Come adeguare il proprio sito al GDPR: la guida, i plugin e i consigli
Se sei finito qui è perchè devi adeguare il tuo sito web alla normativa europea detta GDPR, in vigore dal 25 maggio 2018. A prescindere se il tuo sito è su WordPress o Joomla, o altri cms o puro html (..vabbè!) bisogna prima capire cos’è il GDPR e di cosa parliamo.
Indice
Cosa è il GDPR, la normativa europea sul trattamento dati
A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.
In estrema sintesi col GDPR:
- Si introducono regole più chiare su informativa e consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Poste le basi per l’esercizio di nuovi diritti;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Fissate norme rigorose per i casi di violazione dei dati (data breach).
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.
Punti essenziali del GDPR che non devono mai mancare sul tuo sito web
Privacy Policy – Informativa sulla privacy
La privacy policy è la “politica aziendale” ossia la filosofia, i modi e i termini con cui vengono trattati i dati personali. In parole povere sarà il testo, la paginetta testuale in cui verranno esplicate agli utenti le tipologie dei dati raccolti e il modo e il fine del perchè li raccogliamo.
Ora, rispetto a prima, c’è anche l’obbligo di definire per quanto tempo e dove conserviamo i suoi dati, e sopratutto come fare per chiedere l’elenco dei propri dati e la rimozione.
Insomma l’utente deve sapere ciò che abbiamo su di lui e come poterli eventualmente cancellare.
In certi casi alcuni siti possiedono dei sistemi in cui l’utente con un click riceve l’elenco personale dei dati, altri richiedono l’invio di una mail a cui seguirà risposta e così via…
Abbiamo detto che ogni utente rilascia sul nostro sito i propri dati (tramite cookies, newsletter e così via…) ma ogni dato dovrà essere conferito al sistema secondo canoni stabiliti e con obiettivi stabiliti.
Gli stessi dati dovranno essere specificati in base alla loro possibilità di essere comunicati e diffusi a terzi e i modi e tempi e gli obiettivi. Non ultimo anche il luogo fisico o virtuale dove risiederanno.
Questa pagina che sarà accessibile da tutte le pagine del sito e in maniera facile da raggiungere (di solito da un menu in alto o in basso) conterrà i seguenti dettagli:
Titolare del trattamento dati GDRP / GDPO
Ogni sito dovrà avere il titolare del trattamento dati a cui far riferimento per ogni comunicazione e richiesta. In caso di non specificità sarà ritenuto responsabile il titolare del sito web.
Utile sarà anche dichiarare un modo rapido per il suo contatto esempio gdpo@nomesito.ext .
Diritti dell’interessato
In ogni momento, l’utente potrà esercitare, ai sensi degli articoli dal 15 al 22 del Regolamento UE n. 2016/679, il diritto di:
a) chiedere la conferma dell’esistenza o meno di propri dati personali;
b) ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di
destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
c) ottenere la rettifica e la cancellazione dei dati;
d) ottenere la limitazione del trattamento;
e) ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e
leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
f) opporsi al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto;
g) opporsi ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
h) chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione
del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
i) revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato
prima della revoca;
j) proporre reclamo a un’autorità di controllo.
e per farlo dovrà inviare richiesta scritta tramite form sul sito, email, cartaceo etc… in base alle modalità di comunicazione definite all’inizio del documento.
Cookie di terze parti
Capita che nei nostri siti andiamo ad integrare sistemi come Facebook login, youtube etc… Questi siti detti “terzi” ossia esterni “usano” il nostro sito per tracciare i nostri utenti.
Dobbiamo dunque esplicitare che siti terzi ci sono e cosa potrebbero registrare e dove l’utente può reperire più informazioni (per esempio linkando la pagina del prodotto dedicata tipo quella di Google )
In ultimo, non per importanza…
Se l’utente compie un’azione sul sito e questa azione è predisposta al rilascio di dati personali del tipo
- rilasciare nome, email, telefono in una newsletter
- nome e altri dati in un form
- invio di email tramite form
- sondaggi
L’utente deve dare esplicito consenso per ogni azione e sapere sempre che potrà e dovrà prima informarsi su cosa sta cliccando e facendo.
I consensi nell’informativa privacy – GDPR
Io, nel mio piccolo, consiglio sempre un form di accettazione a 3 livelli di uguale importanza:
- esprimo il consenso – NON esprimo il consenso al trattamento dei miei dati personali inclusi quelli considerati come
categorie particolari di dati. - esprimo il consenso – NON esprimo il consenso alla comunicazione dei miei dati personali d enti pubblici e società di natura
privata per le finalità indicate nell’informativa. - esprimo il consenso – NON esprimo il consenso al trattamento delle categorie particolari dei miei dati personali così come
indicati nell’informativa che precede.
Data Breacher: quando è importante avvisare gli utenti in merito a falle di sicurezza
Può capitare, come è successo a Facebook qualche tempo fa, che il nostro sistema subisca un attacco hacker o abbia una perdita di dati.
In questo caso è giusto avvisare gli utenti che i loro dati potrebbero essere stati compromessi: questo è utile sia per mettersi al riparo e sia per diminuire i possibili problemi successivi.
E’ sempre utile dunque chiedere il reset della password degli accessi di un sito… ma questo è solo uno dei piccoli esempi che si potrebbero fare e che magari approfondiremo.
Plugin per WordPress e Joomla
Se usi CMS quali Joomla e WordPress avrai bisogno di alcuni plugin che ti permettono di acquisire il consenso degli utenti e permettere loro la gestione dei dati personali.
Io ti consiglio questi plugin per WordPress
Questi invece i plugin per Joomla
Se ti è piaciuto l’articolo condividilo, se hai dubbi commenta!
Pingback: Come adeguare il proprio sito al GDPR: la guida, i plugin ei consigli | Cloud City