Adeguare il sito Web al GDPR non è semplice, anche perché il Regolamento UE dice sommariamente cosa bisogna fare ma non come.
Se poi, per l’appunto, entriamo nel mondo della tecnologia, del Web e dei social media la materia si fa ancora più nebulosa, rendendo veramente arduo il compito di chi vuole stare nelle regole.
Questo ovviamente si ripercuote principalmente nei siti Web a cui, vista l’esposizione che hanno essendo accessibili a tutti, si deve porre la massima attenzione possibile, sia in termini di adeguamento alle normative privacy sia per quanto riguarda la protezione dei dati.
C’è anche da riflettere sul fatto che chi ha un sito Web, magari molto visitato o addirittura un e-commerce, non deve solo porsi il problema di non prendere sanzioni bensì anche quello di mantenere una buona Web Reputation.
Pensiamo infatti a cosa può accadere nel caso un sito di e-commerce venga attaccato e vengano violati i dati delle carte di credito degli utenti piuttosto che un blog dove si parla di salute e vengono carpiti i dati sensibili degli iscritti.
Porsi il problema di mettere a norma il sito Web e renderlo sicuro deve quindi essere una priorità.
In questi mesi sono usciti sul web decine e decine di articoli e check-list sull’argomento, ma poche che indichino chiaramente cosa si deve fare e non fare, cosa si deve controllare e quindi, in definitiva, una lista con pochi punti essenziali e chiari.
Questa check-list in 9 PUNTI, non avrà quindi la pretesa di suggerire per filo e per segno in che modo applicare questi punti, anche perché sarebbe impossibile entrare nello specifico di ogni singolo caso, ma può essere sicuramente un buon punto di partenza per il proprio percorso di conformità o, se non altro, per verificare se quello che già fatto è corretto.
Indice degli argomenti
1. L’informativa privacy
L’informativa sulla privacy è, sicuramente, il documento più importante perché da lì si può capire se il Titolare del sito WEB ha lavorato scrupolosamente o sommariamente, magari scopiazzando qua là dagli altri siti.
L’informativa ci dice, e ci deve dire, in modo esaustivo, chiaro e trasparente, tutto quello che abbiamo fatto, che facciamo e che faremo con i dati degli utenti, da quelli che semplicemente navigano il sito fino a quelli che con il sito hanno un’interazione maggiore come gli acquirenti on-line.
In definitiva con l’informativa rendi noto all’utente del sito:
- quali dati raccoglie il sito;
- quanti dati raccoglie il sito;
- in che modalità tratti i dati;
- per che finalità raccogli i dati;
- per quanto tempo conservi i dati;
- come protegge i dati;
- chi ha accesso ai dati;
- a chi possono venire comunicati/e trasferiti i dati;
- i dati del Titolare, il suo/i Responsabili e il Responsabile della Protezione Dati o DPO (se nominato).
Quindi, se l’informativa è così importante vediamo di vedere bene quali informazioni deve fornire:
- informazioni generali sull’azienda/organizzazione, quindi una descrizione sintetica dell’attività;
- link e brevissimo cenno alle leggi a cui l’informativa fa riferimento come, ovviamente il GDPR, e le altre leggi italiane sulla protezione dei dati come il D.lgs. 196/2003 e suo novellato D.lgs. 101/2018;
- quali tipologie di dati vengono richiesti tramite i moduli di contatto e lo scopo (finalità) per cui vengono utilizzati;
- se i dati vengono raccolti per l’invio di newsletter:
- link all’informativa privacy del fornitore del servizio di mailing (ad esempio MailChimp, MailUp, GetResponse);
- se i dati vengono profilati (quindi analizzati, aggregati ecc.) attraverso il processo di e-mail marketing;
- se c’è una pagina di checkout per il controllo dei dati prima di un acquisto on-line:
- che tipologie di dati vengono richiesti attraverso la pagina di checkout e il loro scopo (finalità);
- informazioni sul server del sito web (Hosting Provider) con, possibilmente, una breve descrizione dei suoi sistemi di sicurezza, dove risiedono i server (se in paesi UE o extra UE);
- indicare i fornitori di terze parti (Resposabili Esterni) che trattano i dati dei tuoi utenti (ad es. Activecampaign, Mailchimp, MailUP, Google, PayPal ecc.) e link alle pagine privacy.
