GDPR: 10 cose da fare

10 cose da fare per adeguarsi al GDPR

General Data Protection Regulation

Per le organizzazioni che trattano dati personali in modo significativo diventa essenziale definire un piano di azione per gestire in modo adeguato le regole che sono introdotte dal Regolamento Europeo.

Questi sono gli step da mettere in pratica:

  1. Sensibilizzare e mettere al corrente il team della vostra organizzazione in relazione dei prossimi cambiamenti per determinarne insieme i potenziali effetti dell’applicazione del nuovo Regolamento;
  2. Esaminare ed approfondire che tipo di dati siano trattati e svilupparne una mappa aggiornata.
  3. Creare un inventario delle proprio informative e valutare quali possano e debbano essere le modifiche in base al nuovo Regolamento. Analizzare in concreto quali passaggi servano per evidenziare chiaramente la fonte del dati e la tempistica della loro conservazione. Testare nel frattempo nuoce tipologie di informative maggiormente basate su immagini (ad esempio l’utilizzo di infografiche).
  4. Riflettere bene sul come coordinare la funzione di Responsabile per la protezione dei dati personali all’interno dell’azienda.
  5. Specificare le direttive per la gestione dei diritti dell’interessato e stabilire e comprendere come attuare il diritto all’oblio.
  6. Utilizzare software sentinella per amministrare la nuova normativa di notifica delle violazioni nell’uso dei dati persona
  7. Esaminare le conseguenze del diritto alla portabilità dei dati ed organizzare con attenzione i vari step per evitare problematiche ai database aziendali.
  8. Sviluppare le nuove direttive sull’acquisizione e informazione del consenso. Accertarsi con dovizia dei fornitori dei dati. In presenza di dati di minori, ricordarsi del consenso dei genitori oltre al consenso del minore sotto i 16 anni.
  9. Testare la Privacy a partire dalla progettazione di un processo aziendale (Privacy By Design) e redigere la valutazione d’impatto sulla protezione dei dati personali (PIA, Privacy Impact Assessment).
  10. Esaminare i vari step per la gestione delle richieste degli interessati e determinare come possano essere gestite attraverso piattaforme di facile utilizzo anche per chi non abbia grande dimestichezza con l’informatica.

Si, ma nella pratica, come possiamo adeguare il nostro sito (prendendo ad esempio WordPress)?

Nel nostro sito web, dobbiamo dedicare particolare attenzione a questi punti:

  • Che tipo di plugin sono installati ed utilizzati;
  • Se sono gestiti i commenti degli utenti;
  • Possibilità di registrazione degli utenti;
  • Form di contatto o richiesta informazioni;
  • Analisi del traffico generato;
  • Eventuali strumenti per gestire l’email marketing

Sarà fondamentale e necessario:

  • verificare e ampliare il modo in cui siano amministrati e salvati eventuali dati sensibili;
  • sviluppare e/o utilizzare un nuovo banner per la gestione dei Cookie. Il consenso dovrà ovviamente rispettare le norme del nuovo Regolamento;
  • adeguare l’Informativa della Privacy alla normativa del GDPR.

Per adeguare l’Informativa della Privacy in caso di servizi e raccolte dati basilari, si può utilizzare un servizio come Iubenda: https://www.iubenda.com/it

In presenza di casi particolari, è altamente consigliato avvalersi della consulenza di studi legali specializzati.

Banner per il consenso dei Cookie

Se il tuo sito installa nel browser degli utenti uno o più cookie che dia possibilità di identificazione, ci sono due strade: eliminarli o adeguarli al nuovo Regolamento presente nel GDPR.

A differenza della normativa attuale, il banner per il consenso dei Cookie, per rispettare correttamente le norme del GDPR deve assicurarsi che il consenso sia:

  • informato e preventivo: l’utente deve ricevere tutte le informazioni prima di accedere al sito e deve aver la possibilità di selezionare o meno le diverse tipologie di cookie;
  • esplicito: l’accettazione dell’utente deve essere affermativa e positiva;
  • registrato: dev’esserci traccia del consenso ricevuto;
  • modificabile: i visitatori devono aver la possibilità di modificare la loro scelta riguardo al consenso, eventualmente rifiutando determinati cookie avendo lo stesso facoltà di navigare nel sito.

