GDPR: come adeguare il tuo sito web

1Come adeguare il tuo sito web al GDPR | info@ars.srl
Dott. Stefano Greco
GDPR un vestito su misura
Convegno organizzato da Observer srl in collaborazione con Unimpresa
Sora, 20-21 ottobre 2018
GDPR: COME ADEGUARE IL TUO SITO WEB

COME E DOVE CHIEDERE
IL CONSENSO AGLI UTENTI
06
COME METTERE IN REGOLA
IL PROPRIO SITO
05
COME METTERE IN REGOLA
LA PROPRIA NEWSLETTER
08
COME MANTENERE
LE STATISTICHE DEL SITO
07
LE NUOVE TUTELE
PER L’UTENTE
02
INTRODUZIONE
ALLA NORMA DEL GDPR
01
QUALI DATI DEVONO
CONTENERE I SITI WEB
04
COSA CAMBIA SUI SITI WEB03
DI COSA PARLEREMO OGGI

Secondo il Regolamento generale sulla protezione dei dati (GDPR),
entrato in vigore a partire dal 25 maggio 2018,
i proprietari dei siti web – dai privati che utilizzano blog e newsletter, alle aziende
che implementano piattaforme di e-commerce – dovranno adottare adeguate misure tecniche
che permettano all’utente di confermare il proprio consenso all’attività
di trattamento (e tracciamento) dei dati personali e di navigazione.
INTRODUZIONE ALLA NORMA

In sintesi, il nuovo regolamento europeo prevede
che ogni sito web informi i navigatori:
COSA CAMBIA SUI SITI WEB
• di tutte le procedure tecniche volte a profilarne la navigazione e le preferenze
• di chi sia il Responsabile della protezione dei dati - Data Protection Officer
• di quali siano i tempi di conservazione dei dati personali
• delle modalità di cancellazione dei dati e di modifica degli stessi

La norma non è da sottovalutare, considerate le sanzioni previste ex art. 83.
In particolare, si prevedono sanzioni amministrative pecuniarie suddivise
in due categorie assibilabili a differenti tipologie di violazione:
• Sino a 10 milioni di euro e, per le imprese, sino al 2% del fatturato mondiale annuo
dell'esercizio precedente, se superiore
• Sino a 20 milioni di euro e, per le imprese, il 4% del fatturato mondiale annuo dell'esercizio
precedente, se superiore
LE SANZIONI PREVISTE

Colui che determina
quali dati vengono
raccolti e perché
(tipicamente il
titolare del sito)
DATA CONTROLLER
Chiunque processi
i dati personali
per conto
del Data Controller
DATA PROCESSOR
Persona fisica
a cui i dati personali
si riferiscono
DATA SUBJECT
I SOGGETTI DEL GDPR
Il GDPR definisce alcuni soggetti che hanno obblighi e doveri

Le tutele
per l’utente/persona
Tutto l’impianto normativo va in favore
dell’utenza, che avrà di fatto una
maggior tutela
Accesso più facile ai propri dati,
con maggiori info (chiare e precise)
su come i dati vengono processati dall’azienda
1
Una maggior responsabilizzazione
e consapevolezza delle grandi risorse
che si celano dietro l’uso dei dati personali
2
Diritto alla conoscenza nel momento
in cui i propri dati siano stati violati3

Visualizzare tutti i
dati che il Data
Controller sa di me e
avere
la possibilità
di esportarli
DATA ACCESS
E PORTABILITY
Poter rettificare
tutti i consensi dati
DIRITTO
DI RETTIFICA
Diritto
alla cancellazione
dei propri dati
DIRITTO ALL’OBLIO
I DIRITTI DEL DATA SUBJECT
Il GDPR definisce diritti e doveri, essendo una legge
che porta l’attenzione ai dati dei cittadini europei

Cosa sono
i dati personali?
Sono delle informazioni riconducibili
alla persona, in maniera diretta o
aggregata
Esempi di dati
direttamente
collegati
alla persona
Esempi di dati
collegabili
alla persona
Esempi di dati
personali
sensibili
Nome e cognome Nome Dati bancari
Data di nascita Cognome Origine etnica
Residenza
Età non specificata
(20-30)
Dati medici
Numero di telefono Posto di lavoro Opinioni politiche
N. Carta di credito o
collegamenti alla banca
Posizione lavorativa
Opinioni religiose,
filosofiche
N. Passaporto, Carta di
identità, C.F., Patente
Indirizzo IP Dati generici
Email Mac address Preferenze sessuali