- link alle rispettive pagine privacy dei fornitori di terze parti che hanno servizi attivi sul tuo sito web di cui citiamo i più utilizzati: Google Analytics, Google AdWords, il Pixel di Facebook, servizi di remarketing, servizi che tengono traccia dei dati degli utenti finali ecc.;
- a chi potrebbero essere trasferiti (altri Titolari in Paesi extra UE) e/o comunicati i dati (Es. Enti Pubblici, Forze di Polizia, Responsabili esterni ecc.);
- chi ha accesso ai dati (Dipendenti autorizzati interni/esterni o Responsabili esterni);
- link a tutti i plugin, applicazioni o software che memorizzano i dati dei tuoi utenti (ad esempio Woocommerce, Akismet antispam, subscribe to comments ecc.);
- possibilmente, sarebbe bene mettere anche dei link che possano dare accesso a moduli o modalità per le richieste di esercizio dei diritti dell’utente come, ad esempio:
- modulo di contatto per poter esplicitare la propria richiesta;
- richiesta dell’utente di accedere/scaricare (Diritto di accesso) tutti i dati memorizzati sul tuo sito web;
- richiesta dell’utente di cancellare qualsiasi tipo di dato che lo riguardano;
- richiesta di limitare un determinato trattamento per esempio;
- infine, i dati del Titolare del Trattamento e del Responsabile della Protezione Dati (o DPO se nominato) e i rispettivi indirizzi di contatto, Partita IVA, sede e via dicendo.
L’informativa, infine, deve poter essere accessibile da ogni pagina, modulo o form del sito, per cui il consiglio è quello di creare una pagina privacy specifica e mettere un link nel footer del sito (barra sempre presente in basso) e in tutti i moduli di richiesta dati e/o consenso.
2. I cookie
Sui cookie che, per chi non lo sa, sono dei semplici marcatori temporali, c’è ancora un po’ di confusione perché, in attesa che esca la Direttiva E-Privacy su tutto quello che concerne il mondo Web, non è proprio chiarissimo cosa bisogna fare; in particolare, sulle modalità e tempistiche della loro attivazione nel momento in cui l’utente entra nel sito.
In effetti sui cookie bisognerebbe scrivere un articolo a parte, ma qui ci limitiamo a dire l’essenziale di quello che, allo stato dell’arte e basandoci sul provvedimento del Garante n.229/2014, bisogna fare:
- definisci quali cookie usi nel tuo sito e per cosa servono distinti in:
- Cookie tecnici di “navigazione” o di “sessione” (quelli strettamente necessari all’uso del sito);
- Cookie Analytics assimilabili a quelli tecnici che rilevano dati statistici in forma aggregata (es. nr. visitatori, orari, area geografica ecc.);
- Cookie di profilazione (quelli che rilevano un comportamento di un utente direttamente dal tuo sito);
- Cookie di profilazione di terze parti (quelli che rilevano un comportamento dell’utente rilevando dispositivo o indirizzo IP anche da parte di siti esterni al tuo);
- per i soli cookie tecnici e analytics non è necessario chiedere un consenso, basta il classico banner con una scritta tipo:
- “Questo sito utilizza solo cookie tecnici strettamente necessari alla navigazione se vuoi sapere quali leggi l’informativa specifica (link)”;
- per i cookie di profilazione raccolti direttamente dal tuo sito è necessario chiedere un consenso partendo dal classico banner che informa della presenza di questi cookie con un messaggio del tipo
- “Questo sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link). Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie… OK”;
- per i cookie di profilazione di terze parti è necessario chiedere un consenso e qui il messaggio del banner potrebbe essere:
- “Questo sito utilizza cookie, anche di terze parti, per inviarti comunicazioni e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link). Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie (OK)”.
Se però per la profilazione usi, ad esempio, solo Google Analytics (come la maggior parte dei siti) rendendo anonimo l’indirizzo IP il consenso non sarebbe necessario.
Il banner dei cookie deve quindi avere:
- dimensioni tali da rendere il banner facilmente visibile, o – in alternativa – espandibile;
- font più evidenti rispetto a quello del sito;
- un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso;
- deve comparire immediatamente alla prima visita dell’utente sul sito;
Il consenso ai cookie deve avvenire:
- compiendo un’azione di scorrimento (scroll down della pagina);
- facendo clic su uno dei link interni della pagina;
- facendo clic (preferibilmente) sul tasto “OK” o sul tasto “X” di chiusura banner – che può essere posizionato in basso o in alto a destra.
