Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR: come adeguare il tuo sito web

119 views

Published on

In questa presentazione è fornita una sintesi introduttiva sul GDPR.
Se non sai da dove iniziare per mettere in regola il tuo sito web, la tua newsletter e il tuo modulo di contatti, troverai qui una panoramica chiara e strutturata su cosa verificare e come intervenire per adeguarti alla norma.

Il contenuto del documento nel dettaglio:
- le nuove tutele degli utenti;
- cosa cambia sui siti web;
- quali dati devono contenere i siti web;
- come mettere in regola il tuo sito;
- come e dove chiedere il consenso agli utenti;
- come mantenere le statistiche del sito;
- come mettere in regola la tua newsletter.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

GDPR: come adeguare il tuo sito web

  1. 1. 1Come adeguare il tuo sito web al GDPR | info@ars.srl Dott. Stefano Greco GDPR un vestito su misura Convegno organizzato da Observer srl in collaborazione con Unimpresa Sora, 20-21 ottobre 2018 GDPR: COME ADEGUARE IL TUO SITO WEB
  2. 2. 2Come adeguare il tuo sito web al GDPR | info@ars.srl COME E DOVE CHIEDERE IL CONSENSO AGLI UTENTI 06 COME METTERE IN REGOLA IL PROPRIO SITO 05 COME METTERE IN REGOLA LA PROPRIA NEWSLETTER 08 COME MANTENERE LE STATISTICHE DEL SITO 07 LE NUOVE TUTELE PER L’UTENTE 02 INTRODUZIONE ALLA NORMA DEL GDPR 01 QUALI DATI DEVONO CONTENERE I SITI WEB 04 COSA CAMBIA SUI SITI WEB03 DI COSA PARLEREMO OGGI
  3. 3. 3Come adeguare il tuo sito web al GDPR | info@ars.srl Secondo il Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore a partire dal 25 maggio 2018, i proprietari dei siti web – dai privati che utilizzano blog e newsletter, alle aziende che implementano piattaforme di e-commerce – dovranno adottare adeguate misure tecniche che permettano all’utente di confermare il proprio consenso all’attività di trattamento (e tracciamento) dei dati personali e di navigazione. INTRODUZIONE ALLA NORMA
  4. 4. 4Come adeguare il tuo sito web al GDPR | info@ars.srl In sintesi, il nuovo regolamento europeo prevede che ogni sito web informi i navigatori: COSA CAMBIA SUI SITI WEB • di tutte le procedure tecniche volte a profilarne la navigazione e le preferenze • di chi sia il Responsabile della protezione dei dati - Data Protection Officer • di quali siano i tempi di conservazione dei dati personali • delle modalità di cancellazione dei dati e di modifica degli stessi
  5. 5. 5Come adeguare il tuo sito web al GDPR | info@ars.srl La norma non è da sottovalutare, considerate le sanzioni previste ex art. 83. In particolare, si prevedono sanzioni amministrative pecuniarie suddivise in due categorie assibilabili a differenti tipologie di violazione: • Sino a 10 milioni di euro e, per le imprese, sino al 2% del fatturato mondiale annuo dell'esercizio precedente, se superiore • Sino a 20 milioni di euro e, per le imprese, il 4% del fatturato mondiale annuo dell'esercizio precedente, se superiore LE SANZIONI PREVISTE
  6. 6. 6Come adeguare il tuo sito web al GDPR | info@ars.srl Colui che determina quali dati vengono raccolti e perché (tipicamente il titolare del sito) DATA CONTROLLER Chiunque processi i dati personali per conto del Data Controller DATA PROCESSOR Persona fisica a cui i dati personali si riferiscono DATA SUBJECT I SOGGETTI DEL GDPR Il GDPR definisce alcuni soggetti che hanno obblighi e doveri
  7. 7. 7Come adeguare il tuo sito web al GDPR | info@ars.srl Le tutele per l’utente/persona Tutto l’impianto normativo va in favore dell’utenza, che avrà di fatto una maggior tutela Accesso più facile ai propri dati, con maggiori info (chiare e precise) su come i dati vengono processati dall’azienda 1 Una maggior responsabilizzazione e consapevolezza delle grandi risorse che si celano dietro l’uso dei dati personali 2 Diritto alla conoscenza nel momento in cui i propri dati siano stati violati3
  8. 8. 8Come adeguare il tuo sito web al GDPR | info@ars.srl Visualizzare tutti i dati che il Data Controller sa di me e avere la possibilità di esportarli DATA ACCESS E PORTABILITY Poter rettificare tutti i consensi dati DIRITTO DI RETTIFICA Diritto alla cancellazione dei propri dati DIRITTO ALL’OBLIO I DIRITTI DEL DATA SUBJECT Il GDPR definisce diritti e doveri, essendo una legge che porta l’attenzione ai dati dei cittadini europei
