Il GDPR è attualmente uno dei temi più caldi dell’argomento privacy che riguarda imprese, organizzazioni, pubbliche amministrazioni e in generale chi possiede un sito web. Il nuovo regolamento sulla protezione dei dati, voluto fortemente dall’Unione Europea, entrerà in vigore il 25 maggio 2018. Rispetto alla legge Cookie Law del 2014, però, il GDPR impone alle società di creare un piano di adeguamento particolarmente attento e tempestivo. Ma andiamo per grado.
Cos’è il GDPR?
Il GDPR, che sta per General Data Protection Regulation, è un metodo che consente ai visitatori di un sito web di controllare il modo in cui i loro dati vengono raccolti e utilizzati. Il metodo riguarderà tutti i siti web con visitatori dell’Unione Europe. Lo scopo dell’UE è quello di rafforzare la tutela dei dati personali di fronte ai tanti rischi che ci sono al giorno d’oggi (es. social network o Internet of Things). Il nuovo regolamento impone sia ai pubblici che ai privati un cambiamento sostanziale del loro operato.
L’obiettivo principale è quello di tutelare i dati degli utenti attraverso un processo strutturato che impone ruoli, responsabili e responsabilità. Tuttavia, la nuova legge sulla protezione dei dati ha un altro scopo: regolamentare in maniera più uniforme l’aspetto della privacy nelle diverse città europee.
Il consenso fornito dagli utenti del sito deve essere informato ed esplicito. In questo modo, tutti i visitatori devono confermare il loro volere di prestare il proprio consenso al trattamento dei loro dati personali.
Allo stesso tempo, i siti web devono mostrare una chiara privacy policy indicando chiaramente i dati che saranno raccolti e memorizzati, da chi e per quanto tempo. In questo modo, gli utenti dovranno avere la possibilità di modificare, cancellare e negare in qualsiasi momento il consenso ai propri dati.
Per dati possiamo dire nome, foto, indirizzo e-mail, dati bancari, indirizzo IP e quello di residenza di una persona fisica. All’interno del lunghissimo regolamento europeo, in realtà, si parla solamente in una piccola parte dei cookie. Ciò potrebbe far capire che nulla sia cambiato rispetto alla legge Cookie Law. Tuttavia, esiste comunque un impatto significativo sulla conformità dei punti al GDPR europeo.
Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificarla, saranno soggetti alla nuova legge di data protection voluta dall’Unione Europea. In parole povere, ciò riguarda la maggior parte dei cookie. In sostanza sarete responsabili della protezione dei dati raccolti tramite i cookie e tenuti ad informare chiaramente i visitatori sulle modalità con cui i dati vengono utilizzati.
Se siete in possesso di un portale che utilizza cookie per raccogliere dati personali, allora dovrete rivedere il consenso su questi. Al contrario, se possedete un sito web classico che non raccoglie dati personali, allora non sarete soggetti al GDPR ma comunque continuerà a funzionare la normativa Cookie Law.
La nuova legge, nello specifico, richiede una documentazione di ciascun consenso dove si dovrà includere i dati dei visitatori condivisi con i servizi terzi presenti sul sito web e in quale parte del mondo verranno inviati.
Dunque, il nuovo regolamento europeo riporta: cosa viene registrato, che si sta monitorando, per quale motivo, dove andranno i dati e per quanto tempo resteranno sul web.
I rischi di chi non rispetta la nuova legge
La sanzione stabilita, se non si rispettano le regole del GDPR, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo, se superiore. In ogni caso, sul sito del GDPR ci sono le FAQ dove è possibile vedere le diverse sanzioni applicabili secondo il tipo di violazione.
Entro il 25 maggio 2018, ogni Stato appartenente all’Unione Europea dovrà istituire una società che si occuperà di verificare tutti i siti web se rispettano o meno il nuovo regolamento. In caso di violazioni, la suddetta azienda indicherà le misure da correggere a cui i siti web dovranno adeguarsi.
Il sito web è conferme al nuovo GDPR?
A questo punto bisogna capire se il proprio sito Web è a norma oppure no con il nuovo GDPR europeo. Bisogna analizzare nello specifico alcune parti del proprio portale:
- moduli di registrazione utenti
- sezione commenti
- moduli di contatto
- analisi dei log del traffico
- plugin utilizzati
- strumenti di e-mail marketing
Inoltre, bisogna assolutamente rivedere il modo in cui si gestiscono e memorizzano i dati sensibili, i cookie, il banner per il consenso su questi ultimi e la privacy policy. In quest’ultimo caso, per essere in regola senza problemi con la nuova legge europea, è sempre meglio rivolgersi a un consulente legale.
Al contrario, se disponete di un sito web classico, uno dei migliori tool online per generare una privacy policy è quello offerto da Iubenda (link). In alternativa, attraverso il sito Wonder è possibile creare autonomamente una privacy policy. Tuttavia, quest’ultima procedura è consigliata soltanto per i più esperti.
