1.
1Come adeguare il tuo sito web al GDPR | info@ars.srl
Dott. Stefano Greco
GDPR un vestito su misura
Convegno organizzato da Observer srl in collaborazione con Unimpresa
Sora, 20-21 ottobre 2018
GDPR: COME ADEGUARE IL TUO SITO WEB

2.
2Come adeguare il tuo sito web al GDPR | info@ars.srl
COME E DOVE CHIEDERE
IL CONSENSO AGLI UTENTI
06
COME METTERE IN REGOLA
IL PROPRIO SITO
05
COME METTERE IN REGOLA
LA PROPRIA NEWSLETTER
08
COME MANTENERE
LE STATISTICHE DEL SITO
07
LE NUOVE TUTELE
PER L’UTENTE
02
INTRODUZIONE
ALLA NORMA DEL GDPR
01
QUALI DATI DEVONO
CONTENERE I SITI WEB
04
COSA CAMBIA SUI SITI WEB03
DI COSA PARLEREMO OGGI

3.
3Come adeguare il tuo sito web al GDPR | info@ars.srl
Secondo il Regolamento generale sulla protezione dei dati (GDPR),
entrato in vigore a partire dal 25 maggio 2018,
i proprietari dei siti web – dai privati che utilizzano blog e newsletter, alle aziende
che implementano piattaforme di e-commerce – dovranno adottare adeguate misure tecniche
che permettano all’utente di confermare il proprio consenso all’attività
di trattamento (e tracciamento) dei dati personali e di navigazione.
INTRODUZIONE ALLA NORMA

4.
4Come adeguare il tuo sito web al GDPR | info@ars.srl
In sintesi, il nuovo regolamento europeo prevede
che ogni sito web informi i navigatori:
COSA CAMBIA SUI SITI WEB
• di tutte le procedure tecniche volte a profilarne la navigazione e le preferenze
• di chi sia il Responsabile della protezione dei dati - Data Protection Officer
• di quali siano i tempi di conservazione dei dati personali
• delle modalità di cancellazione dei dati e di modifica degli stessi

5.
5Come adeguare il tuo sito web al GDPR | info@ars.srl
La norma non è da sottovalutare, considerate le sanzioni previste ex art. 83.
In particolare, si prevedono sanzioni amministrative pecuniarie suddivise
in due categorie assibilabili a differenti tipologie di violazione:
• Sino a 10 milioni di euro e, per le imprese, sino al 2% del fatturato mondiale annuo
dell'esercizio precedente, se superiore
• Sino a 20 milioni di euro e, per le imprese, il 4% del fatturato mondiale annuo dell'esercizio
precedente, se superiore
LE SANZIONI PREVISTE

6.
6Come adeguare il tuo sito web al GDPR | info@ars.srl
Colui che determina
quali dati vengono
raccolti e perché
(tipicamente il
titolare del sito)
DATA CONTROLLER
Chiunque processi
i dati personali
per conto
del Data Controller
DATA PROCESSOR
Persona fisica
a cui i dati personali
si riferiscono
DATA SUBJECT
I SOGGETTI DEL GDPR
Il GDPR definisce alcuni soggetti che hanno obblighi e doveri

7.
7Come adeguare il tuo sito web al GDPR | info@ars.srl
Le tutele
per l’utente/persona
Tutto l’impianto normativo va in favore
dell’utenza, che avrà di fatto una
maggior tutela
Accesso più facile ai propri dati,
con maggiori info (chiare e precise)
su come i dati vengono processati dall’azienda
1
Una maggior responsabilizzazione
e consapevolezza delle grandi risorse
che si celano dietro l’uso dei dati personali
2
Diritto alla conoscenza nel momento
in cui i propri dati siano stati violati3

