Privacy – Anche il sito web va adeguato al GDPR, vediamo come
Il Regolamento generale sulla protezione dei dati, ormai riconosciuto a livello internazionale con la sigla GDPR, rappresenta dal punto di vista legislativo una delle novità di maggior rilievo per il settore business negli ultimi anni. Lo scopo dell’Unione Europea è quello di fare in modo che la legislazione relativa al trattamento dei dati personali dei cittadini sia armonizzata: i regolamenti in proposito, quindi, sono diventati più dettagliati e più stringenti. Per i siti web, questo vuol dire soprattutto indicare le modalità con cui i dati degli utenti vengono raccolti e conservati, per quanto tempo vengono tenuti in archivio e per quale motivo lo si fa.
Ringraziamo Roberto Marletta di Emmè Pubblicità, web agency di Catania, per averci aiutato a chiarirci le idee su questo tema permettendoci di scrivere il presente articolo.
Il sito web conforme al GDPR
Per essere certi che un sito Internet sia conforme rispetto alle norme che vengono imposte dal GDPR, sono tre i principi fondamentali a cui si deve fare riferimento: il primo è rappresentato dal consenso dell’utente, il secondo riguarda la criptazione dei dati e il terzo ha a che fare con l’accesso ai dati personali degli utenti. Il consenso, in particolare, può essere considerato uno dei punti più importanti della legislazione che entrerà in vigore tra poche ore: esso, come è facile intuire, è indispensabile sia per la conservazione che per l’impiego dei dati personali. Chi vuole trattare i dati degli utenti, a prescindere dalla ragione per cui lo fa, deve chiedere e ottenere un permesso ad hoc.
Come cambiano i siti web con il nuovo regolamento
Con l’attuazione del GDPR, chiunque visita un sito web ha il diritto a essere informato nel modo più dettagliato possibile a proposito delle modalità di raccolta e di trattamento dei dati. Inoltre, devono essere specificate le ragioni per le quali i dati vengono raccolti. Il consenso può essere prestato solo spuntando una dicitura apposita in un form di conferma, in modo tale che sia palese la spontanea volontà degli utenti. Il gestore di un sito web deve essere sempre aggiornato per ciò che riguarda le informative. Ma non è tutto: le note relative alla privacy degli utenti devono basarsi su un linguaggio chiaro e comprensibile, devono risultare facili da leggere e poter essere interpretate senza difficoltà. Stesso discorso per le comunicazioni che riguardano l’impiego dei cookie.
L’accesso ai dati
Come si è detto, l’accesso ai dati costituisce un altro componente fondamentale del GDPR: agli utenti deve essere fatto sapere chi è in grado di accedere ai loro dati personali, in che modo tali dati sono registrati e come viene effettuata la loro conservazione, eventualmente tramite CRM o CMS. Come ci si deve adeguare a queste imposizioni? Il modo più facile consiste nel ricorrere a un form apposito in cui agli utenti viene chiesto di poter trattare i dati personali.
Cosa succede se il consenso viene rifiutato
Ovviamente, deve essere prevista una procedura che impedisca la registrazione e la conservazione dei dati in caso di risposta negativa, fermo restando che anche quando viene data una risposta positiva gli utenti devono comunque poter cambiare idea e revocare i permessi concessi in ogni momento. Un altro dei compiti dei titolari delle aziende è quello di accertarsi del fatto che le agenzie di terze parti a cui è stato concesso il diritto di accedere ai dati relativi agli utenti dispongano di procedure in linea con le prescrizioni contenute nei nuovi regolamenti e, in sostanza, si siano adeguate alle imposizioni del GDPR.
La crittografia
Infine, l’ultimo principio alla base del GDPR va individuato nella crittografia: questo significa che tutti i dati degli utenti che vengono inviati a un sito web e conservati dallo stesso non possono che essere criptati. Questa soluzione ha lo scopo di contrastare e di prevenire il furto di informazioni sensibili, come potrebbe accadere se – per esempio – si verificasse un attacco informatico. Tutti i progetti web, per poter essere conformi alla GDPR, sono tenuti a implementare un sistema consistente nel ricorso a certificati di sicurezza SSL/TLS per le tramissioni di dati sensibili.