Come adeguare il proprio Sito Web alla normativa Europea: Plugin, CMS, Consenso, Backup & More.

Concludiamo i nostri step formativi necessari a rendere il proprio sito web funzionale, professionale e Compliance con la normativa GDPR.

Siamo alla Fine… ma alla modalità di utilizzo dell’informativa privacy, dei Cookie e dei Form si aggiungono le seguenti componenti a cui occorre dare la corretta attenzione ed importanza.

STEP FIVE: I Plugin

I Plugin all’interno di un sito permettono di aggiungere facilmente delle funzionalità senza dover scrivere delle righe di codice e consentono di offrire agli utenti un collegamento, un banner, un servizio. I Plugin devono essere costantemente aggiornati verificando che il Plugin e l’applicazione che utilizzi sul tuo sito web risulti conforme al GDPR (viene specificato nel sito o nella privacy policy del produttore).

Nel caso di non conformità occorre trovare un prodotto sostitutivo.

STEP SIX: Il CMS

Il CMS è l’editor che ti permette di gestire e aggiornare i contenuti, pagine e articoli del blog. Si tratta della pagina di controllo che una piattaforma offre per inserire e modificare funzioni.

Anche il CMS deve essere costantemente monitorato e protetto:

  • controlla se il contratto in essere con la propria Web Agency prevede la manutenzione e gli aggiornamenti del sito e dei relativi plugin;
  • nel caso, rinnovare con questa opzione o stipulare un nuovo contratto prevedendo anche le clausole di Responsabilità;
  • assicurati che il CMS sia aggiornato e conforme al GDPR.

Pillola formativa n°5: plugin, CMS, consenso, backup & more

STEP SEVEN: Pagine di Checkout

Per il controllo dei dati necessari alla finalizzazione di un ordine on-line o pagine di checkout, ricorda di essere chiaro, trasparente e professionale:

  • non eccedere nella richiesta di dati non necessari in base alle finalità (checkout);
  • prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy” (a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire tutti i dati);
  • inserire caselle di richieste consenso nel caso di ulteriori trattamenti dati per l’invio di comunicazioni marketing e per il consenso alla profilazione a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire tutti i dati;
  • controllare che tutte le caselle NON siano pre-spuntate o impostate sul valore “si” nel caso fosse prevista sia l’opzione si/no.

STEP EIGHT: Il Consenso

Anche il consenso deve essere aggiornato secondo le norme vigenti. La data più recente che il legislatore ha voluto chiarire è il 25 maggio 2018. Quindi in caso di consenso dei clienti prima di tale data, occorre procedere con l’aggiornamento dei dati oppure chiedere un nuovo consenso.

Per ottenere un nuovo consenso puoi inviare una mail alla lista dei clienti, specificando che hai aggiornato le condizioni di trattamento dei dati in funzione del nuovo Regolamento UE 2016/679 (quindi nuova informativa). Puoi richiedere di confermare i dati forniti in precedenza tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione libera ed inequivocabile dell’utente per ogni finalità.

Pillola formativa n°5: plugin, CMS, consenso, backup & more

STEP NINE: Il Backup

Parola d’ordine: Sicurezza e Backup. Come ogni sicurezza necessaria sui sistemi informatici, è fondamentale effettuare un backup periodicamente. Occorre procedere in modo cauto e verificare tutti i pericoli in cui ci si potrebbe imbattere:

  1. assicurati di avere un sistema di back-up schedulato (meglio se giornaliero) sia per i contenuti del tuo sito, sia per i database che contengono i dati degli utenti;
  2. assicurati di avere più copie dello stesso back-up (almeno tre), in più posti diversi (Locale, Cloud e Off-line);
  3. limita l’accesso ai dati di backup alle sole persone e ai Responsabili autorizzati o nominati;
  4. utilizza supporti, dischi o sistemi che prevedono la cifratura dei dati (Attenzione a non smarrire la password);
  5. testa i backup periodicamente con prove di restore dei dati atti a verificarne l’integrità e documentare l’azione.

STEP TEN: Nomine & Autorizzazioni

La normativa del GDPR negli articoli 28 e 29 risulta molto precisa. Stabilisce infatti che chiunque si occupi di trattamento dei dati personali in azienda debba aver ricevuto un’adeguata istruzione e formazione. Chi tratta i dati sensibili per conto del titolare stesso deve ricevere la nomina con un contratto di lavoro. Perciò è importante:

  • individuare i fornitori che trattano i dati presenti o che transitano dal sito come, ad esempio, la Web Agency, il Mail Marketing Provider, l’Hosting Provider;
  • nominare i fornitori così individuati come Responsabili attraverso una DPA (Data Processor Agreement) tenendo presente che, i “big player” come Google, Facebook, Mailchimp…, le hanno già predisposte nei loro contratti di servizi base;
  • individuare i dipendenti e collaboratori che in azienda hanno o avranno accesso ai dati che verranno raccolti dal sito;
  • autorizzare i dipendenti/collaboratori che hanno accesso ai dati attraverso un documento (mansionario) che contenga le istruzioni per un corretto trattamento e protezione dei dati.

Avete ancora le idee confuse? Nexsys è a vostra portata di mano

Nexsys vi aiuterà a risolvere tutti i vostri dubbi con la consulenza GDPR. Nexsys tramite i suoi servizi di audit e sicurezza può aiutarvi nella redazione della documentazione richiesta.

Le soluzioni offerte da Nexsys hanno proprio lo scopo di accompagnarti nell’adeguamento e nel mantenimento dei parametri richiesti dal GDPR tramite una consulenza iniziale, per la definizione dei rischi a cui potrebbe esser soggetta la tua azienda, nella redazione della documentazione necessaria e nell’adeguamento dell’infrastruttura.

La professionalità e le competenze del Team di Nexsys ti permetteranno di progettare l’infrastruttura IT, di implementare la sicurezza informatica, di avere la consulenza legale e gli audit utili a redigere la documentazione richiesta.