Controllare i banner dei cookie
Un’altra cosa da fare per adattare il proprio sito web al nuovo GDPR dell’UE è quello di controllare i banner per il consenso al trattamento dei dati personali. In particolare, il consenso sui cookie deve informare l’utente in anticipo delle finalità di essi, avere la possibilità di selezionare e deselezionare i vari tipi di cookie, avere la possibilità di applicare un’azione affermativa e positiva (quindi esplicita), avere la prova del consenso tramite registrazione e ritirare in qualunque momento il consenso dato precedentemente.
Uno dei pochi strumenti disponibili online pienamente compatibili con il GDPR europeo e con la direttiva europea sulla privacy è Cookiebot. Con questo tool avrete la possibilità di monitorare e documentare qualsiasi attività di tracciamento del sito, visualizzare le informazioni richieste dalla nuova legge europea per i visitatori del sito e documentare tutti i consensi dati dagli utenti in maniera automatica e in qualunque momento.
Inoltre, Cookiebot scansiona il sito web ricercando tutti i sistemi di tracciamento e alla fine vi fornisce un resoconto di quali servizi terzi hanno monitorato i visitatori e dove vengono inviate le informazioni raccolte. Il consenso dell’utente sarà messo a disposizione attraverso un banner dove si potrà facilmente attivare e disattivare i vari tipi di cookie e configurare e modificare/ritirare il consenso. Ogni anno, inoltre, il consenso verrà rinnovato in automatico alla prima visita dell’utente sul sito web. Per maggiori informazioni su come installare Cookiebot, vi lasciamo il link alla pagina ufficiale.
Se subisco una violazione al mio sito web?
Qualora il vostro portale subisca una violazione dei dati, entro 72 ore dovrete comunicarlo ai visitatori. Una delle soluzioni più appropriate è quello di scegliere un hosting sicuro e installare i plugin migliori per aumentare la sicurezza del portale. Oltre allo spazio web, bisogna assicurarsi che l’hosting abbia a disposizione un certificato di sicurezza SSL, che permette di avere un traffico crittografato da e verso il sito web, e un sistema sicuro di backup giornaliero.
Uno degli hosting più famosi e potenti è Siteground che recentemente ha aggiunto alcune funzionalità interessanti per aumentare ancor di più la sicurezza.
Raccolta, elaborazione e conservazione dei dati
Per rispettare a 360° i dati degli utenti, bisogna focalizzarsi su 3 pilastri fondamentali:
- diritto di accesso: dare la possibilità ai visitatori di accedere ai propri dati personali
- diritto all’oblio: dare la possibilità agli utenti di cancellare i loro dati
- portabilità dei dati: dare la possibilità ai visitatori di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro
La soluzione per soddisfare tali diritti è stata implementata da WordPress nella versione 4.9.6 e da WooCommerce nella release 3.4.0. Per quanto riguarda il diritto di accesso, bisogna informare i visitatori del motivo per cui vengono raccolti i dati e come vengono elaborati e conservati. Prima di pubblicare la privacy policy, poi, è necessario avere molto chiaro quali dati raccogliere, elaborare e conservare.
Riguardo il diritto all’oblio, è possibile affidarsi al plugin gratuito Delete Me se si vuole evitare di eliminare manualmente i dati degli utenti registrati al sito web. Per rispettare tutti e 3 gli obblighi, è possibile affidarsi al plugin WPGDPR per rendere compatibile il portale al GDPR europeo (link download).
Plugin WordPress
Tutti i plugin installati dovranno rispettare alla lettera le disposizioni del nuovo regolamento UE. Dunque, si dovrà verificare se e come gli add-on utilizzano i dati personali di ogni utente raccolti tramite WordPress. L’esempio classico è il plugin dedicato al modulo di contatto dove viene richiesto di inserire alcuni dati personali. Uno degli add-on più utilizzati e consigliati è Contact Form 7 che non salva i dati sul server e poi perché mette a disposizione una casella di conferma (checkbox) dove i visitatori possono dare il loro consenso al trattamento dei dati secondo la privacy policy del sito.
Utilizzando il tool PluginCheck è possibile controllare se gli add-on utilizzati per un sito di e-commerce sono in regola con il nuovo GDPR. In questo modo, sarete in grado di monitorare oltre 300 plugin presenti nelle 3 principali piattaforme di e-commerce: Magento, PrestaShop e WooCommerce.
Qualora si utilizzino dei plugin che salvano i dati personali su un database, allora raccogliete soltanto quelli strettamente necessari, cercate di usare soltanto add-on che non memorizzano dati nel database e, se proprio avete bisogno, proteggeteli utilizzando la crittografia in un database esterno a WordPress per evitare spiacevoli inconvenienti.
E-mail marketing
Per quanto riguarda gli strumenti di e-mail marketing, è possibile usare il plugin ConverterPro che invia tramite e-mail l’accettazione degli utenti che prestano il proprio consenso al form di contatto e/o alla newsletter presenti nel sito web. Cercate, quindi, di essere pronti al prossimo 25 maggio 2018 per il nuovo GDPR per evitare sanzioni alquanto salate.
