Controllare GDPR del sito web

Stai sviluppando il sito web è non sai ancora della normativa GDPR ? Non spaventarti vediamo di controllare GDPR del sito web che stai costruendo e di renderlo conforme alle nuove normative europee GDPR .

Contattami se vuoi creare un sito web in regola con la normativa o se vuoi controllare il tuo sito web, assistenza prioritaria a chi non è adeguato!

Come noto, il GDPR (General Data Protection Regulation ossia “Regolamento generale sulla protezione dei dati”) è un regolamento della Commissione Europea (Regolamento UE 2016/679) col quale si è intervenuti in materia di dati personali per garantire una maggiore tutela ai diritti dei cittadini e dei residenti nei confini dell’Unione Europea.

Considerato che il Regolamento riguarda anche i siti web, i blog e gli e-commerce, come controllare GDPR del sito web? Ecco una breve guida con tutte le indicazini.

I Primi passi – Privacy Policy

controllare il gdpr del sito web - i primi passi

Vediamo tutte le azioni da sapere e da scrivere per controllare il GDRP del tuo sito web e adeguarci alle norme.

Dalla normativa GDPR dobbiamo scrivere la privacy policy del sito web che indichi come il nostro sito web , tratti i dati personali e se questi vengono ceduti a terzi.

In dettaglio devi spiegare:

  • quali dati personali raccoglie il sito;
  • perché vengono raccolti;
  • da chi vengono raccolto e trattati;
  • in che modo vengono ottenuti tali dati;
  • come e per quanto tempo verranno conservati;
  • se saranno ceduti a soggetti terzi e, in caso positivo, a quali condizioni.

Quindi devi indicare tutto ciò che avviene con le loro informazioni, in modo che gli utenti possano decidere se prestare il consenso o meno tramite il banner che devi inserire obbligatoriamente. Per farlo ci sono dei plugin che ti facilitano la vita, vedi i migliori plugin per banner GDPR !

A tal riguardo, si precisa che i dati personali sono tutte quelle informazioni che riguardano una persona fisica: il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.

Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati: la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.

Secondo Passo – Dettagli della Cookie Policy

controllare il gdpr del sito web - la cookie policy

La più grande differenza per i cookie in relazione al GDPR è costituita dal fatto che il consenso deve tradursi in una chiara azione affermativa degli utenti sia nel caso in cui il consenso venga fornito sia nel caso di rifiuto dello stesso consentendo però, allo stesso tempo, la continuazione della navigazione del sito.

Nella pratica, i banner che richiedono il consenso sui cookie possono considerarsi conformi al GDPR europeo solo se garantiscono che il consenso sia:

  • informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie, e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
  • esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva;
  • registrato: devi avere la prova del consenso;
  • reversibile: gli utenti, in qualsiasi momento, devono poter ritirare il loro consenso. Gli utenti del tuo sito web devono avere la possibilità di rifiutare i cookie e di continuare normalmente la navigazione sul tuo sito web.

Devi elencare chiaramente tutti i cookie presenti sul tuo sito , sia quelli di analytics, sia quelli social network o qualsiasi altro cookie tu faccia uso nel tuo sito web.

I Principi di Privacy

In linea di massima possiamo dire che il GDPR, seppur con una certa approssimazione (che lascerà non pochi dubbi in fase applicativa) traccia un perimetro molto netto e rigoroso statuendo alcuni principi di portata molto ampia e di natura decisamente innovativa.

Tra questi principi, un posto di primo piano è riservato ai concetti di “Privacy by design” e “Privacy by default”, i quali impongono al titolare del trattamento una protezione dei dati fin dalla progettazione del database e per impostazione predefinita, così come previsto nell’art.25 del Regolamento UE:

Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica
(…)

Vediamo, di seguito, come devono essere intesi i concetti esplicitati in questo articolo del regolamento UE:

  • Privacy by design: viene introdotto il concetto di “privacy by design”, cioè l’onere, per chi costruisce un database di informazioni personali, di organizzarlo e strutturarlo avendo ben in mente gli obblighi imposti dalla nuova normativa: eventuali problemi legati alla riservatezza dei dati, in altre parole, vanno prevenuti (e non corretti!) utilizzando tecniche adeguate come la pseudonimizzazione dei dati. In altre parole, qualora un soggetto intenda trattare dati altrui, deve prevedere un sistema che, sin dall’inizio dell’attività, riduca al minimo i rischi di una possibile violazioni dei dati raccolti.
  • Privacy by default: la quantità di dati raccolti ed il tempo di loro conservazione non deve eccedere il minimo necessario all’espletamento delle finalità perseguite dal trattamento. In quest’ambito diventa centrale il concetto di minimizzazione, cioè quel principio che impone la riduzione al “minimo indispensabile” dei dati richiesti obbligatoriamente in fase di iscrizione ad un servizio secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità dichiarate.

La responsabilità (accountability)

Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di accountability (impropriamente tradotto in italiano come “responsabilità del titolare del trattamento”).

Questo principio è sancito dall’articolo 24:

Articolo 24 – Responsabilità del titolare del trattamento
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
(…)

Il citato articolo prevede che il titolare del trattamento è tenuto ad adottare politiche e misure adeguate per garantire e dimostrare che il trattamento dei dati personali è conforme a quanto previsto dalla nuova normativa. Il principio di accountability, quindi, prevede che il titolare non debba solo adempiere, ma anche provare ogni singolo adempimento.

Un altro elemento centrale del principio di accountability è la discrezionalità (la norma parla di “misure tecniche e organizzative adeguate”): il titolare del trattamento, infatti, è libero di decidere quali modalità adottare per la protezione dei dati personali (il GDPR non offre alcun elenco tassativo) ma, allo stesso tempo, tale discrezionalità è accompagnata dall’onere di dimostrare le motivazioni delle proprie scelte (oltre che di documentarle).