A livello legislativo il GDPR (Regolamento generale sulla protezione dei dati) è una delle più importante novità degli ultimi anni per il settore business. L'Unione Europea ha infatti deciso di armonizzare la sua legislazione in merito al trattamento dei dati personali degli utenti, rendendo tali regolamenti più stringenti e dettagliati, imponendo ai siti web di specificare le motivazioni, il modo e i tempi di conservazione dei dati degli utenti.
Esistono tre regole chiave da rispettare per rendere il proprio sito web conforme alle norme previste dal GDPR ovvero:
- Il consenso dell'utente.
- L'accesso ai dati personali dell'utente.
- La criptazione dei dati.
Il consenso dell'utente
Il consenso è uno dei pilastri della nuova legislazione ed è vitale per poter salvare ed utilizzare i dati personali degli utenti. Dunque è necessario ottenere uno specifico permesso da parte dell'utente per poter trattare i suoi dati, per qualsiasi motivo. I visitatori del sito web dovranno essere informati in modo preciso di come i loro dati verranno raccolti e trattati, sarà inoltre necessario informarli delle motivazioni di questa raccolta dati e sarà quindi molto importante che accettino di loro spontanea volontà selezionando un apposito form di conferma.
Prendiamo ad esempio le agenzia di collocamento, se un candidato approva il trattamento dei suoi dati personali ed invia il suo curriculum online per una determinata posizione, a meno che il campo di conferma da lui spuntato non reciti altro, l'agenzia non potrà sfruttare quel curriculum per proporre altre candidature né potrà cederlo ad altre aziende eventualmente interessante. Dunque è bene che un sito web sia sempre aggiornato dal punto di vista delle informative e riceva dall'utente permessi espliciti ogni volta che dovessero essere previste nuove tipologie di trattamento dei dati personali.
Altra novità arrivata con la GDPR riguarda il linguaggio delle note sulla privacy dell'utente. Esse devono essere semplici da leggere e da comprendere per l'utente, dunque devono adottare un linguaggio comune e di facile interpretazione. Lo stesso dicasi per le comunicazioni sull'utilizzo dei cookie.
L'accesso ai dati
Il secondo componente chiave del GDPR è l'accesso ai dati. Bisogna rendere noto e avvertire l'utente su chi può accedere ai propri dati personali e come essi vengono registrati e conservati dal sito web, anche tramite CMS o CRM.
La via più semplice per farlo è in classico form dove si chiede all'utente di poter trattare, nei modi che si necessitano, i vari tipi di dati personali. Se la riposta è negativa deve essere anche implementata una procedura per evitare che i dati vengano registrati e conservati, inoltre deve essere sempre consentito all'utente di revocare tali permessi in futuro e di cancellare i propri dati quando lo desidera. I titolari delle aziende dovrebbero inoltre verificare e controllare che le eventuali agenzie di terze parti che hanno accesso ai dati degli utenti abbiamo procedure conformi ai nuovi regolamenti.
La crittografia
Terze elemento cardine del GDPR è la crittografia. Ogni dato dell'utente inviato e conservato su di un sito web dovrà essere criptato, questo per impedire sottrazioni di informazioni sensibili tramite attacchi informatici. Dunque ogni progetto che voglia essere conforme alla GDPR dovrà implementare un sistema che preveda l'utilizzo di certificati di sicurezza SSL/TLS durante le comunicazioni dei dati sensibili. Inoltre ai i vari database interni dovranno essere protetti da chiavi crittografiche "robuste" (qualsiasi sia il significato che si voglia attribuire a questo termine).