- Nei moduli cookie più strutturati ci possono anche essere dei bottom scroll di abilitazione o disabilitazione per ogni cookie che necessita di consenso, com’è molto probabile che dovrà essere una volta approvata la E-Privacy (quando? Non si sa!).
Infine, l’informativa dei cookie deve essere parte integrante o comunque riconducibile (tramite link) all’informativa generale di cui sopra e deve contenere:
- una descrizione generale di cosa sono i cookie e come possono essere gestiti tramite le impostazioni del browser;
- la spiegazione di come viene prestato il consenso (scroll-down, tasto OK o X e link);
- la descrizione delle categorie di cookie tecnici e analytics e le relative finalità;
- la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
- la descrizione delle finalità dei cookie di terza parte. Per ognuna di queste (identificabile anche tramite il nome commerciale, ad esempio: Facebook, Google ecc.) la descrizione della finalità del cookie oltre a:
- iI link all’informativa e al modulo di consenso della terza parte con la quale si è stipulato un accordo (spesso on-line) per l’installazione dei cookie sul proprio sito;
- il link all’informativa degli intermediari (solitamente il concessionario di pubblicità del sito) se presenti;
3. Moduli o form di richiesta dell’utente
Tutti i moduli o form che, in qualsiasi parte del sito compaiano, richiedono l’inserimento di dati personali dell’utente, devono rispettare i principi del GDPR, in particolare quello di “minimizzazione” quindi devono:
- non eccedere nella richiesta di dati non strettamente necessari al raggiungimento della finalità;
- prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy”;
- inserire una casella di richiesta consenso per ogni specifica finalità (ad esempio: una per l’invio di comunicazioni marketing, un’altra per il consenso alla profilazione e magari un’altra per il trasferimento dati ad altri Titolari)
- controlla che tutte le caselle NON siano pre-spuntate o impostate sul Sì nel caso ci sia l’opzione Si/No.
4. Plugin e applicazioni
I plugin sono quelle applicazioni che permettono al tuo sito WordPress di aggiungere facilmente delle funzionalità senza dover scrivere delle righe di codice come, ad esempio, il plugin Akismet che permette di controllare le attività Spam sul tuo sito, oppure WooCommerce che gestisce tutte le funzionalità di e-commerce, WPCache per ottimizzarne le prestazioni oppure anche i plugin per la condivisione dei contenuti sui social.
Di plugin ed applicazioni ce ne sono centinaia, ma prima di installarne uno è bene verificare sempre che:
- il plugin e l’applicazione che utilizzi sul tuo sito web sia conforme al GDPR e, normalmente, questo viene specificato nel sito o nella privacy policy del produttore;
- se un plugin o un’applicazione non è conforme trovane un altro sostitutivo;
5. CMS
Il CMS (Content Management System) è l’editor che ti permette di gestire e aggiornare i contenuti, pagine e articoli del blog, ed è fondamentale che sia aggiornato e protetto.
Purtroppo, se non hai un contratto di manutenzione ben chiaro che definisce le modalità di aggiornamento, molte web agency, una volta consegnato il sito, non se ne curano più, lasciandolo indietro con gli aggiornamenti di sicurezza, quindi:
- assicurati che il tuo CMS (WordPress, Yoomla, Magento, Shopify, etc.) sia aggiornato e conforme al GDPR.
- controlla se il contratto che hai con la tua Web Agency prevede la manutenzione e gli aggiornamenti del sito e dei relativi plugin. Nel caso rinnovalo con questa opzione o stipula un nuovo contratto prevedendo anche le clausole di Responsabile (vedi punto 10).
