10 punti per rendere compliance il tuo sito web al GDPR

Adeguare il sito Web al GDPR è una procedura che richiede la massima attenzione sia in termini di adeguamento alle normative privacy sia per quanto riguarda la protezione dei dati.

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy dell’Unione Europea comunemente chiamato con l’acronimo GDPR. Le nuove norme prevedono una serie di adempimenti per le aziende e le pubbliche amministrazioni ma soprattutto per i siti web, inclusi blog personali e store online.

Ai proprietari di siti web, la nuova normativa impone di mettere a norma il sito e renderlo sicuro con la massima priorità, anche per mantenere una buona Web Reputation ma soprattutto per evitare sanzioni: il Decreto 101/2018 dell’ 8 Agosto stabilisce, secondo quanto richiesto dal GDPR,  le sanzioni penali da applicarsi nei casi previsti. Il decreto chiarifica i casi in cui saranno emesse sanzioni penali che sono:

• Trattamento illecito dei dati
• Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
• Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
• Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei
• Inosservanza dei provvedimenti del Garante

Vale la pena ricordare, che oltre le sanzioni qui sopra indicate, ogni persona che si vede ledere la propria privacy, ai sensi dell’Art. 82 del GDPR, può richiedere un risarcimento danno al titolare del trattamento, commisurata alla violazione dei suoi dati.

Se ancora non sei in regola e, soprattutto, se stai per aprire un nuovo portale o un blog in WordPress, ecco il modo in cui è cambiata la gestione dei dati personali online e gli interventi da effettuare per adeguare il sito al Regolamento GDPR.

GDPR regolamento 679/2016

“Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 in sigla RGPD (più noto con la sigla inglese GDPR), è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018 (fonte Wikipedia)”.

Si tratta di un atto normativo vincolante per tutti i Paesi Membri, con cui le istituzioni comunitarie hanno posto l’obiettivo di rafforzare e rendere omogenea la protezione dei dati personali di tutti i residenti nel territorio comunitario.

Dal punto di vista legislativo, l’adozione del GDPR ha comportato l’abrogazione delle norme relative alla protezione dei dati personali contenute nel D.Lgs. 196/2003 (il cd. Codice della Privacy) divenute incompatibili.

I principi fondamentali del nuovo regolamento attengono al divieto (in assenza di autorizzazione del titolare) di elaborazione dei dati personali, alla limitazione delle finalità di trattamento (specifica degli scopi per i quali i dati sono raccolti), alla previsione di limiti stringenti al trattamento cd. Pubblicitario (ponendo un limite all’uso per finalità promozionale senza specifico assenso).

Nuovo Regolamento Privacy cosa cambia?

Le norme sui trattamenti dei dati personali, come già accennato, sono valide anche per siti web e social media e prevedono una serie di interventi che devono essere effettuati in tutti i casi in cui avviene una raccolta (anche automatica) di dati relativi agli utenti: ad esempio, con l’utilizzo di cookie o altre misure di targetizzazione.

Di seguito un riepilogo dei cambiamenti più importanti introdotti dal nuovo regolamento:

• introduzione di un obbligo di documentazione rispetto ai dati che vengono acquisiti e conservati dal sito web;
• revisione complessiva delle autorizzazioni con conseguente obbligo di fornire le informazioni relative alle modalità e agli scopi del trattamento (la cd. Privacy policy);
• previsione dei diritti di accesso e dei diritti all’oblio rispetto alle informazioni concernenti i dati personali;
• subordinazione del consenso specifico alla possibilità di applicare cookie o richiedere l’utilizzo per finalità promozionali dei dati personali;
• la previsione di multe nel caso di mancato adempimento a queste regole.

Il trattamento dei dati personali

Il concetto di “dati personali” è fondamentale per capire come intervenire con l’apposita disciplina sul trattamento. Si possono definire dati personali le informazioni che riguardano una determinata persona fisica: nome, codice fiscale, indirizzo, data di nascita, numero di telefono… e quindi tutti quei dati che permettono di identificare un certo soggetto.

Nel mondo digitale sono considerati dati personali anche le informazioni che riguardano l’indirizzo e-mail, l’indirizzo IP, i cookie e il fingerprint.

