GDPR per siti web: come adeguarsi al nuovo regolamento europeo sulla privacy

Il nuovo regolamento sulla privacy vale per tutti i siti web situati nell’Unione Europea, ma comprende anche tutti quelli che intendono avere rapporti con utenti che provengono da paesi dell’Unione Europea. E chi può volere un sito web che non intenda avere rapporti con i cittadini della comunità europea? Quindi, si estende alla maggioranza dei siti web esistenti.

Il principio di responsabilizzazione introdotto dalla normativa GDPR indica che il proprietario del sito web è il titolare del trattamento dei dati, ciò significa che ha la responsabilità di garantire che i dati personali raccolti degli utenti siano al sicuro.

Nel caso in cui il proprietario del sito web si renda conto di eventuali violazioni dei dati personali nel proprio sito, ha massimo 72 ore di tempo per comunicarlo al Garante.

È esonerato, invece, dall’obbligo di comunicarlo alle eventuali persone coinvolte (gli “interessati”) se è soddisfatta almeno una delle seguenti condizioni (art. 34):

• “il Titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione” (ad esempio se i dati oggetto della violazione erano cifrati);
• “il Titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per le libertà e i diritti degli interessati” coinvolti;
• “detta comunicazione richiederebbe sforzi sproporzionati” (e dunque si può procedere con una comunicazione pubblica).

Per poter raccogliere i “dati personali” degli utenti, questi dovranno fornire un consenso esplicito ed informato. Dal canto suo, il sito web dovrà mostrare una chiara Privacy Policy che indichi quali dati vengono raccolti e memorizzati, chi li raccoglie, cosa viene fatto con questi (la cosiddetta “elaborazione dei dati”) e per quanto tempo saranno conservati. Naturalmente l’utente può rifiutare le condizioni, potrà modificare il suo consenso in qualsiasi momento e potrà anche predisporre una limitazione nell’utilizzo dei suoi dati. Privacy, trasparenza e responsabilizzazione: queste sono le parole chiave della normativa GDPR sulla privacy, regolamento valido a livello europeo.

Cookie policy, registro delle attività di trattamento: come adeguare il proprio sito web

Per “dati personali” si intendono nome, foto, indirizzo IP, di residenza o e-mail e qualsiasi altra informazione riguardante una persona fisica.
La cookie policy va rivista in quanto i cookie presenti attualmente sui siti, raccolgono informazioni sugli utenti, le tecniche di raccolta, però, dal 25 maggio 2018 dovranno adeguarsi a quanto prescritto dalla normativa GDPR.I cookie presenti su un sito web possono essere propri o di terze parti, anche nel caso di cookie raccolti da terze parti, il titolare del sito web resta il soggetto che risponde del trattamento dei dati e quindi deve inserire una policy che spieghi come queste terze parti elaborino i dati degli utenti.Il sito web, quindi, dovrà pubblicare una cookie policy dettagliata ed anche una pagina dedicata alla privacy policy. In questa pagina spiegherà agli utenti quali sono i loro diritti, così come contenuto nel regolamento europeo sulla privacy ed illustrerà, se presenti, anche l’elenco dei servizi di terze parti che raccolgono dati degli utenti. In questo caso dovrà essere presente un collegamento alla pagina di privacy policy di questi ultimi così che l’utente possa prenderne visione.Il titolare deve possedere obbligatoriamente un registro delle attività di trattamento, qui ci saranno tutte le informazioni relative alla raccolta dei dati degli utenti: perché vengono raccolti, quali vengono raccolti, quali sono le misure di sicurezza adottate per proteggerli.

Diritti degli utenti secondo il GDPR per i siti web:

L’utente, quindi, gode di tre diritti in merito ai propri dati:

• Diritto di accesso: ha il diritto di chiedere una copia dei propri dati personali che sta “condividendo” col sito web;
• Diritto all’oblio: può chiedere al sito web di cancellare i propri dati. I motivi per questa cancellazione possono essere vari: l’utente non è più interessato alla finalità per la quale li stava rilasciando, non vuole che siano utilizzati per finalità di marketing o ritiene che il trattamento non sia conforme al regolamento GDPR.
• Portabilità dei dati: ha la possibilità di trasferire i propri dati personali tra vari sistemi di elaborazione elettronica.

Il Titolare risponde “senza ingiustificato ritardo” alle istanze degli interessati e comunque entro un tempo limite di un mese. Nel caso di richieste particolarmente complesse tale termine può essere prorogato fino a due mesi; il titolare, in questo caso, avrà cura di comunicare all’interessato la proroga e le relative motivazioni.

Normativa GDPR per i siti web lato utente:

Riassumendo la normativa GDPR per i siti web, l’utente:

• Deve essere informato sulle finalità della raccolta dei suoi dati personali;
• Il suo consenso deve essere esplicito, nonché informato;
• Può richiedere l’accesso ai propri dati personali, modificare il consenso eventualmente dato, revocarlo, chiedere la cancellazione e/o la portabilità dei suoi dati;

Deve essere avvisato dal titolare del sito web se quest’ultimo si è accorto di una violazione dei suoi dati che potrebbe ledere le sue libertà e diritti fondamentali.

Normativa GDPR per i siti web lato web designer:

Lato web designer, invece, il regolamento europeo sulla privacy prevede:

• Il web designer deve pubblicare una cookie policy dettagliata ed una pagina dedicata alla privacy policy e nel caso ci siano cookie di terze parti, deve riportare il collegamento che permetta di visionare la policy di queste terze parti;
• Deve chiedere agli utenti il consenso per poter salvare ed elaborare i loro dati;
• Se nota violazioni dei dati personali, ha 72 ore di tempo per comunicarlo al Garante e deve comunicarlo anche all’utente interessato se tale violazione potrebbe lederlo.

Cookie che profilano l’utente e siti web vetrina: cosa prevede il GDPR

Se il sito utilizza cookie che contengono dati personali diretti o che potrebbero essere utilizzati per identificare persone (cookie di profilazione), bisogna rivedere e probabilmente modificare il consenso sui cookie.
Se, invece, si ha un sito vetrina che non raccoglie dati personali, non c’è bisogno di sottostare alla normativa GDPR e ci si attiene alla cookie law attuale. Questo perché non tutti i cookie sono utilizzati per identificare un utente e quando non lo identificano, per la normativa GDPR sulla privacy in nessuna maniera si sta ledendo alla privacy dell’utente.