GDPR, cosa fare per mettere in regola il sito web aziendale

Il 25 maggio 2018 entra definitivamente in vigore il nuovo GDPR sulla normativa della privacy: cosa cambia per le aziende e come mettersi in regola con le norme

Il GDPR è il nuovo regolamento europeo per la privacy: se ne parla molto, perché il 25 maggio 2018 è il termine entro il quale sarà possibile adeguarsi senza incorrere in sanzioni.

Il regolamento riguarda i siti web, inclusi blog personali e e-commerce.

Cosa dice il GDPR

Il regolamento indica ogni proprietario del sito come responsabile per il trattamento dei dati: viene infatti introdotto il principio di responsabilizzazione, secondo il quale il titolare del sito web ha la responsabilità di garantire nel modo migliore possibile la sicurezza dei dati raccolti e di dimostrare all’Ente di controllo l’utilizzo di tecniche adeguate alla natura dei dati.

Il regolamento va a sostituire la vecchia Direttiva UE e ha lo scopo di rafforzare e rendere omogenea la protezione dei dati personali dei cittadini dell’UE dentro e fuori l’Unione.

Novità introdotte dal GDPR

Una delle novità introdotte dal regolamento prevede che il titolare abbia l’obbligo di comunicare al Garante, entro 72 ore, eventuali violazioni dei dati personali riscontrate. Se poi la violazione rappresenta una minaccia per le persone coinvolte, avrà l’obbligo di comunicare il fatto agli interessati.

Il regolamento introduce anche una nuova figura aziendale: il Data Protection Officer, ovvero il responsabile della protezione dei dati. Il DPO dovrà assicurare la gestione corretta dei dati da parte dell’azienda. Il DPO deve essere indipendente dal titolare del trattamento e avere autonomia decisionale.

Il nuovo GDPR prevede anche una normativa più chiara in merito al consenso al trattamento dei dati personali: il consenso e la finalità per cui i dati vengono utilizzati, devono essere espressi con chiarezza. In più, chi acconsente ai dati, ha diritto a chiedere (e ottenere) la cancellazione dei dati, la rettifica o la limitazione del loro utilizzo.

Il regolamento stabilisce anche l’obbligo per il titolare di predisporre un registro delle attività di trattamento, dove specificare le finalità della raccolta dati, le categorie di dati personali e di soggetti interessati, le misure di sicurezza adottate, ai fini della trasparenza e del rispetto del diritto di accesso ai dati da parte degli utenti.

Cosa fare in pratica

Ogni sito web dovrà pubblicare una cookie policy dettagliata, più complessa di quella che fino a poco tempo fa era accettata e una pagina dedicata alla privacy policy, dove vengono spiegati i diritti degli utenti in base agli articoli di legge previsti dal GDPR, la garanzia all’oblio, le modalità di richiesta dello stesso, l’elenco dei servizi di terze parti che profilano gli utenti durante la navigazione del sito web.

Nel momento in cui si elencano i servizi di terze parti, è necessario rimandare alla pagina di privacy policy degli ultimi.

Quali plugin

In aiuto dei titolari di siti web e blog, ci sono alcuni plugin di WordPress (a pagamento), che consentono di mettersi in regola con il GDPR compliance.

Iubenda ad esempio esiste la possibilità di usufruire del servizio gratuito per generare cookie policy e privacy policy per plugin di terze parti. Il servizio completo prevede invece un abbonamento annuale di 19 euro. Alternativa a Iubenda è CookieBot, anch’esso con servizio gratuito e con piani a pagamento a partire da 9 euro al mese.

GDPR, cosa fare per mettere in regola il sito web aziendale