In caso di iscrizione alla newsletter o all’area riservata di un sito web, ad esempio, si effettua un’opera di raccolta di questi dati: proprio questa raccolta determina quello che possiamo definire trattamento dei dati personali. Nello specifico, il trattamento dei dati personali avviene quando il sito web acquisisce:

• dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o più foto, l’indirizzo e-mail e quello di residenza fisica, oppure l’indirizzo IP);
• dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
• dati relativi alla profilazione, e cioè idonei a determinare le abitudini di consumo o le modalità di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
• dati bancari, tra cui IBAN, domiciliazione fiscale, ecc…

La protezione dei dati

Uno degli aspetti più importanti e che determina il maggior carico di aggiornamento a carico del gestore del sito web è la predisposizione di procedure che assicurino la sicurezza online dei dati. Il riferimento è sicuramente alle possibili violazioni al server o alla piattaforma di gestione del webmaster che può comportare un accesso non autorizzato ai dati nel frattempo ottenuti dagli utenti.

Non esiste un unico criterio di sicurezza valido per tutti i siti web e le soglie di protezione dovrebbero essere tanto più forti quanto più sensibili sono i dati trattati in particolare, se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone.

In ogni caso, ecco una serie di indicazioni di massima che potresti trovare utili per mettere in sicurezza il tuo sito:

• predisporre il passaggio al protocollo HTTPS, che permette di criptare le informazioni che transitano sul proprio sito (per farlo, basterà chiedere al provider dei servizi il passaggio alle SSL o, se hai un server privato, dovrai installare da te il certificato SSL);
• aggiornare il server (per tale intendendosi l’aggiornamento del sistema operativo, del DBMS, dei linguaggi e delle diverse componenti) in caso di sito proprietario (mentre se si tratta di sito in hosting dovrai chiedere al provider);
• aggiornamento delle piattaforme CMS (come WordPress) con l’installazione di plugin di sicurezza (quali quello che limita il numero di tentativi di accesso fallito all’area riservata o che aggiunge CAPTCHA alle operazioni di login) o, ancora, l’inserimento di procedure di accesso a doppia protezione e recupero password codificato);
• se si tratta di un e-commerce è obbligatorio già da tempo introdurre programmi di crittografia dei dati, per permettere agli utenti di stare sicuri rispetto all’inserimento dei dati bancari o di altri dati particolarmente sensibili.

10 punti per rendere compliance il tuo sito web al GDPR

Ecco la lista di cosa si deve fare e non fare e dei controlli che bisogna effettuare per rendere compliance il tuo sito web, un buon punto di partenza per il proprio percorso di conformità o, se non altro, per verificare se quello che è già fatto è corretto.

• 1. Informativa privacy

Sia le vecchie normative sulla Privacy che l’attuale GDPR prevedono a carico dei gestori dei siti web un insieme di informazioni che devono essere fornite agli utenti. Queste informazioni, secondo quanto riportato dall’art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.

Le informazioni fornite all’utente che immette i propri dati sul portale devono, quindi, contenere:

• la descrizione del trattamento cui verranno sottoposti i dati raccolti, con l’indicazione dei dati che vengono raccolti, delle modalità con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
• le finalità specifiche per ciascun singolo trattamento (ciò significa che per ogni finalità occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dell’interessato per l’iscrizione al sito o alla newsletter o per effettuare l’acquisto sullo store online non può valere anche per la profilazione commerciale);
• l’elenco dei diritti degli interessati rispetto al trattamento e le modalità con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per l’accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso già prestato.

L’informativa sulla privacy, quindi, deve essere specifica per ogni singola operazione e finalità di trattamento. Non esiste, infatti, un modello standard applicabile a tutti i siti web ma ciascuno dovrà dotarsi di un’informativa che contiene i dati richiesti dal regolamento, specificamente rivolta al fine per cui i dati sono richiesti.

