utente di abilitare o meno i cookie non necessari, come quelli di terze partiprofilazione e marketing con un semplice click.

Nell’immagine sotto puoi vedere come appare il BANNER la prima volta che entri nel sito:

cookie-banner-compliance-gdpr

Il banner ridotto si può poi espandere cliccando su “Mostra Dettagli” esplodendo una tabella con una descrizione dettagliata per ogni cookie installato nel sito suddivisi in base alle 4 categorie impostate nel banner ridotto:

cookie-banner-completo-cookiebot

3. Moduli e form di richiesta dati

Particolare attenzione deve essere posta a quelle parti del sito che richiedono dati personali ovvero: moduli di contatto, form di iscrizione a newsletter, form di check-out per completare acquisti on-line etc.

Troppo spesso si vedono form di richiesta dati eccessive, che chiedono troppi dati rispetto alle finalità per cui sono raccolti andando contro ad uno dei principi fondamentali del Gdpr quello di  “minimizzazione e proporzionalità”.

Se per esempio devi scegliere i campi da inserire in una form d’iscrizione alla newsletter puoi chiedere, oltre ovviamente alla mail, il nome e magari anche il cognome o la città e l’azienda, o anche i suoi interessi per personalizzare meglio la comunicazione ma, non sicuramente il telefono perché non servirebbe per raggiungere quella finalità specifica.

Se vuoi avere quindi una form di richiesta dati secondo il Gdpr devi seguire queste 4 semplici “regolette:

  1. non eccedere nella richiesta di dati che non siano strettamente necessari al raggiungimento della finalità;
  2. prevedi sempre una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy”;
  3. Prevedi una casella di consenso diversa per ogni specifica finalità (ad esempio: una per l’invio di comunicazioni marketing, un’altra per il consenso alla profilazione e magari un’altra per il trasferimento dati ad altri Titolari)
  4. Le caselle NON devono essere PRE-SPUNTATE o impostate sul nel caso ci sia l’opzione Si/No.

STRUMENTI

Uno strumento che puoi usare per gestire facilmente e in un unico posto i consensi per le tue form di raccolta dati con WordPress è WP GDPR Compliance di cui sotto puoi vedere una schermata:

wp-gdpr-compliance-plugin

4. Plugin e applicazioni

I plugin sono quelle applicazioni che permettono di aggiungere facilmente delle funzionalità al tuo sito senza dover scrivere delle righe di codice

I CMS più comuni come ad esempio, WordPress e Magento, possono disporre di migliaia di plugin di cui cito i più famosi come ad esempio Jetpack ed Akismet che permettono di controllare le attività di Spam, oppure YoastSeo che ti aiuta nell’ottimizzazione dei contenuti per i motori di ricerca, WooCommerce che aggiunge le funzionalità commercio on-line ai siti WordPress, PixelYourSite per agganciare il tuo sito alle campagne di Facebook Ads, o WPCache per ottimizzarne le prestazioni e tanti altri.

Quelli che ho appena elencato sono sicuri ma, di plugin ed applicazioni ce ne sono, come detto prima, centinaia se non migliaia e, prima di installarne uno è bene verificare sempre che abbia i requisiti per essere conforme al GDPR, un’informazione che ogni produttore serio inserisce sempre fra le caratteristiche o nella sua privacy policy.

Particolare attenzione va posta ai servizi di Newsletter esterni come Mailchimp, MailUp e GetResponse, tanto per citare i più noti, per i quali spesso si utilizzano dei plugin di terze parti per integrare le loro forms dentro il sito web.

Se da un lato utilizzare un plugin per integrare questi servizi può sembrare più comodo e rapido dall’altro bisogna sempre porsi il problema della sicurezza e della tracciabilità dei consensi.

Quindi, anche qui, è sempre bene verificare la GDPR compliance di questi plugin, altrimenti fatevi aiutare da un programmatore per inserire il codice HTML nativo che proviene direttamente dalla piattaforma della newsletter e che serve per generare la form.

Se un plugin non fornisce da nessuna parte indicazioni in merito alla sua conformità al GDPR stanne alla larga e trovane uno sostitutivo!

5. L’editor di contenuti: il CMS

Il CMS (Content Management System) è l’editor che ti permette di gestire e aggiornare i contenuti, pagine e articoli del blog, ed è fondamentale che sia aggiornato e protetto.

Purtroppo, se non hai un contratto di manutenzione ben chiaro che definisce le modalità di aggiornamento, molte web agency, una volta consegnato il sito, non se ne curano più, lasciandolo indietro con tutti gli aggiornamenti compresi quelli di sicurezza, quindi:

  • assicurati che il tuo CMS sia aggiornato e conforme al GDPR soprattutto se è di tecnologia proprietaria e non appartiene a quelli più diffusi come Worpress, Joomla, Magento, Shopify etc.
  • controlla se il contratto che hai con la tua Web Agency prevede la manutenzione, gli aggiornamenti sia del CMS che dei relativi plugin installati. Nel caso rinnovalo con questa opzione o stipula un nuovo contratto prevedendo anche le clausole di Responsabile Esterno del Trattamento (vedi punto 10).

