Nomine, incarichi, consensi, informative, adeguamenti informatici non bastano. Anche il sito web aziendale, e-commerce oppure no, deve rispettare la normativa GDPR qualora tratti dati personali. Tale trattamento sussiste nel momento in cui il sito preveda un form per i contatti o strumenti di misurazione degli accessi, due casistiche comuni a praticamente quasi tutti i portali web.
Quali punti vanno presi in considerazione per l’adeguamento?
1 – Consenso dell’interessato: per essere valido deve essere libero, incondizionato, preventivo, esplicito e informato e l’interessato dovrà poterlo modificare, negare o ritirare in qualsiasi momento nel rispetto del diritto all’accesso, diritto all’oblio e diritto di portabilità. Il titolare del sito web deve inoltre essere in grado di provare tale consenso per tutta la durata del trattamento dei dati acquisiti.
2 – Sicurezza della piattaforma: definire una check list per attività utili per mettere in sicurezza un sito web è possibile. In linea generale è estremamente consigliato:
a. Installare un certificato SSL, ovvero passare ad HTTPS, criptando così i dati trasmessi in transito dall’utente che visita il sito web;
b. Aggiornare il CMS utilizzato, sia la versione della piattaforma, sia i plugin utilizzati;
c. Proteggere le porte 80 e 21;
d. Attivare gestione jail per bloccare indirizzi IP che tentano attacchi;
e. Utilizzare password complesse.
3 – Informativa privacy: l’informativa caricata sul sito web deve essere comprensibile, scritta in modo semplice e chiaro riportando tra le varie informazioni quali sono le finalità perseguite dal trattamento;quali dati vengono trattati; chi è il titolare del trattamento;quali soggetti possono accedere ai dati; dove verranno conservati;per quanto tempo verranno conservati;i diritti dell’interessato, ecc.
4 – Cookie: il sito web dovrà permettere agli utenti di effettuare una scelta, consapevole e informata, su quali cookie autorizzare. L’interessato deve essere sempre in grado di revocare il consenso con la stessa facilità con cui lo ha prestato. Sono disponibili strumenti informatici che permettono di verificare quali cookie sono attivi su un sito web, generando un report.
Con queste indicazioni, diventa semplice individuare quali aree di un sito web verificare e adeguare: moduli di contatto, moduli di registrazione, aree private, sistemi di analytics, widget di terze parti, banner e sistemi di email marketing.
A due giorni dall’entrata in vigore del GDPR, speriamo che le percentuali riportate da Feder Privacy secondo cui l’84% dei siti italiani ignora i diritti degli utenti e il 39% dei più importanti siti italiani non usa protocolli sicuri pertrattare dati siano in netto calo.
dott.ssa Susanna Previtali
Easytech Srl
commenta