Come adeguare il sito web aziendale al GDPR

Proviamo di seguito a descrivere sinteticamente i punti che tutte le imprese e professionisti che hanno un sito web e che elaborano le informazioni personali dei propri utenti debbono prendere in considerazione per essere conformi al nuovo Regolamento Europeo sulla Privacy.

Alla base dell’approccio vi deve necessariamente essere una logica volta alla massima trasparenza di informazione verso gli utenti del sito, con particolare focus sui seguenti punti:

  • perché il sito richiede i dati personali?
  • come vengono ottenuti e conservati i dati?
  • i dati possono essere ceduti a soggetti terzi e in quali condizioni?

Vediamo qui di seguito evidenziati:

– i principali diritti tutelati dal GDPR

– le conseguenti misure che il proprietario di un sito dovrà porre in essere ai fini della conformità GDPR.

  • la tutela dei diritti dell’interessato

L’utente di un sito web dispone dei seguenti diritti fondamentali: il diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati ed il diritto di cancellazione.

Il sito dovrà prevedere adeguate procedure informatiche che:

  • riconoscano il tipo di richiesta dell’utente;
  • siano in grado con automatismo di fornire corretto riscontro a tali istanze.

Per quanto riguarda in particolare la richiesta cancellazione dei dati personali, è opportuno creare un apposito database separato per il consenso degli utenti.

  • la registrazione degli utenti

Il sito web, per essere conforme al GDPR, deve disporre di un sistema di verifica dei dati dei visitatori.

Tale sistema deve peraltro consentire una notifica immediata in caso di rischio di violazione dei dati personali.

A livello informatico, il sito per essere conforme al requisito deve disporre:

  • di una piattaforma di data-logging che consenta la raccolta dei dati ed il tracciamento delle attività dell’amministratore di sistema e del webmaster
  • di un software di controllo accessi e protezione dei dati
  • le comunicazioni aziendali

Tutte le scelte e le preferenze dell’utente debbono essere espresse in conformità alla normativa GDPR.

In particolare ci riferiamo a:

  • registrazione alla newsletter
  • accettazione termini e condizioni del servizio
  • accettazione privacy policy
  • accettazione cookie policy

In particolare, come più volte ribadito dal Garante, non è più possibile per tali scelte ricevere il consenso di default dall’utente, ma, deve essere utilizzata una funzionalità di opt-in opzionale.

In sostanza i moduli utilizzati per tali consensi non debbono essere “flaggati” di default: l’utente deve confermare esplicitamente l’invio delle informazioni

  • la gestione dei dati personali

L’utente registrato che ha fornito il proprio consenso ed ha accettato l’informativa sulla privacy e delle condizioni d’uso, deve avere la possibilità di gestire i propri dati e ritirarli/ modificarli in modo semplice ed immediato.

Un sistema utile a tale scopo può consistere nella creazione di una pagina del profilo utente, che consenta allo stesso una semplice ed immediata gestione delle preferenze.

2018-10-01T19:38:37+00:00