8.
8Come adeguare il tuo sito web al GDPR | info@ars.srl
Visualizzare tutti i
dati che il Data
Controller sa di me e
avere
la possibilità
di esportarli
DATA ACCESS
E PORTABILITY
Poter rettificare
tutti i consensi dati
DIRITTO
DI RETTIFICA
Diritto
alla cancellazione
dei propri dati
DIRITTO ALL’OBLIO
I DIRITTI DEL DATA SUBJECT
Il GDPR definisce diritti e doveri, essendo una legge
che porta l’attenzione ai dati dei cittadini europei

9.
9Come adeguare il tuo sito web al GDPR | info@ars.srl
Cosa sono
i dati personali?
Sono delle informazioni riconducibili
alla persona, in maniera diretta o
aggregata
Esempi di dati
direttamente
collegati
alla persona
Esempi di dati
collegabili
alla persona
Esempi di dati
personali
sensibili
Nome e cognome Nome Dati bancari
Data di nascita Cognome Origine etnica
Residenza
Età non specificata
(20-30)
Dati medici
Numero di telefono Posto di lavoro Opinioni politiche
N. Carta di credito o
collegamenti alla banca
Posizione lavorativa
Opinioni religiose,
filosofiche
N. Passaporto, Carta di
identità, C.F., Patente
Indirizzo IP Dati generici
Email Mac address Preferenze sessuali

10.
10Come adeguare il tuo sito web al GDPR | info@ars.srl
Quali dati deve
contenere il mio sito?
Un sito web aziendale dovrebbe
sempre avere i seguenti dati pubblici:
• CODICE FISCALE E PARTITA IVA
• IMPORTO DEL CAPITALE SOCIALE,
CON INDICAZIONE ESATTA
DELLA PARTE VERSATA
(per le società di capitali)
• DENOMINAZIONE SOCIALE
• NUMERO REA (Repertorio delle notizie
Economiche e Amministrative)
• INDIRIZZO COMPLETO SEDE LEGALE
• REGISTRO DELLE IMPRESE
DOVE LA SOCIETÀ È ISCRITTA
E NUMERO DI ISCRIZIONE

11.
11Come adeguare il tuo sito web al GDPR | info@ars.srl
Cosa devo fare
sul mio sito
Se hai un sito già esistente
devi innanzitutto capire e sapere tutto
quello che accade sul tuo sito.
Se richiedi dei dati oppure li collezioni
senza chiederli (es. Con Google
Analytics) devi capire lo scopo di
questi dati:
ti servono veramente, a cosa?
QUANTO TEMPO LI TIENI?
LA RACCOLTA È TRATTATA
OPPORTUNAMENTE
DAL PUNTO DI VISTA LEGALE?
QUALI DATI RACCOGLI?
PERCHÈ LI RACCOGLI?

12.
12Come adeguare il tuo sito web al GDPR | info@ars.srl
Sito web
aziendale
Cosa dobbiamo controllare?
HOSTING E SICUREZZA DEI DATI
• Come tratta i miei dati?
• Come gestisce i log del web server?
• Sottoscrive un DPA (Accordo
per il Trattamento dei Dati) GDPR compliant?
1
CMS
• Che plugin ci sono?
• Dove mandano i dati?
2
COOKIES
• Gli utenti possono decidere
quali cookies disattivare?
3
FORM DI CONTATTO
• Che dati chiedo? Perché li chiedo?
Dove li metto e per quanto tempo?
4
STATISTICHE (ANALYTICS)
• Anonimizzo i dati? L’utente mi ha dato
il permesso? Per cosa uso questi dati?
5

13.
13Come adeguare il tuo sito web al GDPR | info@ars.srl
Hosting
e sicurezza dei dati
È necessario completare una serie
di attività per la messa in sicurezza
del sito e dei dati connessi
• INSERIMENTO PROTOCOLLO HTTPS
(HyperText Transfer Protocol over Secure
Socket Layer) per la navigazione del sito
e per la messa in sicurezza dello stesso
• INSTALLAZIONE CERTIFICATO SSL
(Secure Sockets Layer)
• ANALISI PRELIMINARI
controllo delle varie funzionalità
e plugin installati