Quindi, se l’informativa è così importante vediamo di vedere bene quali informazioni deve fornire:

• informazioni generali sull’azienda/organizzazione (nel caso di un ente), quindi una descrizione sintetica dell’attività e della sua mission;
• link e brevissimo cenno alle leggi a cui l’informativa fa riferimento come, ovviamente il Regolamento UE 2016/679 o GDPR, e le altre leggi italiane sulla protezione dei dati come il D.lgs. 196/2003 e suo novellato D.lgs. 101/2018;
• quali tipologie di dati vengono richiesti tramite i moduli di contatto e le finalità per cui vengono utilizzati;
• se i dati vengono raccolti per l’invio di newsletter: link all’informativa privacy del fornitore del servizio di mailing (ad esempio MailChimp, MailUp, GetResponse);
• se i dati vengono profilati attraverso il processo di e-mail marketing;
• se c’è un processo di checkout per il controllo dei dati per finalizzare un acquisto on-line: quali dati vengono richiesti e la loro finalità;
• se esiste un processo di profilazione dei dati in base al quale vengono prese decisioni automatiche ovvero senza intervento;
• informazioni sui servizi Cloud che ospitano e/o gestiscono il sito (Hosting Provider), in particolar modo se i Data Center risiedono all’interno della UE o fuori dalla UE;
• indicare i fornitori di terze parti, (Responsabili Esterni) che trattano i dati dei tuoi utenti (ad es. Activecampaign, Mailchimp, MailUP, Google, PayPal, Credit Check) e link alle rispettive pagine privacy.
• link alle rispettive pagine privacy dei fornitori di terze parti che hanno servizi attivi sul tuo sito web mediante cookies di cui citiamo i più utilizzati: Google Analytics, Google AdWords, il Pixel di Facebook, servizi di remarketing, servizi che tengono traccia dei dati degli utenti finali;
• a chi potrebbero essere trasferiti (altri Titolari in Paesi extra UE) e/o comunicati i dati (Es. Enti Pubblici, Forze di Polizia, Responsabili esterni ecc.);
• chi nella tua azienda accede ai dati (dipendenti autorizzati interni, collaboratori o Responsabili esterni);
• link a tutti i plugin, applicazioni o software che memorizzano i dati dei tuoi utenti (ad esempio Woocommerce, Akismet antispam, subscribe to comments ecc.);
• sarebbe bene, inoltre, inserire dei link con accesso a moduli o modalità per le richieste di esercizio dei diritti dell’utente come, ad esempio, modulo di contatto, richiesta dell’utente di accedere/scaricare/cancellare i dati o di limitarne un determinato trattamento.
• infine, i dati del Titolare del Trattamento e del Responsabile della Protezione Dati (o DPO se nominato) e i rispettivi indirizzi di contatto, Partita IVA, sede ecc…

L’informativa, infine, deve essere accessibile da ogni pagina, modulo o form del sito, per cui il consiglio è quello di creare una pagina privacy specifica e mettere un link nel footer del sito (barra sempre presente in basso) e in tutti i moduli di richiesta dati e/o consenso.

• 2. Cookies

I gestori dei siti web sono tenuti a mostrare un’informativa (solitamente in forma breve, all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le più diverse finalità e chiedendo uno specifico assenso per questa pratica. È necessario dare la possibilità agli utenti di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza vietare l’accesso al sito. Anche per la gestione dei consensi relativi ai cookie deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.

Sui cookie c’è ancora un po’ di confusione perché, in attesa che esca la Direttiva E-Privacy su tutto quello che concerne il mondo Web, non è proprio chiarissimo cosa bisogna fare; in particolare, sulle modalità e tempistiche della loro attivazione nel momento in cui l’utente entra nel sito.

Sulla base del provvedimento del Garante n.229/2014, bisogna definire quali cookie si usano nel sito e per cosa servono distinti in:

• cookie tecnici di “navigazione” o di “sessione” (strettamente necessari all’uso del sito) – non necessitano di consenso
• cookie Analytics assimilabili a quelli tecnici che rilevano dati statistici in forma aggregata (es. nr. visitatori, orari, area geografica ecc.) – non necessitano di consenso
• cookie di profilazione (quelli che rilevano il comportamento di un utente direttamente dal sito) – è necessario chiedere un consenso partendo dal classico banner che informa della presenza di questi cookie
• cookie di profilazione di terze parti(quelli che rilevano dispositivo o indirizzo IP anche da parte di siti esterni al tuo) – è necessario chiedere un consenso

Il banner dei cookie deve avere:

1. dimensioni tali da rendere il banner facilmente visibile, o – in alternativa – espandibile;
2. font più evidenti rispetto a quello del sito;
3. un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso;
4. deve comparire immediatamente alla prima visita dell’utente sul sito.

