Questa non vuole essere una guida agli adempimenti imposti dal GDPR bensì una raccolta di informazioni e relativa esposizione con l’obiettivo di rendere il più possibile semplice l’applicazione della norma. Nell’articolo sono inseriti i collegamenti a fonti ufficiali e ad altre risorse per poter approfondire l’argomento.
Cos’è il GDPR?
Il GDPR (dall’inglese “General Data Protection Regulation” ovvero regolamento generale sulla protezione dei dati) è il Regolamento UE 2016/679 sulla protezione dei dati personali.
L’Unione Europea ha deciso di unificare legislazione in merito al trattamento dei dati personali degli utenti, rendendo tali regolamenti più stringenti e dettagliati.
Cosa impone il GDPR ai siti Web?
Il GDPR impone ai siti web di specificare le motivazioni, il modo e i tempi di conservazione dei dati degli utenti.
Esistono tre regole da rispettare per rendere il proprio sito web conforme alle norme previste dal GDPR:
- Il consenso dell’utente.
- L’accesso ai dati personali dell’utente.
- La criptazione dei dati.
Il consenso dell’utente
Il consenso è uno dei pilastri della nuova legislazione ed è vitale per poter salvare ed utilizzare i dati personali degli utenti. Dunque è necessario ottenere uno specifico permesso da parte dell’utente per poter trattare i suoi dati, per qualsiasi motivo. I visitatori del sito web dovranno essere informati in modo preciso di come i loro dati verranno raccolti e trattati, sarà inoltre necessario informarli delle motivazioni di questa raccolta dati e sarà quindi molto importante che accettino di loro spontanea volontà selezionando un apposito form di conferma.
Prendiamo ad esempio le agenzia di collocamento, se un candidato approva il trattamento dei suoi dati personali ed invia il suo curriculum online per una determinata posizione, a meno che il campo di conferma da lui spuntato non reciti altro, l’agenzia non potrà sfruttare quel curriculum per proporre altre candidature né potrà cederlo ad altre aziende eventualmente interessante. Dunque è bene che un sito web sia sempre aggiornato dal punto di vista delle informative e riceva dall’utente permessi espliciti ogni volta che dovessero essere previste nuove tipologie di trattamento dei dati personali.
Altra novità arrivata con la GDPR riguarda il linguaggio delle note sulla privacy dell’utente. Esse devono essere semplici da leggere e da comprendere per l’utente, dunque devono adottare un linguaggio comune e di facile interpretazione. Lo stesso dicasi per le comunicazioni sull’utilizzo dei cookie.
L’accesso ai dati
Il secondo componente chiave del GDPR è l’accesso ai dati. Bisogna rendere noto e avvertire l’utente su chi può accedere ai propri dati personali e come essi vengono registrati e conservati dal sito web, anche tramite CMS o CRM.
La via più semplice per farlo è in classico form dove si chiede all’utente di poter trattare, nei modi che si necessitano, i vari tipi di dati personali. Se la riposta è negativa deve essere anche implementata una procedura per evitare che i dati vengano registrati e conservati, inoltre deve essere sempre consentito all’utente di revocare tali permessi in futuro e di cancellare i propri dati quando lo desidera. I titolari delle aziende dovrebbero inoltre verificare e controllare che le eventuali agenzie di terze parti che hanno accesso ai dati degli utenti abbiamo procedure conformi ai nuovi regolamenti.
La crittografia
Terze elemento cardine del GDPR è la crittografia. Ogni dato dell’utente inviato e conservato su di un sito web dovrà essere criptato, questo per impedire sottrazioni di informazioni sensibili tramite attacchi informatici. Dunque ogni progetto che voglia essere conforme alla GDPR dovrà implementare un sistema che preveda l’utilizzo di certificati di sicurezza SSL/TLS durante le comunicazioni dei dati sensibili. Inoltre ai i vari database interni dovranno essere protetti da chiavi crittografiche “robuste” (qualsiasi sia il significato che si voglia attribuire a questo termine).
Fonti:
