Come posso adeguare alle normative vigenti il mio sito web?
È importante conoscere in primis quali sono le normative a cui fare riferimento, nello specifico è opportuno tener presente:
- lgs. 114/1998 – Riforma della disciplina relativa al settore del commercio, a norma dell’art. 4, comma 4, della legge 15 marzo 1997, n. 59
- Eventuali Norme Ordini Professionali (informazioni obbligatorie)
- lgs. 70/2003 – Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico.
- GDPR 679/2016 (informative per la raccolta, uso, trattamento e protezione dei dati)
- Provvedimenti del Garante (gestione dei cookie e uso dei dati)
- Linee Guida Cookie e altri strumenti di tracciamento del 10/06/2021
- Codice del Consumo 206/2005 (tutela dei consumatori negli acquisti e-commerce)
- Direttiva 2009/136/CE – modifica della direttiva 2002/22/CE, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.
Che tu abbia un sito vetrina, un blog o un e-commerce, già prima dell’introduzione del Regolamento Europeo 679/2016, dovevi adeguarti ad alcune normative in materia di trasparenza ed alcuni aspetti tecnici. In seguito all’introduzione del Regolamento Europeo 679/2016 adeguarlo è diventato ancor più stringente ed incombente.
I principi chiave da tener presente sono:
- Privacy per definizione (by design e by default) – che si traduce nel disegnare e realizzare il sito in maniera tale da preservare e proteggere i dati personali degli utenti;
- Trasparenza – che si traduce nell’informare in maniera preventiva, completa e con linguaggio comprensibile gli utenti su come verranno utilizzati i loro dati personali e su chi potrà accedervi;
- Limitazione degli scopi – ossia raccogliere i dati solo per scopi specifici e legittimi.
- Minimizzazione dei dati – ovvero la necessità di raccogliere solo i dati necessari per i vostri scopi commerciali.
- Limitazione alla conservazione dei dati, che devono essere conservati solo per il tempo necessario.
- Integrità e riservatezza – richiedendo la necessità che tali dati siano protetti da accesso, uso, divulgazione o distruzione non autorizzati.
- Responsabilità – ovvero essere in grado di dimostrare la conformità al GDPR.
Cosa deve avere un sito web a norma?
Sono tanti gli aspetti impattanti l’adeguamento ed adeguatezza di un sito web. Di seguito riportiamo quelli di base utili da considerare per poter avere un sito web compliant:
- informativa web o c.d. privacy policy, che presenti quale contenuto minimo le seguenti informazioni obbligatorie:
- dati di contatto del titolare
- dati di contatto del DPO, se nominato
- individuazione delle basi giuridiche
- finalità del trattamento
- modalità di trattamento
- modalità e tempi di conservazione dei dati
- tipologia di dati raccolti
- eventuale trasferimento di dati extra UE
- diritti degli interessati, nel dettaglio:
- accesso
- rettifica
- cancellazione
- limitazione
- portabilità dei dati
- revoca del consenso e possibilità di proporre reclamo d’innanzi all’Autorità Garante.
- Cookie policy e banner cookie
Benedetti cookie! Ma cosa sono questi cookie? A cosa servono? Come gestirli?
I cookie non sono altro che dei file di testo che, configurati sul sito, catturano le nostre informazioni, anche di carattere personale, e rimangono sul browser di navigazione.
In caso di utilizzo di cookie sul sito web sarà, dunque, necessario inserire all’interno di quest’ultimo anche la sezione cookie con la relativa informativa.
IMPORTANTE! All’utente deve essere concesso di rimuovere i cookie con la stessa facilità attraverso cui gli si chiede di accettarli.
La gestione dei cookie è regolamentata da specifiche linee Guida dell’Autorità Garante, che chiariscono la corretta gestione e acquisizione del consenso per l’uso degli stessi. Le indicazioni dell’Autorità Garante hanno riguardato inoltre la specifica attinente alla corretta installazione del c.d. cookie banner (o cookie wall). Difatti, ogni sito deve contenere un banner ben visibile che informi l’utente sui cookie presenti, siano essi di profilazione o di terze parti, lasciando a quest’ultimo la personalizzazione della scelta all’entrata del sito web attraverso la presenza di un cookie banner per la gestione dei consensi.
Il banner deve:
- Essere ben visibile
- Informare sulle finalità e le modalità di trattamento
- Essere in possesso di duplici sezioni riservate alla scelta dei consensi, che non devono essere preselezionati
- Contenere all’interno il link di rimando all’informativa web del sito.
- Gestione moduli di contatto, se presenti
La maggior parte dei siti web contiene all’interno dei moduli di contatto, newsletter, etc. Tali moduli sono strumenti attraverso i quali si raccolgono dati personali degli utenti, e come tali devono essere tutelati. L’utente deve essere chiaramente informato e consapevole di come verranno trattati i dati all’interno di questi campi. Sarà quindi necessario, anche in questo caso, riportare il corretto riferimento privacy, con la possibilità di visionare in maniera semplice e trasparente l’informativa privacy estesa presente nel sito web.
- Prevedere protocolli di sicurezza
Molteplici possono essere i criteri di sicurezza validi per i siti web; il livello di protezione dovrebbe essere adeguato e regolato anche in base alla tipologia dati trattati, in particolare, se vengono conservati dati bancari o riferiti all’identità e al domicilio delle persone, in questo caso l’attenzione dovrà essere ancora maggiore; riportiamo di seguito una serie di indicazioni da tenere presente relativamente a questo punto:
- utilizzare un protocollo HTTPS, che permette di criptare le informazioni che transitano dal sito web verso il browser di navigazione;
- tenere aggiornato il server in caso di sito in house, mentre se si tratta di sito in hosting l’aggiornamento dovrà essere richiesto al provider;
- aggiornamento delle piattaforme CMS (es. WordPress) con l’installazione di plugin di sicurezza;
- Utilizzare la cifratura dei dati in caso di trattamento di dati “sensibili” (ad es.: numeri di carte di credito, dati sulla salute etc.)
- Gestione back up e Log
- È consigliata una schedulazione quotidiana del back up, da effettuarsi su uno o diversi dispositivi esterni al server che ospita il sito web;
- deve essere crittografato, rendendone così illeggibile a terze parti il contenuto;
- verificato, è buona norma effettuare delle verifiche di consistenza dei backup creati per verificarne l’effettiva riuscita.
- Prevedere la conservazione dei log di accesso al sito per una durata minima necessaria alle finalità perseguite;
Ricordiamo che è utile tener presente all’interno del sito web anche ulteriori aspetti legali che esulano dal GDPR; infatti, sarà opportuno inserire e/o tenere sempre aggiornati:
L’impressum, ovvero una dichiarazione di proprietà e paternità messo a punto nel tentativo di:
- proteggere i dati degli utenti;
- combattere spam e contenuti illegali;
- identificare i proprietari dei siti web affinché si assumano la responsabilità dei contenuti pubblicati sul sito
Termini e condizioni del sito web (alcune volte obbligatorio)
In conclusione, Non di rado, purtroppo, ci si preoccupa di porre in essere le attività operative di adeguamento, senza focalizzare l’attenzione su quelle che risultano essere le specifiche esigenze, magari “copiando l’informativa web di un altro sito”. L’adeguamento del sito web richiede una attenzione particolare, soprattutto dopo le ultime indicazioni del Garante.
È necessario effettuare una consulenza personalizzata, relativamente alle distinte necessità di ogni singolo sito web, per questo è opportuno rivolgersi a consulenti specializzati.
Non improvvisare!
Per saperne di più e per ricevere una consulenza personalizzata in base alle tue esigenze, contattaci.