Quali dati deve
contenere il mio sito?
Un sito web aziendale dovrebbe
sempre avere i seguenti dati pubblici:
• CODICE FISCALE E PARTITA IVA
• IMPORTO DEL CAPITALE SOCIALE,
CON INDICAZIONE ESATTA
DELLA PARTE VERSATA
(per le società di capitali)
• DENOMINAZIONE SOCIALE
• NUMERO REA (Repertorio delle notizie
Economiche e Amministrative)
• INDIRIZZO COMPLETO SEDE LEGALE
• REGISTRO DELLE IMPRESE
DOVE LA SOCIETÀ È ISCRITTA
E NUMERO DI ISCRIZIONE

Cosa devo fare
sul mio sito
Se hai un sito già esistente
devi innanzitutto capire e sapere tutto
quello che accade sul tuo sito.
Se richiedi dei dati oppure li collezioni
senza chiederli (es. Con Google
Analytics) devi capire lo scopo di
questi dati:
ti servono veramente, a cosa?
QUANTO TEMPO LI TIENI?
LA RACCOLTA È TRATTATA
OPPORTUNAMENTE
DAL PUNTO DI VISTA LEGALE?
QUALI DATI RACCOGLI?
PERCHÈ LI RACCOGLI?

Sito web
aziendale
Cosa dobbiamo controllare?
HOSTING E SICUREZZA DEI DATI
• Come tratta i miei dati?
• Come gestisce i log del web server?
• Sottoscrive un DPA (Accordo
per il Trattamento dei Dati) GDPR compliant?
1
CMS
• Che plugin ci sono?
• Dove mandano i dati?
2
COOKIES
• Gli utenti possono decidere
quali cookies disattivare?
3
FORM DI CONTATTO
• Che dati chiedo? Perché li chiedo?
Dove li metto e per quanto tempo?
4
STATISTICHE (ANALYTICS)
• Anonimizzo i dati? L’utente mi ha dato
il permesso? Per cosa uso questi dati?
5

Hosting
e sicurezza dei dati
È necessario completare una serie
di attività per la messa in sicurezza
del sito e dei dati connessi
• INSERIMENTO PROTOCOLLO HTTPS
(HyperText Transfer Protocol over Secure
Socket Layer) per la navigazione del sito
e per la messa in sicurezza dello stesso
• INSTALLAZIONE CERTIFICATO SSL
(Secure Sockets Layer)
• ANALISI PRELIMINARI
controllo delle varie funzionalità
e plugin installati

HTTP vs HTTPS

HTTP vs HTTPS: la risposta di Google
I siti HTTP vengono indicati
come “NON SICURO” da
Google
e da Chrome; successivamente
anche da Safari.
LUGLIO 2018
NON SICURO
I siti HTTPS vengono favoriti
rispetto ai siti con contenuti simili
su protocollo HTTP
2015
RANKING

Mi basterà trasferire il sito
su protocollo HTTPS, affinché
una pagina abbia un miglior
posizionamento rispetto
a quando era in HTTP?
• la pagina non contenga elementi
esterni/interni non sicuri, ossia serviti tramite
protocollo HTTP
• la pagina non effettui un redirect per gli utenti a
una pagina, o attraverso una pagina, non sicura
(in HTTP)
• la pagina non abbia un metatag rel=”canonical”
a una pagina in HTTP
• la pagina non abbia dei link allo stesso host,
con url in formato HTTP
• nella sitemap vi sia una lista di URL in HTTPS
o che non vi siano gli URL nella versione HTTP
• il certificato di criptazione del server sia valido
SÌ, A PATTO CHE:

HTTP vs HTTPS
Google Chrome
Firefox

HTTP vs HTTPS
Firefox

HTTP vs HTTPS
Google Chrome

Dati 2018,
BuiltWith.com
C M S: quali sono i più diffusi nel 2018?