Il consenso ai cookie deve avvenire:

1. compiendo un’azione di scorrimento (scroll down della pagina);
2. facendo clic su uno dei link interni della pagina;
3. facendo clic (preferibilmente) sul tasto “OK” o sul tasto “X” di chiusura banner – che può essere posizionato in basso o in alto a destra.
4. Nei moduli cookie più strutturati ci possono anche essere dei bottom scroll di abilitazione o disabilitazione per ogni cookie che necessita di consenso, com’è molto probabile che dovrà essere una volta approvata la E-Privacy (quando? Non si sa!).

Infine, l’informativa dei cookie deve essere parte integrante o comunque riconducibile (tramite link) all’informativa generale di cui sopra e deve contenere:

• una descrizione generale di cosa sono i cookie e come possono essere gestiti tramite le impostazioni del browser;
• la spiegazione di come viene prestato il consenso (scroll-down, tasto OK o X e link);
• la descrizione delle categorie di cookie tecnici e analytics e le relative finalità;
• la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
• la descrizione delle finalità dei cookie di terza parte. Per ognuna di queste (identificabile anche tramite il nome commerciale, ad esempio: Facebook, Google ecc.) la descrizione della finalità del cookie oltre a:

• iI link all’informativa e al modulo di consenso della terza parte con la quale si è stipulato un accordo (spesso on-line) per l’installazione dei cookie sul proprio sito;
• il link all’informativa degli intermediari (solitamente il concessionario di pubblicità del sito) se presenti.

• 3. Moduli e form di richiesta dell’utente

Particolare attenzione deve essere posta a quelle parti del sito che richiedono dati personali ovvero: moduli di contatto, form di iscrizione a newsletter, form di check-out per completare acquisti on-line etc. Il sito web dovrà dotarsi di un documento che spieghi agli utenti il tipo di dati raccolti, chi e come li raccoglie, perché vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.

Nello specifico, una prima modifica dovrà riguardare i moduli di contatto (solitamente i form HTML con cui avviene l’accesso al sito web da parte dell’utente): in questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, così costringendo il titolare ad adeguare il modulo al GDPR.

Tutti i moduli o i form che richiedono l’inserimento di dati personali dell’utente, devono rispettare i principi del GDPR, in particolare quello di “minimizzazione” quindi devono:

1. non eccedere nella richiesta di dati non strettamente necessari al raggiungimento della finalità;
2. prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy”;
3. inserire una casella di richiesta consenso per ogni specifica finalità (ad esempio: una per l’invio di comunicazioni marketing, un’altra per il consenso alla profilazione e magari un’altra per il trasferimento dati ad altri Titolari)
4. controlla che tutte le caselle NON siano pre-spuntate o impostate sul Sì nel caso ci sia l’opzione Sì/No.

• 4. Plugin e applicazioni

I plugin sono quelle applicazioni che permettono al tuo sito WordPress di aggiungere facilmente delle funzionalità senza dover scrivere delle righe di codice.

I CMS più comuni come ad esempio, WordPress e Magento, possono disporre di migliaia di plugin di cui cito i più famosi come ad esempio Jetpack ed Akismet che permettono di controllare le attività di Spam, oppure YoastSeo che ti aiuta nell’ottimizzazione dei contenuti per i motori di ricerca, WooCommerce che aggiunge le funzionalità commercio on-line ai siti WordPress, PixelYourSite per agganciare il tuo sito alle campagne di Facebook Ads, o WPCache per ottimizzarne le prestazioni e tanti altri.

Di plugin ed applicazioni ce ne sono centinaia, ma prima di installarne uno è bene verificare sempre che il plugin e l’applicazione che utilizzi sul tuo sito web sia conforme al GDPR e, normalmente, questo viene specificato nel sito o nella privacy policy del produttore.

