La normativa del GDPR per un sito web

Da diversi mesi ormai la normativa in materia di privacy è dettata dal GDPR, che è l’acronimo di General Data Protection Regulation (Regolamento Europeo n. 2016/679): la principale normativa che regola la protezione dei dati personali nell’intera Unione Europea.

Secondo il GDPR, il sito web è uno strumento con cui professionisti, imprese e privati gestiscono dati personali, cioè informazioni riconducibili, anche indirettamente, a persone fisiche.

Quali interventi fare sul proprio sito web per renderlo GDPR compliant

In linea generale, il GDPR affonda le sue radici su due principi:

  1. il controllo dei dati da parte dell’utente interessato
  2. la garanzia della maggior sicurezza possibile nella fase del trattamento, con conseguente responsabilizzazione del titolare del trattamento (art. 5 GDPR).

Andiamo ora nello specifico. Cosa dobbiamo fare sul nostro sito web per poterlo considerare GDPR compliant?

  1. Il sito deve essere sicuro
    Dobbiamo poter navigare su protocollo https (ormai il protocollo http è abbandonato da tempo ed è totalmente insicuro).
    Https vuol dire che i contenuti del sito saranno criptati e quindi più tutelati da eventuali operazioni malevole (pensate ai sistemi di pagamento negli e-commerce).
  2. Informativa cookies e banner con consenso esplicito
    Ogni sito deve essere sottoposto ad un’analisi tecnica se vogliamo capire che tipo di cookie sono presenti. Dalla risposta dipenderanno le nostre decisioni sul fatto di adottare o meno un banner cookie con consenso esplicito.
  3. Privacy policy
    La privacy policy del sito non dovrà essere copiata da altri siti web, seppur simili, e dovrà indicare nello specifico quali dati vengono trattati.
    Cosa significa questo?
    Dovranno essere indicati non solo i dati di navigazione, ma anche quelli forniti volontariamente, in caso di presenza di newsletter o moduli di contatto.
  4. La gestione dei consensi del’utente
    Il consenso dev’essere gestito solo quando serve, non a casaccio.
    Inoltre, a differenza di quanto purtroppo accade, i consensi devono essere espliciti e registrati (non solo comunicati per iscritto), ovvero ci dev’essere un’azione di accettazione (che sia il banner cookies oppure la spunta sulla form contatti) e di salvataggio della stessa.

adempimenti sito GDPR

Cosa deve contenere la privacy policy di un sito web per essere conforme al GDPR?

L’articolo 13 del GDPR descrive dettagliatamente cosa deve contenere l’informativa privacy del sito.
Una prima parte si riferisce alle modalità di trattamento dei dati personali.
Di seguito l’elenco dei punti da includere:

  • l’identità e i dati di contatto del titolare del trattamento dei dati personali;
  • i dati di contatto dell’eventuale DPO (responsabile della protezione dei dati);
  • le finalità del trattamento cui sono destinati i dati personali;
  • la base giuridica del trattamento;
  • i destinatari dei dati personali o categorie di essi;
  • l’eventuale intenzione del titolare del trattamento di trasferire dati personali all’estero;
  • il periodo di conservazione dei dati personali;
  • se la comunicazione dei dati personali è requisito necessario per la conclusione di un contratto e le possibili conseguenze della mancata comunicazione di essi;
  • l’esistenza di un processo automatizzato di profilazione, della logica utilizzata nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Nella seconda parte dell’informativa GDPR il sito web deve indicare i diritti che l’utente/interessato può esercitare sui dati che lo riguardano. Egli può infatti:

  • chiedere l’opposizione o la limitazione al trattamento dei propri dati personali
  • chiedere al titolare del trattamento l’accesso, la rettifica, la cancellazione e la portabilità dei dati
  • proporre un reclamo ad un’autorità di controllo.

Quali sono le possibili sanzioni per chi non attua l’adeguamento del proprio sito web al GDPR

In caso di mancato adeguamento del sito al GDPR ci possono essere delle conseguenze più o meno gravi sia per il sito web che per il titolare del trattamento dei dati personali.

  • il sito web può incorrere in limitazioni
  • il suo titolare può essere multato
    • per le violazioni meno gravi (ad esempio, un’informativa privacy non perfetta al 100%) un’ammenda fino a 10 milioni di euro o al 2% del fatturato annuo dell’impresa;
    • per le violazioni più gravi (ad esempio l’assenza del consenso al trattamento dei dati personali o dell’informativa sulla privacy) un’ammenda fino a 20 milioni di euro o al 4% del fatturato.

Inoltre, il GDPR prevede anche alcuni avvisi, che vanno dal semplice ammonimento alla sospensione dei flussi dei dati in un paese extra-UE.

Infine, per alcune violazioni molto gravi quali, ad esempio, il trattamento illecito dei dati, falsità nelle dichiarazioni al Garante o inosservanza dei provvedimenti del Garante, sono previste sanzioni penali, che arrivano sino alla reclusione per sei anni ex art. 167 ss Codice privacy.

Se non hai già controllato i vari aspetti legati al GDPR sul tuo sito o siti, cosa stai aspettando?
Fallo prima che sia troppo tardi!