GDPR: cosa fare per mettere a norma il sito web

Oramai è sulla bocca di tutti, tra il terrore delle sanzioni e l'incertezza di "cosa fare" per "riuscire a mettersi in regola", il nuovo regolamento della Commissione Europea (UE 2016/679) è entrato in vigore il 25 Maggio 2018.

Non entreremo in merito alle operazioni da svolgere offline (per questo sono nate come funghi centinaia di attività specifiche), ma solo per quello che riguarda l'adeguamento dei siti web e le modifiche da apportare per cercare di rispettare le copiose pagine del regolamento. La presente non è una guida definitiva, ma un listato di quanto è meglio affrontare per regolarizzare la propria posizione, consci che è sempre comunque necessario affrontare la questione con un esperto del settore.

1) Mettere in sicurezza il sito web

Ogni sito web andrebbe nuovamente analizzato per identificare potenziali falle di sicurezza.

2) Passare ad HTTPS

Qualora non sia già attivo, richiedere l'attivazione del certificato per rendere il sito raggiungibile da protocollo sicuro (tutte le informazioni che attraversano la rete saranno criptate)

3) Wordpress ed altri open-source

Provvedere all'aggiornamento della versione più recente; operazione che in molti casi aventi temi o plugin personalizzati richiede un controllo globale della piattaforma.

4) Form di contatto e iscrizione

Introdurre o aggiornare la checkbox per l'accettazione della privacy, assolutamente vietato renderla preselezionata. Qualora si intenda utilizzare l'indirizzo email dell'utente per l'invio delle newsletter/comunicazioni, sarà necessario introdurre una nuova checkbox con medesime modalità, per richiederne il consenso all'utilizzo. Adiacente al campo di accettazione all'utilizzo dei dati personali, si deve poter accedere al contenuto della privacy adeguatamente aggiornato secondo le linee guida del GDPR.

5) Aree riservate e/o E-Commerce

L'utente deve sempre poter accedere ai propri dati, visionarli, aggiornarli, variarne il consenso all'utilizzo. Nel caso avvenga una profilazione dell'utente (per fornirgli prodotti suggeriti in base ai suoi acquisti) sarà necessario adeguare al meglio l'informativa.

6) Google Analitycs (o altri sistemi di statistiche)

Al giorno d'oggi pressochè qualsiasi sito web viene dotato del sistema di tracciamento statistico, questo strumento registra anche l'IP del visitatore, pertanto sarà necessario richiederne l'esplicito consenso oppure provvedere all'anonimizzazione dell'indirizzo ip.

7) Google AdSense (o altri banner pubblicitari)

Anche in questo caso, il sistema provvede alla profilazione dell'utente generando dei cookie per proporre agli utenti annunci pubblicitari di prodotti e servizi di interesse, pertanto sarà necessario un consenso - di default tutti i cookie di profilazione devono essere disattivati.

8) Widget di terze parti

Mappe, video, social ed altri plugin presenti in moltissimi siti web, generano dei cookie; ancora una volta l'utente deve essere messo di fronte ad una scelta.

9) Email marketing (newsletter)

Il nuovo regolamento pone fine allo spam ed email indesiderate. Diventa fontamentale l'esplicito consenso da parte dell'utente ed eventuali comunicazioni devono consentire una cancellazione. Nel caso di liste già presenti, è necessario richiederne un nuovo consenso avente una data tracciabile di accettazione. Pensate che basti? No, diventa necessaria una "storia" delle operazioni effettuate come cambio nome, o consenso con rispettiva data in modo da essere pronti nel caso si verificasse una contestazione.

Come indicato all'inizio dell'articolo, questa è una mera checklist di attività che devono essere obbligatoriamente fatte se si vuole mettere a norma il sito web. La presente non si sostituisce alle indicazioni di un professionista, anzi è un listato da sottoporre per verifica all'esperto che segue o seguirà la vostra azienda.