Sito aziendale e GDPR: cosa bisogna fare per mettersi in regola?
Scopriamo quali sono gli interventi indispensabili per avere un sito web “a prova di GDPR”
Secondo il GDPR (Regolamento UE 2016/679), ogni proprietario di un sito web è responsabile per il trattamento dei dati. È stato infatti introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel modo migliore possibile la sicurezza dei dati raccolti e di dimostrare che sono state utilizzate tecniche adeguate alla natura dei dati trattati.
Tra le novità più importanti introdotte dal Regolamento c’è l’obbligo per il titolare di predisporre un registro delle attività di trattamento dove specificare le finalità della raccolta dati, le categorie di dati personali e di soggetti interessati, le misure di sicurezza adottate, ai fini della trasparenza e del rispetto del diritto di accesso ai dati da parte degli utenti.
Prima di capire nella pratica cosa è necessario fare per adeguare il proprio sito web aziendale al GDPR, è necessario chiarire cosa si intende per trattamento dei dati personali.
Il concetto di dati personali è fondamentale per comprendere in quale modo questi vengono a contatto con la gestione di un sito web, determinando l’obbligo di intervenire con l’opportuna disciplina sul trattamento.
Cosa si intende per dati personali e trattamento dei dati personali?
I dati personali sono le informazioni che riguardano una determinata persona fisica e quindi nome, codice fiscale, indirizzo, data di nascita, numero di telefono, etc… Si tratta cioè di quel complesso di dati che permettono di identificare una persona fisica (identificata o identificabile) per il mezzo di quelle informazioni.
Nel mondo digitale, anche l’indirizzo e-mail, l’indirizzo IP, i cookie e il fingerprint sono considerati dati personali.
Iscrivendosi ad una newsletter o ad un’area riservata, o anche solo visitando un sito web, queste sono tutte informazioni (classificabili come dati personali) che vengono acquisite e che entrano nella sfera di responsabilità del proprietario di un sito web.
Ne deriva che, in tutti questi casi, il sito web effettua un’operazione di raccolta dei dati, che possiamo definire come il primo passaggio del trattamento dei dati personali.
Nell’ambito specifico dei portali online, il trattamento dei dati personali avviene quando il sito web acquisisce:
- dati che identificano in modo preciso una persona, tra cui il nome, data di nascita, foto, indirizzo e-mail e di residenza, indirizzo IP;
- dati che indicano la posizione geografica di una persona, acquisita ad esempio mediante la geolocalizzazione operata da smartphone, computer, tablet e altri strumenti;
- dati relativi alla profilazione e quindi idonei a identificare le abitudini di consumo o le modalità di utilizzo dei servizi di comunicazione digitale;
- dati bancari, come IBAN, domiciliazione fiscale e altri.
Adeguare il sito web aziendale al Regolamento Privacy: cosa dobbiamo fare?
Per prima cosa è necessario sapere che non esiste un modello standard applicabile a tutti i siti web, ma che ciascun gestore dovrà analizzare il proprio sito ed i singoli applicativi utilizzati, anche con l’aiuto di professionisti del settore, per di individuare le misure di adeguamento più adatte alla tipologia di trattamento dei dati che viene effettuata.
Per prima cosa, sarà necessario dotare il proprio sito internet di una informativa che contenga i dati richiesti dal regolamento e che sia specificatamente modulata in relazione al fine per cui i dati sono richiesti.
La Privacy Policy
Per prima cosa è necessario dotare il proprio sito web di un’adeguata informativa per la privacy, possibilmente accessibile da qualunque pagina del sito.
La privacy policy del sito web è il documento con il quale si informano gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità.
Secondo quanto previsto dal Regolamento Europeo sulla privacy, si tratta di un documento obbligatorio, che deve contenere necessariamente:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46, 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
È evidente che la privacy policy sia un documento personalizzato e non standardizzabile, che deve essere costruito in maniera sartoriale sulla base dello specifico trattamento effettuato.
L’aggiornamento del sito web aziendale
È quindi necessario che i moduli privacy già presenti sul sito web aziendale vengano aggiornati, per consentire all’utente di prestare in modo espresso il proprio eventuale consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default, ma una casella di spunta per consentire all’utente di prestare autonomamente il proprio consenso.
Il titolare del sito web deve poi provvedere a registrare e conservare i dati, sia quelli relativi all’utente che quelli concernenti il consenso al trattamento.
Di conseguenza, il sito web deve essere dotato di un apposito database che consenta l’accesso e la conservazione sicura dei dati ottenuti.A questo fine, può essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.
La protezione dei dati
Uno degli adempimenti più importanti a carico del gestore del sito web è la predisposizione di procedure che assicurino la sicurezza dei dati contro possibili violazioni al server o alla piattaforma di gestione del webmaster.
È necessario tenere a mente, infatti, che il GDPR pone a carico del soggetto che effettua il trattamento dei dati anche la responsabilità sulla loro sicurezza. È quindi certamente auspicabile che il sito web venga altresì dotato di un sistema di backup sia per i contenuti del sito, sia per il database contenente i dati degli utenti.
La gestione dei cookie
Altro ambito coinvolto dalla normativa GDPR è la disciplina sull’uso dei cookie . I gestori dei siti web devono rendere accessibile un’informativa in cui viene spiegato agli utenti che il sito utilizza dei cookie per le più diverse finalità, chiedendo uno specifico assenso per questa pratica.
Agli utenti deve essere concesso di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza che – in difetto di consenso – venga negato l’accesso al sito. Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.
Come abbiamo visto in questo articolo, ci sono alcune azioni da fare per rendere un sito web aziendale rispondente alla normativa GDPR; ma, come detto, ognuna di queste azioni è da personalizzare in base al funzionamento del sito stesso e alle modalità e finalità con le quali avviene la raccolta dei dati.
Se la tua azienda ha già un sito web o se stai per aprirne uno e non sai come districarti tra tutti gli adempimenti imposti dalla nuova normativa, possiamo supportarti nell’identificazione delle misure necessarie per garantirti il pieno rispetto del GDPR e superare con successo gli eventuali controlli delle autorità.
Contattaci per un primo colloquio dove esporci le tue necessità di adeguamento del sito web aziendale al Regolamento della Priacy.