6. Pagine di checkout
Per le pagine di checkout, ovvero quelle che servono per il controllo dei dati necessari alla finalizzazione di un ordine on-line, valgono più o meno gli stessi criteri già indicati al punto 3 per i moduli e le form di contatto quindi, anche qui:
- non eccedere nella richiesta di dati non necessari in base alle finalità (checkout);
- prevedere una casella di spunta con un link all’informativa privacy ed un messaggio del tipo “Ho letto ed accetto le modalità di trattamento dei dati descritte nella Privacy Policy” a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire tutti i dati;
- inserire le caselle di richieste consenso se vuoi inserire ulteriori trattamenti dati per l’invio di comunicazioni marketing e per il consenso alla profilazione a meno che l’utente non si sia già iscritto e l’abbia già fatto in precedenza per non reinserire tutti i dati;
- controlla che tutte le caselle NON siano pre-spuntate o impostate sul si nel caso ci sia l’opzione si/no;
7. Consenso
Se sono stati raccolti i consensi prima del 25 maggio 2018 bisogna controllare che siano stati ottenuti rispettando i principi del GDPR altrimenti è necessario chiedere un nuovo consenso, soprattutto se il consenso comprendeva più finalità e se avevi le caselle pre-spuntate.
Per ottenere un nuovo consenso è possibile inviare una mail alla tua lista, specificando che hai aggiornato le condizioni di trattamento dei dati in funzione del nuovo Regolamento UE 2016/679 (quindi nuova informativa) e che è necessario confermare i dati forniti in precedenza tramite un bottone, una spunta o qualsiasi altra forma che preveda un’azione libera ed inequivocabile dell’utente per ogni finalità quindi, in breve:
- invia una mail con la nuova informativa per chiedere conferma dei dati e un nuovo consenso;
- cancella dalla lista i nominativi che non ti hanno rinnovato il consenso;
8. Backup
In una buona politica di protezione dati non può mancare un backup con tutti i crismi, anche perché gli ultimi dati ci dicono che non esistono sistemi a prova di hacker e prima o poi toccherà a tutti fare i conti con questo tipo di problemi:
- assicurati di avere un sistema di back-up schedulato (meglio se giornaliero) sia per i contenuti del tuo sito che per i database che contengono i dati degli utenti;
- assicurati di avere più copie dello stesso back-up (almeno tre), in più posti diversi (Locale, Cloud e Off-line);
- limita l’accesso ai dati di back-up alle sole persone e/o Responsabili autorizzati o nominati;
- usa supporti, dischi o sistemi che prevedono la cifratura dei dati (occhio a non perdere la password di decriptazione altrimenti sono dolori);
- testa i tuoi back-up periodicamente con prove di restore dei dati atti a verificarne l’integrità e documenta che l’hai fatto;
9. Nomine e autorizzazioni
Il GDPR negli art. 28 e 29 stabilisce che, chiunque abbia accesso ai dati personali sotto l’autorità di un Titolare debba aver ricevuto un’adeguata istruzione e formazione mentre chi, tratta i dati per conto del Titolare stesso, utilizzando mezzi e strutture proprie, debba essere nominato Responsabile con un atto formale (contratto).
Alla luce di questo è quindi fondamentale:
- individuare i fornitori che trattano i dati presenti o che transitano dal sito come, ad esempio, la Web Agency, il Mail Marketing Provider, l’Hosting Provider ecc.;
- nominare i fornitori così individuati come Responsabili attraverso una DPA (Data Processor Agreement) tenendo presente che, i “big player” come Google, Facebook, Mailchimp…, le hanno già predisposte nei loro contratti di servizi base;
- individuare i dipendenti/collaboratori che in azienda hanno o avranno accesso ai dati che verranno raccolti dal sito;
- autorizzare i dipendenti/collaboratori che hanno accesso ai dati con un documento (mansionario) che contenga le istruzioni per un corretto trattamento e protezione dei dati.
Conclusione
Riepiloghiamo i 9 punti fondamentali per controllare che il tuo sito sia a norma:
- controlla l’informativa;
- controlla la parte sui cookie;
- metti a norma tutti moduli di richiesta dati;
- usa plugin conformi al GDPR;
- aggiorna e proteggi il tuo CMS;
- controlla le pagine di check-out come per i moduli;
- verifica e rinnova i consensi se necessario;
- fai un buon backup;
- procedi alle nomine ed autorizzazioni di responsabili e autorizzati.
Ricordati che, per fare una verifica del sito Web non c’è bisogno di venire nella tua azienda perché, essendo on-line, si possono eseguire test di conformità anche da remoto, cosa che le Autorità di Controllo stanno già facendo e faranno sempre di più in futuro, anche con l’ausilio di strumenti di analisi automatici.
Se ancora ti devi apprestare o ti stai apprestando ad iniziare un progetto di GDPR compliance il mio consiglio è di mettere in ordine il sito Web poi tutto il resto.