Non avevamo ancora parlato di GDPR qui.
Le ultime settimane sono state dedicate allo studio della normativa e all’applicazione degli adeguamenti necessari ai portali WordPress gestiti attraverso il nostro sistema di manutenzione.
Se siete arrivati fin qui è probabile che abbiate già capito tutto e vogliate sapere cosa bisogna fare nel lato pratico, ma può anche essere che non abbiate ben chiaro di che cosa si tratta, pertanto abbiamo suddiviso questo articolo in due sezioni, la prima contiene un “breve” ma necessario ripasso generale, mentre la seconda contiene le istruzioni “tecniche” sul da farsi.
Prima Parte: Cos’è il GDPR e chi deve adeguarsi se ha un sito web.
Puoi anche scaricare il PDF di riepilogo di questa prima parte, per leggerla in un secondo momento: clicca qui per scaricare il PDF.
Si chiama GDPR 679/2016 ed è una nuova legge sulla protezione dei dati personali che entrerà in vigore il prossimo 25 maggio 2018, in tutti gli stati membri dell’Unione Europea (UE).
Saranno soggetti all’applicazione delle normative tutti i Titolari che utilizzano per il proprio sito uno di questi strumenti:
- Google: Analytics, Maps, Font, Adsense, Adwords, ReCaptcha e qualsiasi altro strumento di Google.
- Form Contatti
- Qualsiasi altro strumento che utilizzi i Cookie (sono davvero tantissimi)
- E-commerce e registrazione utenti
La lista è ridotta all’osso, ma serve a farti capire che se hai anche solo una di queste cose sul sito, sei soggetto al GDPR; scommetto che se vai a controllare quali e quanti cookie usa il tuo sito, ne avrai almeno uno e quindi ti devi adeguare.
Cosa cambia rispetto a prima quando era in vigore la semplice Cookie Law?
Cambia il modo e la sostanza in cui il Titolare di un sito web diventa responsabile dei dati (Form e Cookie) registrati o generati sui computer dei propri visitatori.
Dal 25 maggio 2018 non sarà più sufficiente informare l’utente che il vostro sito usa i Cookie. Come riporta la nuova normativa infatti il consenso all’utilizzo dei Cookie da parte del visitatore dovrà essere: informato, preventivo, esplicito e registrato. Nota bene, è scritto proprio preventivo e registrato, ora spiego cosa significa.
In altre parole per essere a norma un sito web dovrà fornire una “Informativa sulla Privacy” adeguata e legalmente valida, in grado cioè di fornire informazioni semplici e corrette sulla base dei Cookie realmente utilizzati. Inoltre il consenso del visitatore che clicca “OK, Accetto i Cookie”, dovrà essere registrato su un database, in quanto la normativa impone che il Titolare dovrà essere in grado di fornire la prova del consenso e la successiva modifica o negazione da parte dell’utente (in maniera autonoma possibilmente).
I siti web destinati alla vendita di servizi e prodotti (e-commerce), dovranno inoltre fornire uno strumento in grado di consentire la modifica, la cancellazione e la migrazione dei dati-cliente verso altre piattaforme.
Cosa succede se non mi adeguo?
Entro la data del 25 Maggio 2018, ogni Stato membro, dovrà istituire una particolare società che avrà il compito di verificare tutti i siti web e la loro conformità alla nuova legge. In Italia sarà molto probabilmente il Garante per la Privacy ad occuparsi di queste verifiche. In caso di violazioni, questa società indicherà le misure correttive a cui gli interessati dovranno adeguarsi.
Quindi virtualmente non succede nulla finché non rilevano che il tuo sito non è a norma (il metodo ancora non è chiaro ma è probabile che sarà semi-automatico).
Qui le strade possibili sono tre:
- Verrai avvisato sulle modifiche da fare al sito, e dovrai adeguarti comunque.
- Verrai sanzionato in maniera diretta.
- Penserai che in Italia non funziona nulla, figuriamoci se toccherà a te (spera anche di non avere mai clienti o concorrenti agguerriti che vogliono rovinarti segnalando il tuo sito).
La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore. Per conoscere le diverse sanzioni applicabili in base al tipo di violazione commessa, è possibile fare riferimento alla sezione “domande frequenti” (FAQ) presenti sul sito del GDPR: https://www.eugdpr.org/gdpr-faqs.html
Tutto qui? Non proprio…
Il GDPR indica anche delle misure da adottare qualora il tuo sito dovesse subire delle violazioni, come un attacco hacker, un defacement e qualsiasi altra cosa possa provocare la fuoriuscita di dati sensibili. E’ sicuramente il caso, questo, di tutti i siti web e-commerce o che registrano dati dei propri utenti sul vostro sito/server.
Ai sensi della conformità del GDPR, se il vostro sito web sta subendo una violazione dei dati di qualsiasi tipo, come attacchi esterni, malware e così via, tale violazione deve essere comunicata agli utenti. Una violazione dei dati (secondo la normativa) può comportare un rischio per i diritti e le libertà delle persone per tal motivo ai sensi del GDPR, una notifica deve essere inviata a tutti gli utenti entro 72 ore dall’avvenuta conoscenza di una violazione. I processori di dati ( Titolare del sito, definito dalla normativa come DPO ) sono inoltre tenuti a informare gli utenti e i responsabili del trattamento dei dati, immediatamente dopo aver preso conoscenza della violazione. Questa clausola del GDPR crea di conseguenza la necessità (legale) di monitorare la sicurezza e l’aggiornamento costante del vostro sito, in quanto definito come un vero e proprio software aziendale.
Seconda Parte: Istruzioni tecniche per l’adeguamento pratico.
DEVI analizzare quali Cookie sta utilizzando il tuo sito. Se hai un portale fatto con WordPress anche il solo uso di un template preso da internet utilizzerà ad esempio i Fonts di Google.
Il template carica il Font scelto dalle impostazioni, Google ti da il font e genera un Cookie sul browser del visitatore, per scopi di statistica e tracciamento, quindi TU sei responsabile di quei Cookie.
Da qui si evince che o escludi certi servizi che il tuo sito sfrutta per “lavorare” oppure fai una lista di tutti questi servizi e li includi nella tua Cookie Policy.
Per gestire il consenso e la registrazione dei Cookie, così come la successiva modifica e negazione, sono nati diversi strumenti tra cui Cookiebot, un servizio a dir poco eccezionale che ti consentirà di adeguare il sito alla normativa.
Riepilogando:
Hai un sito normale (non vendi, non registri utenti, hai solo qualche cookie e al massimo uno o più contact form)
- Rivedi la tua Privacy e Cookie Policy, includendo in modo chiaro tutti i servizi utilizzati, i tipi di dati raccolti, i motivi e la durata del trattamento dei dati.
- Includi Cookiebot per rispettare la normativa relativa al consenso: informato, preventivo, esplicito e registrato.
Hai un sito e-commerce (o che registra anche dati utenti, esempio se salvi i contact form con Flamingo)
- Esegui gli stessi passaggi per il sito normale
- Offri un metodo sul sito per consentire all’utente di cancellare il proprio profilo/dati, e per consentire di esportare tali dati in un formato universale (xml, pdf, excel et similia).
La soluzione migliore è affidarsi ad una consulenza specializzata: Contattaci per un preventivo o per chiedere l’analisi gratuita del tuo sito.