Il 25 maggio 2018 entrerà in vigore il nuovo GDPR ovvero il Regolamento generale sulla protezione dei dati. Tale regolamento della Commissione Europea ha lo scopo di rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini UE e verrà applicato anche in Italia oltre che negli altri 27 paesi dell'Unione Europea.
Il regolamento è indirizzato principalmente alle imprese che, per vari motivi, si ritrovano a dover gestire e conservare i dati personali dei propri utenti. Il GDPR detta quindi norme molto precise e severe sui metodi nonché sulle forme in cui tali dati vanno trattati. In particolare, è necessario fornire all'utente una motivazione valida riguardo alla raccolta e alla conservazione dei dati.
Il GDPR andrà quindi ad influenzare diversi settori dell'informatica tra cui: l'e-commerce, i CRM, i sondaggi online, il Web marketing, l'e-learning e le applicazioni di machine learning.
L'articolo di oggi vi fornirà una checklist, che non sostituisce il parare di un legale, di elementi da verificare per capire se un sito web è a norma con il GDPR:
La documentazione
Bisogna infatti verificare di aver pubblicato online una documentazione completa (ad esempio le note sulla privacy per l'utente), in modo tale che i visitatori abbiano modo di sapere che tipo di dati vengono raccolti durante la loro visita e per quanto tempo tali dati vengono conservati. Il GDPR infatti impone ai vari portali web di fornire informazioni dettagliate sui dati personali che vengono registrati.
Conoscere i dati stiamo raccogliendo
I siti web possono collezionare un ampio ventaglio di informazioni e dati sugli utenti. Sarebbe quindi opportuno conoscere alla perfezione quali dati vengono immagazzinati sui propri server e se tali dati possono essere visualizzati da servizi di terze parti. Evitare la conservazione di dati inutili può aiutare a salvare spazio sui server ed evitare che tramite falle di sicurezza vengano diffusi dati sensibili.
Un buon punto di partenza per sapere quali e quanti dati si stanno conservando è utilizzare tool come Siteimprove GDPR, che si occupa di monitorare presenza online degli utenti, informandoci quando delle informazioni vengono registrate e conservate.
Utilizzare algoritmi di criptazione
Per assicurare una navigazione web più sicura e il rispetto della privacy è sempre meglio implementare sistemi di sicurezza basati sulla criptazione dei dati. Questi protocolli di sicurezza assicurano che i dati dell'utente restino inutilizzabili in caso di falle di sicurezza e di furto dei database.
Assicurarsi che ogni form di consenso non sia confermato di default
Spesso i siti web offrono dei pratici form di conferma o di autorizzazione al trattamento dei dati personali. Sarebbe meglio che tali form siano deselezionati di default in modo che l'utente possa sempre selezionarli manualmente senza che ci siano possibilità di errore.
Nominare un Data Protection Officer
Il GDPR richiede che le compagnie diano l'incarico ad i loro dipendenti del supporto clienti di fornire assistenza agli utenti che vogliono visualizzare, modificare o cancellare i loro dati personali presenti nel sito web, inoltre gli utenti avranno sempre il diritto di richiedere delucidazioni riguardo il trattamento dei loro dati personali.
Implementare un processo semplice di cancellazione dei dati
Essere sicuri di avere delle procedure standard per cancellare i dati dell'utente a seguito di una richiesta è un elemento fondamentale, in questo modo l'utente non dovrà attendere lunghi periodi di attesa e si eviteranno possibili problemi legali.
Essere prepararti alle problematiche di sicurezza
In caso di attacchi informatici è sempre bene avere delle procedure standard per evitare il peggio e magari assicurarsi anche di contattare la autorità preposte per l'avvio delle indagini (ad esempio la polizia postale) oltre che i clienti interessanti dello spiacevole evento (magari realizzando dei messaggi standard).
Inserire un processo di esportazione dei dati semplice
Il GDPR consente agli utenti di richiedere alle aziende e ai portali web il trasferimento dei propri dati personali ad un altro servizio web, tale procedura deve essere sempre disponibile e dovrà essere espletata nel modo più rapido e semplice per l'utente (ad esempio permettendo l'esportazione dei dati in formato CSV).
Revisionare anche la propria applicazione mobile
Il testo della GDPR contempla le stesse norme e regolamenti anche per le applicazioni mobile, dunque se il servizio o il sito web dispone di una controparte presente su uno dei vari store mobile è necessario revisionare anche tale applicazione e controllare il modo in cui tratta i dati degli utenti.