• 5. Editor di contenuti: CMS

Il CMS (Content Management System) è l’editor che ti permette di gestire e aggiornare i contenuti, pagine e articoli del blog, ed è fondamentale che sia aggiornato e protetto quindi:

• assicurati che il tuo CMS(WordPress, Yoomla, Magento, Shopify, et) sia aggiornato e conforme al GDPR.
• controlla se il contratto che hai con la tua Web Agency prevede manutenzione ed aggiornamenti del sito e dei relativi plugin. Nel caso rinnovalo con questa opzione o stipula un nuovo contratto prevedendo anche le clausole di Responsabile (punto 10).

• 6. Pagine di checkout

Per le pagine di checkout, ovvero quelle che servono per il controllo dei dati necessari alla finalizzazione di un ordine on-line, valgono più o meno gli stessi criteri già indicati al punto 3 per i moduli e i form di contatto quindi, anche qui:

1. non eccedere nella richiesta di dati non necessari alle finalità di checkout;
2. prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy” a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire tutti i dati;
3. prevedere caselle di richieste consenso per ogni ulteriore finalità di trattamento dati come ad esempio per l’invio di comunicazioni marketing, profilazione, trasferimento dati in paesi extra UE, sempre che non l’abbia già fatto in precedenza e tu ne abbia traccia;
4. controlla che tutte le caselle NON siano pre-spuntate o impostate sul sì nel caso ci sia l’opzione si/no.

• 7. Consenso

Grazie all’informativa si mira a raccogliere il consenso dell’utente alle operazioni di trattamento essendo il requisito necessario per dimostrare che l’interessato ha letto ed è d’accordo con l’informativa privacy proposta dal sito web.

Se i consensi sono stati raccolti prima del 25 maggio 2018 è necessario controllare che siano stati ottenuti rispettando i principi del GDPR altrimenti si dovrà chiedere un nuovo consenso, soprattutto se il consenso comprendeva più finalità e se avevi le caselle pre-spuntate.

Per ottenere un nuovo consenso è possibile inviare una mail alla tua lista, specificando che hai aggiornato le condizioni di trattamento dei dati in funzione del nuovo Regolamento UE 2016/679 (quindi nuova informativa) e che è necessario confermare i dati forniti in precedenza tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione libera ed inequivocabile dell’utente per ogni finalità.

• 8. Backup

Gli attacchi ai siti con l’obiettivo di utilizzarli per scopi illeciti, ad esempio dirottando il traffico su siti esterni o per carpire i dati degli utenti, sono nell’ordine di qualche migliaio al giorno. Il modo migliore per garantirti di non perdere irrimediabilmente dati personali ed incorrere inevitabilmente in un Data Breach con conseguente segnalazione al Garante entro 72 ore, è quello di avere sempre a disposizione un backup recente e consistente seguendo questi pochi consigli:

• assicurati di avere un sistema di back-up schedulato (meglio se giornaliero) sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti;
• assicurati di avere più copie dello stesso back-up (almeno tre), in più posti diversi (Locale, Cloud e Off-line);
• limita l’accesso ai dati di back-up alle sole persone e/o Responsabili autorizzati o nominati;
• usa supporti, dischi o sistemi che prevedono la cifratura dei dati (occhio a non perdere la password di decriptazione);
• testa i tuoi back-up periodicamente con prove di restore dei dati atti a verificarne l’integrità e documenta che l’hai fatto.

• 9. Hosting del sito

Il GDPR dice chiaramente negli articoli da 44 a 46, che se i dati di un interessato residente nella UE vengono trasferiti verso paesi terzi che non forniscono adeguate garanzie di sicurezza e protezione dati è necessario sempre il consenso altrimenti il trattamento è illecito.

Assodato che oramai qualsiasi sito web si avvale di servizi Hosting consistenti in spazi server che risiedono presso Datacenter in Cloud sparsi per il mondo bisogna chiedersi dove fisicamente vanno questi dati.

Per garantire la business continuity e il disaster recovery molti fornitori Cloud replicano i dati su DataCenter ridondanti in giro per il mondo e, spesso neanche loro sanno dire con precisione dove sono questi dati.