6. Pagine di CHECK-OUT

Per le pagine di checkout, ovvero quelle che servono per il controllo dei dati necessari alla finalizzazione di un ordine on-line, valgono più o meno gli stessi criteri già indicati al punto 3 per i moduli e le form di contatto quindi, anche qui:

  • non eccedere nel richiedere dati non strettamente funzionali alla finalità di checkout;
  • prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy” …a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire i dati tutte le volte;
  • prevedere caselle di richieste consenso per ogni ulteriore finalità di trattamento dati come ad esempio per l’invio di comunicazioni marketing, profilazione, trasferimento dati in paesi extra UE, sempre che non l’abbia già fatto in precedenza e tu ne abbia traccia;
  • controlla che tutte le caselle NON siano pre-spuntate o impostate sul si nel caso ci sia l’opzione si/no.

7. Il Consenso

Una obiezione che spesso mi viene fatta è:

“Ma io il consenso dell’utente ce l’ho già da prima del Gdpr, lo devo richiedere di nuovo?”

Se i consensi sono stati ottenuti prima del 25 maggio 2018 (data di applicazione del GDPR) non è detto che tu li debba richiedere di nuovo.

È comunque indispensabile controllare che questi consensi siano stati ottenuti rispettando i principi del GDPR altrimenti bisogna chiedere un nuovo consenso, soprattutto nei casi sottoelencati, peraltro molto comuni ovvero:

  • se c’era un consenso unico che comprendeva più finalità (es. marketing, profilazione e trasferimento a terzi);
  • se avevi le caselle dei consensi pre-spuntate;
  • se non sei in grado di dimostrare il consenso;
  • se il consenso è molto vecchio rispetto alla tipologia di prodotto che tratti (es. se sei un’agenzia immobiliare il consenso può essere valido anche 10/20 anni perché tratti un bene durevole mentre se vendi pronto moda sarebbe bene rinnovarlo massimo ogni 24/36 mesi).

Per ottenere un nuovo consenso è possibile inviare una mail alla tua lista (vedi anche articolo su email-marketing) , specificando che hai necessità di confermare i dati forniti in precedenza tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione libera ed inequivocabile dell’utente per ogni finalità quindi, in breve:

  1. invia una mail con la nuova informativa per chiedere conferma dei dati e un nuovo consenso;
  2. cancella dalla lista i nominativi che non ti hanno rinnovato il consenso;

Non ti crucciare troppo se la tua mailing list si assottiglia un po’! E’ una buona occasione per fare una verifica del tuo DataBase e liberarti di quelli che ti hanno già messo nello spam!

8. BACKUP

Se hai un sito con un buon traffico stai tranquillo…prima o poi lo attaccheranno!

Non ti voglio spaventare però oramai, gli attacchi ai siti con l’obiettivo di utilizzarli per scopi illeciti, ad esempio dirottando il traffico su siti esterni o per carpire i dati degli utenti, sono nell’ordine di qualche migliaio al giorno.

Per quanto puoi disporre di sistemi di protezione come Plugin di sicurezza tipo “Wordfence“, “Akismet” o similari non devi mai assolutamente sentirti al sicuro.

Il modo migliore per garantirti di far ripartire velocemente il tuo sito, di non perdere irrimediabilmente dati personali ed incorrere inevitabilmente in un Data Breach con conseguente segnalazione al Garante entro 72 ore, è quello di avere sempre a disposizione un BACKUP recente e consistente seguendo questi pochi consigli:

Requisiti per avere un buon Backup del sito web

  • Il back-up deve essere automatico e schedulato (meglio se giornaliero) sia per i contenuti del tuo sito (articoli, pagine e immagini) ma, sopratutto per i database che contengono i dati degli utenti;
  • assicurati di avere più copie dello stesso back-up (almeno tre), in più posti diversi (Locale, Cloud e Off-line);
  • limita l’accesso ai dati di back-up alle sole persone e/o Responsabili autorizzati o nominati;
  • usa supporti, dischi o sistemi che prevedono la cifratura dei dati sopratutto se hai dati particolari o sensibili (occhio però a non perdere la password di decriptazione altrimenti sono dolori seri);
  • testa i tuoi back-up periodicamente (minimo una volta all’anno) con prove di restore dei dati atti a verificarne l’integrità e documenta sempre tutto quando lo fai;
  • Se affidi il backup alla web agency fattene sempre dare una copia di sicurezza e verificane la validità.