Content
Management
System
• CMS
Aggiornamento del Content Management
System alle versioni più recenti (per WordPress
la 4.9.6 o successiva e per Joomla almeno la 3.8
È necessario avere un sistema
aggiornato
che supporti la tecnologia per la
messa
a norma di tutte le funzionalità
• PLUGIN GIÀ INSTALLATI
Aggiornamento dei plugin presenti
nel sito all’ultima versione
• INSTALLAZIONE PLUGIN
con funzioni Security Scanner,
con rilevazione e blocco di Malware,
attacchi Brute Force, blocco IP malevoli,
misure preventive contro gli attacchi ecc…

Cookies 1/2
sono utilizzati per memorizzare bit
di informazioni specifiche
riguardanti
le interazioni tra il pc ed il sito web
L’utente informato dovrà avere facoltà
di poter navigare sul sito web, decidendo
quali cookies potranno rimanere attivi
e quali no.
I siti web dovranno quindi disporre
di un software che blocchi preventivamente
qualsiasi attività di tracciamento
che non sia espressamente confermata
da parte del navigatore.
NOVITÀ PER GLI UTENTI

Cookies 2/2
Sono esclusi i cosiddetti “cookie
tecnici” che servono esclusivamente
per il corretto funzionamento del sito.
Una doverosa precisazione: i cookies
generati da Google Analytics per
il tracciamento della navigazione
e per le statistiche del sito non
rientrano
tra i cookie tecnici e vanno trattati.
ATTIVITÀ DA COMPLETARE SUL SITO
• STUDIO, ANALISI E CONTROLLO
DI TUTTI I COOKIE
suddivisione tra cookie tecnici (necessari),
cookie di preferenze, di profilazione
e di marketing
• INSTALLAZIONE
DI UN PLUGIN SPECIFICO
che generi un banner complesso per l’analisi,
l’attivazione o la disattivazione di tutti i cookie
non funzionali al funzionamento del sito
• COOKIE POLICY
che elenchi tutti i cookie sviluppati
dal sito specifico, con dettagli su fornitore,
scopo, scadenza e tipo; che dia inoltre all’utente
la possibilità di “cambiare idea” sul consenso

Il Cookie Banner
Fino
al 25/05/18
OGGI

Il Cookie Banner

La nuova Cookie Policy
possibilità di revocare il consenso

I moduli
di contatto
1. Principio di minimizzazione
Chiedere solo i dati che realmente
userai
2. Consenso esplicito
Chiedere il consenso al trattamento
dei dati, in modo chiaro
(esempio nella prossima slide)
• AGGIORNAMENTO PLUGIN
relativi ai moduli di contatto e installazione
delle funzionalità necessarie a renderli compliant
• FORUM, AREE PRIVATE, COMMENTI
installazione dei plugin che permettano
agli utenti di accedere in qualsiasi momento
ai propri dati personali, cancellandoli
automaticamente su richiesta.

Come chiedere
consenso nei form
1. Principio di granularità
Chiedere consenso per ogni tipo di
trattamento
2. Opt-in
L’utente deve interagire per consentire
(la spunta non deve essere già segnata)
3. Diritto di revoca
questa autorizzazione deve poter essere
revocata
Autorizzo l’utilizzo dei miei dati personali
ai fini di essere contattato via email.
Le modalità di utilizzo dettagliate
sono descritte nella privacy policy
(link alla sezione della privacy)

Un form a norma

È possibile continuare a tracciare gli utenti all’interno del sito (senza chiedere il consenso),
ma con alcuni accorgimenti:
Google Analytics
1. Anonimizzare gli IP
2. Impostare un tempo di durata dei dati
3. Togliere il collegamento tra Analytics e qualsiasi funzione di advertising
Se lo sforzo per attuare queste modifiche non vale il vantaggio che traete da Analytics
è meglio disattivarlo.
È comunque possibile attuare alcune operazioni per continuare a utilizzare Google Analytics
senza oscurare gli indirizzi IP degli utenti, pur rimanendo a norma di legge.

Cos’è
una privacy notice?
Il GDPR parla di privacy notice, ovvero
una dichiarazione rilasciata al Data
Subject che spiega come
l’organizzazione raccoglie, organizza,
conserva e divulga
le informazioni personali. Tra le tante
informazioni da inserire è importante
mettere i contatti del responsabile
del trattamento (Data Controller
o Data Protection Officer)
• PAGINA DELLA PRIVACY POLICY
Creazione della pagina di Privacy Policy,
con descrizione di Commenti, Media, Moduli
di contatto, altri moduli, Cookie propri, Cookie
di terze parti, Contenuto incorporato da altri siti,
Servizi DNS, Hosting, Finalità di trattamento,
modalità trattamento dati, informazioni
di contatto, esercizio dei diritti, ecc.
Il tutto con formattazione chiara e leggibile;
Per scrivere una Privacy Policy corretta e comple
è necessaria la sinergia di più figure professiona
essendo la pagina composta da contenuti tecnici
e contenuti legali

Impostazione ottimale
della pagina
sulla Privacy Policy
1. Paragrafazione dei testi
Per aiutare la lettura dividendo i contenuti in
blocchi
2. Schede accordion
aiutano a trovare i contenuti più facilmente,
dando l’impressione di non dover leggere troppo
contenuto
3. Icone
fanno comprendere facilmente l’argomento
trattato nelle relative schede.