14.
14Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS

15.
15Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS: la risposta di Google
I siti HTTP vengono indicati
come “NON SICURO” da
Google
e da Chrome; successivamente
anche da Safari.
LUGLIO 2018
NON SICURO
I siti HTTPS vengono favoriti
rispetto ai siti con contenuti simili
su protocollo HTTP
2015
RANKING

16.
16Come adeguare il tuo sito web al GDPR | info@ars.srl
Mi basterà trasferire il sito
su protocollo HTTPS, affinché
una pagina abbia un miglior
posizionamento rispetto
a quando era in HTTP?
• la pagina non contenga elementi
esterni/interni non sicuri, ossia serviti tramite
protocollo HTTP
• la pagina non effettui un redirect per gli utenti a
una pagina, o attraverso una pagina, non sicura
(in HTTP)
• la pagina non abbia un metatag rel=”canonical”
a una pagina in HTTP
• la pagina non abbia dei link allo stesso host,
con url in formato HTTP
• nella sitemap vi sia una lista di URL in HTTPS
o che non vi siano gli URL nella versione HTTP
• il certificato di criptazione del server sia valido
SÌ, A PATTO CHE:

17.
17Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS
Google Chrome
Firefox

18.
18Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS
Firefox

19.
19Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS
Firefox

20.
20Come adeguare il tuo sito web al GDPR | info@ars.srl
HTTP vs HTTPS
Google Chrome

21.
21Come adeguare il tuo sito web al GDPR | info@ars.srl
Dati 2018,
BuiltWith.com
C M S: quali sono i più diffusi nel 2018?

22.
22Come adeguare il tuo sito web al GDPR | info@ars.srl
Content
Management
System
• CMS
Aggiornamento del Content Management
System alle versioni più recenti (per WordPress
la 4.9.6 o successiva e per Joomla almeno la 3.8
È necessario avere un sistema
aggiornato
che supporti la tecnologia per la
messa
a norma di tutte le funzionalità
• PLUGIN GIÀ INSTALLATI
Aggiornamento dei plugin presenti
nel sito all’ultima versione
• INSTALLAZIONE PLUGIN
con funzioni Security Scanner,
con rilevazione e blocco di Malware,
attacchi Brute Force, blocco IP malevoli,
misure preventive contro gli attacchi ecc…

23.
23Come adeguare il tuo sito web al GDPR | info@ars.srl
Cookies 1/2
sono utilizzati per memorizzare bit
di informazioni specifiche
riguardanti
le interazioni tra il pc ed il sito web
L’utente informato dovrà avere facoltà
di poter navigare sul sito web, decidendo
quali cookies potranno rimanere attivi
e quali no.
I siti web dovranno quindi disporre
di un software che blocchi preventivamente
qualsiasi attività di tracciamento
che non sia espressamente confermata
da parte del navigatore.
NOVITÀ PER GLI UTENTI

24.
24Come adeguare il tuo sito web al GDPR | info@ars.srl
Cookies 2/2
Sono esclusi i cosiddetti “cookie
tecnici” che servono esclusivamente
per il corretto funzionamento del sito.
Una doverosa precisazione: i cookies
generati da Google Analytics per
il tracciamento della navigazione
e per le statistiche del sito non
rientrano
tra i cookie tecnici e vanno trattati.
ATTIVITÀ DA COMPLETARE SUL SITO
• STUDIO, ANALISI E CONTROLLO
DI TUTTI I COOKIE
suddivisione tra cookie tecnici (necessari),
cookie di preferenze, di profilazione
e di marketing
• INSTALLAZIONE
DI UN PLUGIN SPECIFICO
che generi un banner complesso per l’analisi,
l’attivazione o la disattivazione di tutti i cookie
non funzionali al funzionamento del sito
• COOKIE POLICY
che elenchi tutti i cookie sviluppati
dal sito specifico, con dettagli su fornitore,
scopo, scadenza e tipo; che dia inoltre all’utente
la possibilità di “cambiare idea” sul consenso

25.
25Come adeguare il tuo sito web al GDPR | info@ars.srl
Il Cookie Banner
Fino
al 25/05/18
OGGI