9. HOSTING del sito

Il GDPR dice chiaramente negli articoli da 44 a 46, che se i dati di un interessato residente nella UE vengono trasferiti verso paesi terzi che non forniscono adeguate garanzie di sicurezza e protezione dati è necessario sempre il consenso altrimenti il trattamento è illecito.

Dove risiedono i dati del sito è molto importante ai fini della Privacy

Assodato che oramai qualsiasi sito web si avvale di servizi Hosting consistenti in spazi server che risiedono presso Datacenter in Cloud sparsi per il mondo bisogna chiedersi DOVE fisicamente stanno questi dati.

La risposta, quando si parla di servizi Cloud, non è così semplice. Per garantire la BUSINESS CONTINUITY e il DISASTER RECOVERY molti fornitori Cloud replicano i dati su DataCenter ridondanti in giro per il mondo e, spesso neanche loro sanno dire con precisione dove sono questi dati.

Se questo da un lato è una garanzia per la salvaguardia del business, dall’altro pone il problema dei dati personali che risiedono in paesi terzi che non hanno normative chiare in merito alla Privacy come ad esempio Russia, Cina ed India.

È meglio quindi affidarsi a fornitori Cloud che dispongono di servizi HOSTING locati in DataCenter all’interno della UE o negli USA dove c’è il Privacy Shield e che lo dichiarano apertamente nelle loro policy.

In ogni caso, se vuoi per forza avvalerti di un servizio Hosting extra UE, devi dichiarare chiaramente la locazione nell’informativa indicando se il paese dove risiedono i dati fornisce garanzie di adeguatezza (la lista dei paesi la trovi nel sito del Garante Privacy) e, nel caso non ci siano queste garanzie, chiedere il consenso ai tuoi utenti al trasferimento dei dati in paesi extra Ue.

10. Autorizzati e Responsabili

Gli art. 28 e 29 del GDPR stabiliscono che, chiunque abbia accesso ai dati personali sotto l’autorità di un Titolare debba aver ricevuto un’adeguata istruzione e formazione mentre chi, tratta i dati per conto del Titolare stesso, utilizzando mezzi e strutture proprie, debba essere nominato Responsabile con un atto formale, un vero e proprio contratto dove vengono chiaramente descritti i trattamenti, le tipologie di dati, gli interessati, le modalità e, sopratutto, le istruzioni del Titolare in merito a procedure e misure di sicurezza.

Riassumendo quindi:

  1. individuarefornitori che trattano o in qualche modo accedono ai dati personali che transitano o vengono raccolti sul sito comead esempio: la Web Agency che cura il sito, il gestore del servizio Mail Marketing, il fornitore del servizio Hosting, il gestore dei pagamenti On-line, il servizio di Analytics ecc.;
  2. nominare i fornitori così individuati come Responsabili attraverso una DPA (Data Processing Agreement o Contratto di nomina a Responsabile) tenendo presente che, i “big player” come Microsoft,Google, Facebook, Mailchimp…, hanno già dei loro documenti standardizzati;
  3. individuaredipendenti o i collaboratori che in azienda hanno accesso ai dati che vengono raccolti dal sito;
  4. autorizzare i dipendenti/collaboratori che hanno accesso ai dati con un documento formale che contenga anche le istruzioni (mansionario) per trattare e proteggere correttamente i dati.
  5. Formare i dipendenti autorizzati sui principi di base del GDPR e sulle best practices di Sicurezza Informatica;
  6. Verificare con degli Audit periodici che i fornitori agiscano in ottemperanza al Regolamento e secondo le istruzioni impartite perché, la “carta” da sola non basta a manlevare il Titolare da qualsiasi responsabilità in caso di inadempienza del Responsabile.

Conclusione

Riepiloghiamo i 10 punti fondamentali per controllare che il tuo sito sia a norma:

  1. controlla l’informativa;
  2. controlla la parte sui cookie;
  3. metti a norma tutti moduli di richiesta dati;
  4. usa plugin conformi al GDPR;
  5. aggiorna e proteggi il tuo CMS;
  6. controlla le pagine di check-out come per i moduli;
  7. verifica e rinnova i consensi se necessario;
  8. fai un buon backup;
  9. scegli un buon Hosting possibilmente nella UE;
  10. procedi alle nomine ed autorizzazioni di responsabili autorizzati.

Il SITO WEB deve essere una PRIORITÀ in un progetto di GDPR Compliance perché, oltre a rassicurare gli utenti, quindi i vostri potenziali e futuri clienti, che i dati verranno trattati con la massima attenzione, serve anche dimostrare alle Autorità di Controllo che, potrebbero fare queste analisi con estrema facilità, almeno per quanto riguarda il sito web siete sensibili ed aggiornati in materia di disposizioni e normative privacy evitando quindi di accendere lampadine rosse che potrebbero far scattare ulteriori e più approfondite ispezioni.

Link all’articolo originale su Cybersecurity360

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.