Se questo da un lato è una garanzia per la salvaguardia del business, dall’altro pone il problema dei dati personali che risiedono in paesi terzi che non hanno normative chiare in merito alla Privacy come ad esempio Russia, Cina ed India.

È quindi meglio affidarsi a fornitori Cloud che dispongono di servizi Hosting locati in DataCenter all’interno della UE o negli USA dove c’è il Privacy Shield e che lo dichiarano apertamente nelle loro policy.

In ogni caso, se vuoi per forza avvalerti di un servizio Hosting extra UE, devi dichiarare chiaramente la locazione nell’informativa indicando se il paese dove risiedono i dati fornisce garanzie di adeguatezza (la lista dei paesi la trovi nel sito del Garante Privacy) e, nel caso non ci siano queste garanzie, chiedere il consenso ai tuoi utenti al trasferimento dei dati in paesi extra Ue.

• 10. Nomine ed autorizzazioni

Il GDPR negli art. 28 e 29 stabilisce che, chiunque abbia accesso ai dati personali sotto l’autorità di un Titolare debba aver ricevuto un’adeguata istruzione e formazione mentre chi tratta i dati per conto del Titolare stesso, utilizzando mezzi e strutture proprie, debba essere nominato Responsabile con un atto formale (contratto).

Alla luce di questo è quindi fondamentale:

1. individuare i fornitori che trattano o in qualche modo accedono ai dati personali che transitano o vengono raccolti sul sito come, ad esempio: la Web Agency che cura il sito, il gestore del servizio Mail Marketing, il fornitore del servizio Hosting, il gestore dei pagamenti On-line, il servizio di Analytics ecc.;
2. nominare i fornitori così individuati come Responsabili attraverso una DPA (Data Processing Agreement o Contratto di nomina a Responsabile) tenendo presente che, i “big player” come Microsoft,Google, Facebook, Mailchimp…, hanno già dei loro documenti standardizzati;
3. individuare i dipendenti/collaboratori che in azienda hanno o avranno accesso ai dati che verranno raccolti dal sito;
4. autorizzare i dipendenti/collaboratori che hanno accesso ai dati con un documento (mansionario) che contenga le istruzioni per un corretto trattamento e protezione dei dati.
5. formare i dipendenti autorizzati sui principi di base del GDPR e sulle best practices di Sicurezza Informatica;
6. verificare con degli Audit periodici che i fornitori agiscano in ottemperanza al Regolamento e secondo le istruzioni impartite perché, la “carta” da sola non basta a manlevare il Titolare da qualsiasi responsabilità in caso di inadempienza del Responsabile.

A chi rivolgersi?

Il sito web deve essere una priorità in un progetto di GDPR Compliance perché, oltre a rassicurare gli utenti, quindi i vostri potenziali e futuri clienti, che i dati verranno trattati con la massima attenzione, serve anche dimostrare alle Autorità di Controllo che, potrebbero fare queste analisi con estrema facilità, almeno per quanto riguarda il sito web siete sensibili ed aggiornati in materia di disposizioni e normative privacy.

Un corretto adeguamento al GDPR necessita delle seguenti fasi:

• Auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy
• Gestione Accountability con l’identificazione dell’organigramma di trattamenti e relativi flussi dati
• Analisi dei rischi fisici e dei rischi logici
• Gap Analysis (analisi che evidenzia quanto è distante la tua azienda da un corretto adeguamento GDPR)
• Redazione del registro dei trattamenti
• Redazione delle lettere di incarico
• Redazione del registro dei consensi
• Redazione analisi dei rischi
• Produzione documentazione di adeguamento
• Eventuali adeguamenti tecnici (in questa sezione ricade l’adeguamento del proprio sito web)

Spesso però, la normativa risulta di difficile comprensione o di ostica applicazione. In questi casi è necessario rivolgersi a consulenti preparati o al proprio legale di fiducia. Queste due categorie sono abilitate al supporto dei clienti per l’adeguamento alla normativa GDPR.

Qualora tu ti voglia rivolgere ad un consulente, verifica sempre le sue abilitazioni o l’appartenenza ad associazioni riconosciute.