Hai
una newsletter?
ATTIVITÀ DA COMPLETARE
• ANALISI PRELIMINARI
della modalità di iscrizione degli utenti
nella mailing list preesistente, prima
dell’entrata in vigore della norma;
• MODULI DI ISCRIZIONE
creazione di un nuovo modulo di iscrizione
che sia a norma con il GDPR, che preveda
una casella da spuntare, nella quale si accettano
tutte le condizioni presenti nella Privacy Policy
e si accetta la ricezione di materiale informativo
anche con finalità promozionali;
In questo caso dovrai verificare sia
la modalità di raccolta dei sottoscrittori
nelle tue mailing list (online e offline),
sia la corretta impostazione dei form
di iscrizione alla newsletter sul sito,
sia delle singole comunicazioni inviate
• Adattamento dei moduli di iscrizione
alla newsletter del sito secondo la norma GDPR.

Se l’iscrizione ha avuto luogo
secondo le normative vigenti
• invio di una newsletter informativa
con il link alla nuova Privacy Policy
e il pulsante per potersi
cancellare attivamente dalla
mailing list
Come mettere in regola le proprie mailing list
Se l’iscrizione non ha avuto luogo
secondo le normative vigenti
• invio di una newsletter con il link alla
nuova Privacy Policy e due pulsanti, il
primo per confermare la propria
iscrizione, indicando
le proprie preferenze e un secondo per
potersi cancellare attivamente dalla
mailing list
• invio di una seconda newsletter per
ricordare gli utenti di confermare le proprie

Se l’iscrizione
era già a norma
1. Avvisiamo della nuova normativa sulla Privacy
l’inizio della newsletter informativa introduce
la nuova normativa sulla Privacy e le differenze
tra questa e la precedente
2. Invitiamo gli utenti a modificare le proprie
preferenze
Gli utenti potranno modificare le proprie preferenze
o cancellarsi dalla mailing list con un link all’interno
del corpo della mail

Se l’iscrizione
non era a norma
1. Introduciamo il GDPR agli utenti
l’inizio della newsletter informativa spiega
l’importanza della scelta a cui l’utente è
chiamato
2. Forniamo le opzioni di Opt-in e Opt-
out
diamo la possibilità di confermare o modificare
la propria iscrizione o, eventualmente, di
cancellarla

Cos’è un Data Breach?
Il Data Breach è una violazione dei
dati personali, esso si può verificare in
molteplici maniere:
• Attacco hacker (diretto o indiretto)
• Perdita di un PC aziendale
• Perdita di un supporto di memoria
• Violazione di un account
• Virus
Data Breach
Cosa fare se accade
Notificare l’accaduto a tutti gli utenti
coinvolti nella fuga di dati (anche quelli
che potrebbero esserlo) e notificare il
garante entro 72 ore dalla scoperta

Il GDPR sposta il controllo dei dati personali verso gli utenti
Ricapitolando
Le aziende devono concentrarsi e minimizzare la quantità di dati richiesti, quando possibile.
Investire nella sicurezza ed essere pienamente coscienti dell’intero flusso che i dati percorrono

Hai domande sul GDPR?
Vuoi rinnovare il tuo sito?
Vuoi farti trovare online
dai potenziali clienti?
+39 06 45495 820
info@ars.srl
www.ars.srl
ARS – ARCHITECTURE THAT SOUNDS srl
DOVE SIAMO
Via Dego, 19
00168 Roma
GRAZIE,
Stefano Greco
s.greco@ars.srl

GDPR: come adeguare il tuo sito web

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Ähnlich wie GDPR: come adeguare il tuo sito web

Ähnlich wie GDPR: come adeguare il tuo sito web (20)

GDPR: come adeguare il tuo sito web