Un plugin che dia tali possibilità è Cookiebot (elencato anche da Google come soluzione affidabile: https://www.cookiechoices.org/): https://www.cookiebot.com/it/

Esso offre tali servizi:

  • Informativa sui cookie e scansione automatica;
  • Banner di consenso per l’uso dei cookie;
  • Cookie Control API;
  • Repository dei cookie;
  • Consenso di massa per più domini;
  • Supporta e rileva automaticamente ogni lingua;
  • Geo targeting in tempo reale;
  • Reporting;
  • Lista bianca dei cookie strettamente necessari;
  • Supporto cross-browser;
  • Rispetta l’impostazione ‘Non seguire’;
  • Dotato di una piattaforma indipendente che può essere usato con qualsiasi sito web.

Attraverso questo plugin avrai già soddisfatto alcuni dei requisiti del GDPR, cioè:

  • dare la possibilità ai visitatori di revocare il consenso dei cookie;
  • concedere la possibilità di rifiutare alcuni cookie e avere allo stesso tempo l’opportunità di visitare il sito;
  • informazione completa di tutti i consensi forniti;
  • informazioni dettagliate sulla tipologia dei dati e riguardo le finalità dei cookie.

Però non è sufficiente, bisogna proseguire nel lavoro di adeguamento.

Vediamo come.

È fondamentale notificare eventuali violazioni

Se il sito subisce qualche attacco e/o violazione dei dati, dev’esserci comunicazione al Garante e agli utenti entro 72 ore.

Questo è possibile scegliendo servizi di hosting professionali che offrano certificati di sicurezza SSL, monitoraggio di malware eventualmente presenti nel sito, il servizio di backup.

Sarà fondamentale inserire e specificare le norme di sicurezza dell’hosting nell’Informativa della Privacy.

Raccolta dei dati, elaborazione e conservazione

È fondamentale rispettare i seguenti punti:

  • Portabilità dei dati, cioè l’opportunità di trasferire i dati degli utenti da un sistema ad un altro (eventualmente scaricandoseli). Questo è possibile gestirlo tramite il plugin WordPress WPGDPR: https://wp-gdpr.eu/ ;
  • Diritto all’oblio, cioè la possibilità di cancellazione dei propri dati. È possibile eliminare in autonomia il proprio account utilizzando il plugin gratuito Delete Me: https://wordpress.org/plugins/delete-me/ (soluzione applicabile nelle piattaforme che prevedano la registrazione degli utenti);
  • Diritto di accesso, potendo quindi accedere ai propri dati. È fondamentale informare riguardo le ragioni per cui vengano raccolti i dati. Necessario avere un’idea precisa di quali dati si voglia raccogliere, trattare ed immagazzinare.

I Plugin WordPress utilizzati, rispettano la GDPR?

Sarà fondamentale accertarsi che i plugin che salvino i dati degli utenti rispettino la normativa del GDPR.

Alcuni consigli in merito:

  • trattare i dati solo se strettamente indispensabili;
  • avvalersi di plugin che non salvino dati nel database;
  • qualora vengano memorizzati i dati degli utenti, utilizzare una base dati esterna a WordPress, magari crittografandola.

Piattaforme di Email Marketing

Fondamentale che tali servizi possano dare la possibilità agli utenti di modificare i loro dati ed eventualmente cancellare il profilo registrato in precedenza.

A differenza del passato, ora dovranno essere presenti differenti checkbox relative ai differenti trattamenti. Dovrà inoltre esser possibile evidenziare la presenza del consenso, facilmente riconducibile all’utente in questione.

Riassumendo

Per adeguare il sito sviluppato in WordPress alla nuova normativa del GDPR è necessario:

  • rivedere l’Informativa della Privacy;
  • ricevere il consenso dell’utente prima di memorizzarne i dati;
  • verificare le diverse modalità di raccolta dei dati;
  • sviluppare le varie possibilità di gestione dei dati degli utenti, dando così la possibilità di inserire, modificare, eliminare o scaricare le proprie informazioni;
  • conservare solo i dati strettamente indispensabili;
  • utilizzare solo plugin che rispettino la nuova normativa del GDPR.