26.
26Come adeguare il tuo sito web al GDPR | info@ars.srl
Il Cookie Banner

27.
27Come adeguare il tuo sito web al GDPR | info@ars.srl
La nuova Cookie Policy
possibilità di revocare il consenso

28.
28Come adeguare il tuo sito web al GDPR | info@ars.srl
I moduli
di contatto
1. Principio di minimizzazione
Chiedere solo i dati che realmente
userai
2. Consenso esplicito
Chiedere il consenso al trattamento
dei dati, in modo chiaro
(esempio nella prossima slide)
ATTIVITÀ DA COMPLETARE SUL SITO
• AGGIORNAMENTO PLUGIN
relativi ai moduli di contatto e installazione
delle funzionalità necessarie a renderli compliant
• FORUM, AREE PRIVATE, COMMENTI
installazione dei plugin che permettano
agli utenti di accedere in qualsiasi momento
ai propri dati personali, cancellandoli
automaticamente su richiesta.

29.
29Come adeguare il tuo sito web al GDPR | info@ars.srl
Come chiedere
consenso nei form
1. Principio di granularità
Chiedere consenso per ogni tipo di
trattamento
2. Opt-in
L’utente deve interagire per consentire
(la spunta non deve essere già segnata)
3. Diritto di revoca
questa autorizzazione deve poter essere
revocata
Autorizzo l’utilizzo dei miei dati personali
ai fini di essere contattato via email.
Le modalità di utilizzo dettagliate
sono descritte nella privacy policy
(link alla sezione della privacy)

30.
30Come adeguare il tuo sito web al GDPR | info@ars.srl
Un form a norma

31.
31Come adeguare il tuo sito web al GDPR | info@ars.srl
È possibile continuare a tracciare gli utenti all’interno del sito (senza chiedere il consenso),
ma con alcuni accorgimenti:
Google Analytics
1. Anonimizzare gli IP
2. Impostare un tempo di durata dei dati
3. Togliere il collegamento tra Analytics e qualsiasi funzione di advertising
Se lo sforzo per attuare queste modifiche non vale il vantaggio che traete da Analytics
è meglio disattivarlo.
È comunque possibile attuare alcune operazioni per continuare a utilizzare Google Analytics
senza oscurare gli indirizzi IP degli utenti, pur rimanendo a norma di legge.

32.
32Come adeguare il tuo sito web al GDPR | info@ars.srl
Cos’è
una privacy notice?
Il GDPR parla di privacy notice, ovvero
una dichiarazione rilasciata al Data
Subject che spiega come
l’organizzazione raccoglie, organizza,
conserva e divulga
le informazioni personali. Tra le tante
informazioni da inserire è importante
mettere i contatti del responsabile
del trattamento (Data Controller
o Data Protection Officer)
ATTIVITÀ DA COMPLETARE SUL SITO
• PAGINA DELLA PRIVACY POLICY
Creazione della pagina di Privacy Policy,
con descrizione di Commenti, Media, Moduli
di contatto, altri moduli, Cookie propri, Cookie
di terze parti, Contenuto incorporato da altri siti,
Servizi DNS, Hosting, Finalità di trattamento,
modalità trattamento dati, informazioni
di contatto, esercizio dei diritti, ecc.
Il tutto con formattazione chiara e leggibile;
Per scrivere una Privacy Policy corretta e comple
è necessaria la sinergia di più figure professiona
essendo la pagina composta da contenuti tecnici
e contenuti legali

33.
33Come adeguare il tuo sito web al GDPR | info@ars.srl
Impostazione ottimale
della pagina
sulla Privacy Policy
1. Paragrafazione dei testi
Per aiutare la lettura dividendo i contenuti in
blocchi
2. Schede accordion
aiutano a trovare i contenuti più facilmente,
dando l’impressione di non dover leggere troppo
contenuto
3. Icone
fanno comprendere facilmente l’argomento
trattato nelle relative schede.

