Sono alcuni giorni, gli ultimi giorni prima del 25 Maggio per la precisione in quanto sono solo 2 anni che si sapeva quando sarebbe entrato in vigore il GDPR, che continuiamo a ricevere email, telefonate, sms, messaggi whatsapp, gente che bussa al vetro quando sei fermo in auto al semaforo con sempre la solita domanda: ma il mio sito è in regola con la nuova legge sulla privacy? Eppure avevamo fatto anche due Lab a tema...
La risposta è indistintamente per tutti sempre la stessa: NO.
O meglio, se non hai fatto nulla da solo lui, povero sito, non ce la può aver fatta a mettersi regola, eh si. Neanche la tua web agency di riferimento, qualsiasi essa sia, può aver fatto questa magia, eh no.
Poi ieri la liberazione, il termine ultimo per mettersi in regola con il Regolamento UE n. 2016/679 (per gli amici GDPR) slitta al 21 Agosto (t'immagini... Agosto ...). Ma prevedendo la stessa mole di domande nei giorni immediatamente precedenti, visto che probabilmente la settimana di Ferragosto le ferie avranno la priorità, voglio portarmi avanti. E darvi importanti comunicazioni, pregandovi nel contempo di leggerle ed assimilarle. Come vedrete la parte web è importante, ma non l'unica nè la più complessa da regolarizzare. E soprattutto deve essere integrata con la messa in regola di tutta la vostra azienda.
Quali sono le Novità più Importanti introdotte con il GDPR?
- Scadenza: deve essere indicata la scadenza dei dati. Il Consenso non è permanente, bisogna indicare una data massima.
- Consenso per l’utilizzo: l’azienda dovrà indicare l’utilizzo dei dati in maniera specifica (es. profilazione, marketing o altro) ed il consenso dovrà essere accettato per ogni singolo utilizzo. Quando per un trattamento è necessario, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.
- Conoscere i dati: il visitatore ha il diritto di accedere ai dati conservati dall’azienda, chiedendone anche modifica o eliminazione.
- Linguaggio Semplice: l’informativa dovrà essere scritta con un linguaggio chiaro e comprensibile senza tecnicismi o termini giuridici. Non saranno accettate clausole troppe tecniche e testi troppo piccoli come dimensione.
- Diritto all’oblio: l’utente potrà richiedere la cancellazione di dati o altro che lo riguardano e che non sono più di pubblica utilità, ma anche la revoca della pubblicazione del trattamento concesso in precedenza.
- Minori: il consenso è valido solo per gli utenti con un’età superiore a 16 anni. Per i minori sarà obbligatorio ricevere il consenso dei genitori.
- Accountability: con questa voce si sancisce che sarà obbligo dell’azienda che possiede i dati sensibili di proteggerli con tutti i mezzi a disposizione.
- Data Breach: cioè le violazioni dei dati a causa di attacchi informatici o furti. Tutti gli utenti potranno sapere se i propri dati sono stati violati. Inoltre le violazioni dovranno essere comunicate al garante entro un determinato tempo (max 72 ore dopo).
COSA CAMBIA E COME ADEGUARE DI FATTO IL VOSTRO SITO:
Attenzione: Tutto questo vale anche per siti semplici che non profilano ma hanno pagine con semplici form (contatti) o solo Analytics:
- Inserire la motivazione per cui si raccolgono i dati e quale scadenza ha il consenso
- I checkbox di accettazione non possono essere pre-flaggati e cumulativi (ogni voce deve essere accettata singolarmente, o quantomeno devo poterla de-flaggare prima di iniziare la navigazione)
- Chi è il titolare del trattamento dei dati e come contattarlo. Non solo il nome va indicato ma tutte le forme di contatto, io consiglio una PEC per chi ce l'ha
- Specificare come l’utente può accedere alla visione e modifica dei suoi dati (es. inviando una email dove si specifica quali dati, anche qua consiglio di creare una email univoca per questo scopo)
- Aggiornare la Policy Cookie inserendo i vari cookie usati e come vengono usati con le caratteristiche di cui sopra
- Aggiornare la Policy Privacy inserendo il Titolare Trattamento e la nuova parte della normativa del GDPR – Regolamento UE 2016/679
- Elencare i cookie con le diverse profilazioni e a cosa servono con relative informazioni su come disattivarli
- Inserire nelle Policy come l’utente puà cancellare o modificare i dati
- Inserire una pagina o Popup o form che l’utente può usare per gestire i suoi dati, per gli ecommerce o i siti che prevodono una registrazione utente più semplice, altrimenti va fatta una form specifica collegata all'email univoca
Da punto di vista TECNICO il lavoro è più complesso, infatti è necessario:
- Il Sito deve offrire un sistema crittografato, esempio avere un certificato SSL (che poi anche per tutto il resto, SEO in primis... visto che Google inizierà a fare presto il cattivo con gli insicuri...)
- Aggiornare il banner dei Cookie con le funzioni sopra descritte
- Aggiornare l'Informativa estesa con i dati e informative sopra descritte
- Deve essere creato un archivio LOG con il tracciamento del consenso delle informazioni ricevute
- Predisporre un’area per dare la possibilità all’utente di accedere ai propri dati e poterli modificare o rimuoverli. O quantomeno poter effettuare tale richiesta al Titolare del Trattamento
- Un Servizio di backup su Hosting o Spazio Web (che normalmente è automatizzato, ogni giorno)
Per tutto quello che riguarda i Cookies, dotFlorence Web Agency consiglia di usare Cookiebot (che forse avete visto in funzione navigando il nostro sito) per tutto il resto consultate il vostro legale o professionista certificato GDPR, se non lo avete potete richiedere maggiori informazioni direttamente a noi!
Paolo Ramponi