Come noto, dal 25 maggio 2018 è entrata in vigore la nuova normativa sulla privacy prevista dal GDPR (General Data Protection Regulation, ossia “Regolamento generale sulla protezione dei dati”).
La riforma punta alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, cioè di tutte quelle informazioni che riguardano un individuo: il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.
Le novità introdotte dalla riforma della GDPR hanno lo scopo di responsabilizzare aziende ed enti dell’Ue, che devono adeguarsi agli adempimenti imposti dalla normativa ed essere in grado di dimostrare la propria conformità.
Chi non si allinea agli obblighi del GDPR può andare incontro a pesanti sanzioni, con multe fino a 20 milioni di euro o fino al 4% del fatturato dell’anno precedente.
Con le nuove disposizioni per la tutela dei dati personali e della privacy, tutte le aziende che hanno un sito web, un blog o un e-commerce e che elaborano le informazioni sensibili degli utenti, devono adeguarsi al Regolamento Europeo.
Come si può adeguare il sito web aziendale al GDPR? Ecco quali sono le principali modifiche da effettuare.
Informativa privacy.
La prima cosa da fare è ottenere il consenso esplicito al trattamento dati da parte di ogni visitatore del sito. Questo è possibile attraverso una corretta Informativa privacy.
Partiamo dal fatto che alla base dell’adeguamento del sito web deve esserci il rapporto tra privacy e trasparenza: l’informativa deve essere chiara, completa e comprensibile, perché da questa deve scaturire il consenso informato su tutti i punti che riguardano il trattamento dei dati personali.
Quindi l’informativa deve descrivere in modo inequivocabile:
- quali dati personali raccoglie il sito e perché
- in che modo e da chi i dati vengono raccolti, conservati e trattati
- per quanto tempo saranno conservati
- se e in quali condizioni i dati potranno essere ceduti a terze parti.
Un’informativa esaustiva tutela il diritto dell’utente ad essere informato e permette ai visitatori del sito di decidere in modo consapevole se dare o meno il proprio consenso al trattamento dei loro dati personali.
Gli avvisi devono essere visualizzati in modo palese anche per bambini o minorenni.
Sarà compito dell’amministratore del sito avere cura di individuare due categorie, in modo da distinguere i dati ottenuti direttamente dagli utenti e i dati secondari raccolti in base ad informazioni.
La piattaforma data-logging.
Nel sito dovrà essere presente la piattaforma data-logging, ovvero un sistema di verifica dei dati degli utenti/visitatori che dia la possibilità di notifica immediata nel caso in cui vengano violati i dati personali.
Grazie a questa piattaforma, associata ad un software o a plugin, si possono collezionare i dati e tracciare le attività dell’amministratore di sistema.
Il diritto alla cancellazione dei dati.
Uno dei diritti dell’utente tutelati dal GDPR è quello di poter cancellare i propri dati in qualsiasi momento. Quindi occorre rendere immediata la possibilità di gestione e cancellazione dati.
Per facilitare tale procedura, è necessario che nel sito venga creato un database separato che agevoli e semplifichi la richiesta di eliminazione dei dati personali.
La newsletter.
Il consenso deve essere prestato in modo esplicito ed inequivocabile dall’utente, perciò anche le opzioni di abbonamento alla newsletter e le preferenze di contatto devono essere riorganizzati.
È indispensabile rivedere e correggere tutti i moduli del sito inserendo la casella di spunta (che non può essere precompilata) per il consenso al trattamento dei dati personali.
Per quanto riguarda i messaggi sponsorizzati e i moduli funzionanti in modalità opt-out devono essere riadattati ad opt-in opzionale.