Il GDPR, l’acronimo che sta per General Data Protection Regulation, è uno degli argomenti più discussi di questi ultimi anni. Si tratta di una legge europea sulla privacy che ha come scopo quello di proteggere i dati personali dei singoli che utilizzano siti web. Prima di entrare nel merito è utile ricordare che in questo modo si estendono le leggi UE a protezione dei dati personali anche alle aziende straniere che non hanno presenza fisica nell’Unione Europea. Se un sito web raccoglie ed elabora i dati dei visitatori dell’Unione Europea allora deve attenersi alle regole del GDPR.
GDPR: la checklist da tenere presente
Il primo step per avere un sito web in regola consiste nell’analizzare quali dati personali si conservano, dove sono archiviati e chi vi ha accesso. Si tratta di un dettaglio che non è possibile sottovalutare quando ci si deve adeguare al GDPR. In particolare, è importante chiedersi se i dati che si raccolgono includono dati sensibili. In questo caso, infatti, l’attenzione posta durante la conservazione deve essere massima, come anche nel caso di dati personali di minori di età inferiore ai 16 anni. A questo punto, poi, è necessario capire perché il sito web richiede i dati in questione. Sono effettivamente indispensabili?
Nell’ottica del GDPR è molto importante anche il consenso al trattamento dei dati personali, che deve essere esplicito e deve essere conservato in maniera sicura. A tal proposito si deve fare chiarezza su alcuni punti: chi ha accesso ai dati in questione e, soprattutto, quali parti terze sono in possesso dei dati. Se ci sono parti terze che hanno accesso ai dati degli utenti è necessario verificare in che modo si impegnano a conservarli e per cosa vengono utilizzati. Questo è necessario al fine di proteggere dati sensibili e personali dall’utilizzo illecito.
Altre domande che ci si deve porre riguardano il lasso di tempo in cui i dati personali vengono conservati. Anche questo è un dettaglio fondamentale nel momento in cui si decide di adeguare il proprio sito. Infine, ci si deve chiedere se sia possibile cancellare o rendere anonimi alcuni dati. Ponendosi tutte queste domande e trovando le risposte perfette si fa il primo, importante passo verso l’adeguamento.
Il secondo step è quello di mettere in sicurezza il sito. Anche questo è un passaggio estremamente importante quando si parla di GDPR e di compliance. Chi possiede un sito web deve sempre accertarsi che si tratti di un sito sicuro e in grado di proteggere i dati memorizzati dalla possibilità di eventuali attacchi esterni.
Ecco alcuni consigli da seguire:
- Installare un certificato SSL in grado di criptare le informazioni che vengono condivise tra sito e server
- Utilizzare password forti e difficili da intercettare
- Utilizzare un provider CDN così da proteggere il sito da DDoS e per migliorarne la sicurezza
- Utilizzare software o servizi antivirus così da proteggere il sito da accessi non autorizzati
- Non raccogliere, non utilizzare e non memorizzare dati personali non necessari
- Non condividere dati personali sensibili non necessari con parti terze
- Cercare di anonimizzare i dati personali prima della memorizzazione
- Rimuovere i dati personali quando non più necessari
Terzo punto della checklist è quello che concerne GDPR e privacy policy. L’informativa sulla privacy deve essere sempre presente sul sito web e, inoltre, deve anche essere facilmente accessibile. Questo perché il suo scopo è quello di informare gli utenti sulle modalità di raccolta, utilizzo e conservazione dei dati e relativa divulgazione. Chi naviga un sito web ha il diritto di scoprire quali dati vengono memorizzati e come vengono trattati e conservati. L’utente, infatti, ha anche il diritto di richiedere la cancellazione dei propri dati ed è per questo che è importante che la privacy policy sia sempre ben chiara a tutti e leggibile. NDV Comunicazione offre un servizio di consulenza sulla privacy policy molto utile per tutti i siti web.
Tutto ciò porta a puntare l’attenzione anche sul consenso. Speso all’utente di un sito viene richiesto di lasciare la propria email per entrare a far parte di una mailing list. Anche in questo caso ci si deve accertare che sia tutto conforme al GDPR e, quindi, per i cittadini UE è necessario ottenere il consenso all’invio delle email. Si consiglia, quindi, di optare per un form di conttto in cui è necessario verificare i propri dati e dare esplicito consenso. Anche in questo caso si deve dare all’utente la possibilità di cancellarsi dalla mailing list nel momento in cui decide di farlo. Questo step deve essere eseguito senza difficoltà.
Molto importante anche la presenza di un cookie banner. Di questo aspetto si è molto discusso negli ultimi anni ed è oggi più che mai centrale. Se un sito web utilizza cookie non necessari deve inserire un banner per ottenere il consenso GDPR da parte degli utenti che prendono consapevolezza che questi vengono memorizzati sui loro dispositivi. Si deve essere chiari sui cookie e sulle informazioni memorizzate. Anche in questo caso si deve utilizzare un linguaggio semplice e chiaro e non si devono memorizzare cookie se manca l’esplicito consenso dell’utente, che deve avere anche la possibilità di cambiare le sue preferenze quando lo ritiene opportuno.