34.
34Come adeguare il tuo sito web al GDPR | info@ars.srl
Hai
una newsletter?
ATTIVITÀ DA COMPLETARE
• ANALISI PRELIMINARI
della modalità di iscrizione degli utenti
nella mailing list preesistente, prima
dell’entrata in vigore della norma;
• MODULI DI ISCRIZIONE
creazione di un nuovo modulo di iscrizione
che sia a norma con il GDPR, che preveda
una casella da spuntare, nella quale si accettano
tutte le condizioni presenti nella Privacy Policy
e si accetta la ricezione di materiale informativo
anche con finalità promozionali;
In questo caso dovrai verificare sia
la modalità di raccolta dei sottoscrittori
nelle tue mailing list (online e offline),
sia la corretta impostazione dei form
di iscrizione alla newsletter sul sito,
sia delle singole comunicazioni inviate
• Adattamento dei moduli di iscrizione
alla newsletter del sito secondo la norma GDPR.

35.
35Come adeguare il tuo sito web al GDPR | info@ars.srl
Se l’iscrizione ha avuto luogo
secondo le normative vigenti
• invio di una newsletter informativa
con il link alla nuova Privacy Policy
e il pulsante per potersi
cancellare attivamente dalla
mailing list
Come mettere in regola le proprie mailing list
Se l’iscrizione non ha avuto luogo
secondo le normative vigenti
• invio di una newsletter con il link alla
nuova Privacy Policy e due pulsanti, il
primo per confermare la propria
iscrizione, indicando
le proprie preferenze e un secondo per
potersi cancellare attivamente dalla
mailing list
• invio di una seconda newsletter per
ricordare gli utenti di confermare le proprie

36.
36Come adeguare il tuo sito web al GDPR | info@ars.srl
Se l’iscrizione
era già a norma
1. Avvisiamo della nuova normativa sulla Privacy
l’inizio della newsletter informativa introduce
la nuova normativa sulla Privacy e le differenze
tra questa e la precedente
2. Invitiamo gli utenti a modificare le proprie
preferenze
Gli utenti potranno modificare le proprie preferenze
o cancellarsi dalla mailing list con un link all’interno
del corpo della mail

37.
37Come adeguare il tuo sito web al GDPR | info@ars.srl
Se l’iscrizione
non era a norma
1. Introduciamo il GDPR agli utenti
l’inizio della newsletter informativa spiega
l’importanza della scelta a cui l’utente è
chiamato
2. Forniamo le opzioni di Opt-in e Opt-
out
diamo la possibilità di confermare o modificare
la propria iscrizione o, eventualmente, di
cancellarla

38.
38Come adeguare il tuo sito web al GDPR | info@ars.srl
Cos’è un Data Breach?
Il Data Breach è una violazione dei
dati personali, esso si può verificare in
molteplici maniere:
• Attacco hacker (diretto o indiretto)
• Perdita di un PC aziendale
• Perdita di un supporto di memoria
• Violazione di un account
• Virus
Data Breach
Cosa fare se accade
Notificare l’accaduto a tutti gli utenti
coinvolti nella fuga di dati (anche quelli
che potrebbero esserlo) e notificare il
garante entro 72 ore dalla scoperta

39.
39Come adeguare il tuo sito web al GDPR | info@ars.srl
Il GDPR sposta il controllo dei dati personali verso gli utenti
Ricapitolando
Le aziende devono concentrarsi e minimizzare la quantità di dati richiesti, quando possibile.
Investire nella sicurezza ed essere pienamente coscienti dell’intero flusso che i dati percorrono

40.
40Come adeguare il tuo sito web al GDPR | info@ars.srl
Hai domande sul GDPR?
Vuoi rinnovare il tuo sito?
Vuoi farti trovare online
dai potenziali clienti?
+39 06 45495 820
info@ars.srl
www.ars.srl
ARS – ARCHITECTURE THAT SOUNDS srl
DOVE SIAMO
Via Dego, 19
00168 Roma
GRAZIE,
Stefano Greco
s.greco@ars.srl