  9. 9. 9Come adeguare il tuo sito web al GDPR | info@ars.srl Cosa sono i dati personali? Sono delle informazioni riconducibili alla persona, in maniera diretta o aggregata Esempi di dati direttamente collegati alla persona Esempi di dati collegabili alla persona Esempi di dati personali sensibili Nome e cognome Nome Dati bancari Data di nascita Cognome Origine etnica Residenza Età non specificata (20-30) Dati medici Numero di telefono Posto di lavoro Opinioni politiche N. Carta di credito o collegamenti alla banca Posizione lavorativa Opinioni religiose, filosofiche N. Passaporto, Carta di identità, C.F., Patente Indirizzo IP Dati generici Email Mac address Preferenze sessuali
  10. 10. 10Come adeguare il tuo sito web al GDPR | info@ars.srl Quali dati deve contenere il mio sito? Un sito web aziendale dovrebbe sempre avere i seguenti dati pubblici: • CODICE FISCALE E PARTITA IVA • IMPORTO DEL CAPITALE SOCIALE, CON INDICAZIONE ESATTA DELLA PARTE VERSATA (per le società di capitali) • DENOMINAZIONE SOCIALE • NUMERO REA (Repertorio delle notizie Economiche e Amministrative) • INDIRIZZO COMPLETO SEDE LEGALE • REGISTRO DELLE IMPRESE DOVE LA SOCIETÀ È ISCRITTA E NUMERO DI ISCRIZIONE
  11. 11. 11Come adeguare il tuo sito web al GDPR | info@ars.srl Cosa devo fare sul mio sito Se hai un sito già esistente devi innanzitutto capire e sapere tutto quello che accade sul tuo sito. Se richiedi dei dati oppure li collezioni senza chiederli (es. Con Google Analytics) devi capire lo scopo di questi dati: ti servono veramente, a cosa? QUANTO TEMPO LI TIENI? LA RACCOLTA È TRATTATA OPPORTUNAMENTE DAL PUNTO DI VISTA LEGALE? QUALI DATI RACCOGLI? PERCHÈ LI RACCOGLI?
  12. 12. 12Come adeguare il tuo sito web al GDPR | info@ars.srl Sito web aziendale Cosa dobbiamo controllare? HOSTING E SICUREZZA DEI DATI • Come tratta i miei dati? • Come gestisce i log del web server? • Sottoscrive un DPA (Accordo per il Trattamento dei Dati) GDPR compliant? 1 CMS • Che plugin ci sono? • Dove mandano i dati? 2 COOKIES • Gli utenti possono decidere quali cookies disattivare? 3 FORM DI CONTATTO • Che dati chiedo? Perché li chiedo? Dove li metto e per quanto tempo? 4 STATISTICHE (ANALYTICS) • Anonimizzo i dati? L’utente mi ha dato il permesso? Per cosa uso questi dati? 5
  13. 13. 13Come adeguare il tuo sito web al GDPR | info@ars.srl Hosting e sicurezza dei dati È necessario completare una serie di attività per la messa in sicurezza del sito e dei dati connessi • INSERIMENTO PROTOCOLLO HTTPS (HyperText Transfer Protocol over Secure Socket Layer) per la navigazione del sito e per la messa in sicurezza dello stesso • INSTALLAZIONE CERTIFICATO SSL (Secure Sockets Layer) • ANALISI PRELIMINARI controllo delle varie funzionalità e plugin installati
  14. 14. 14Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS
  15. 15. 15Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS: la risposta di Google I siti HTTP vengono indicati come “NON SICURO” da Google e da Chrome; successivamente anche da Safari. LUGLIO 2018 NON SICURO I siti HTTPS vengono favoriti rispetto ai siti con contenuti simili su protocollo HTTP 2015 RANKING
  16. 16. 16Come adeguare il tuo sito web al GDPR | info@ars.srl Mi basterà trasferire il sito su protocollo HTTPS, affinché una pagina abbia un miglior posizionamento rispetto a quando era in HTTP? • la pagina non contenga elementi esterni/interni non sicuri, ossia serviti tramite protocollo HTTP • la pagina non effettui un redirect per gli utenti a una pagina, o attraverso una pagina, non sicura (in HTTP) • la pagina non abbia un metatag rel=”canonical” a una pagina in HTTP • la pagina non abbia dei link allo stesso host, con url in formato HTTP • nella sitemap vi sia una lista di URL in HTTPS o che non vi siano gli URL nella versione HTTP • il certificato di criptazione del server sia valido SÌ, A PATTO CHE:
  17. 17. 17Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS Google Chrome Firefox
  18. 18. 18Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS Firefox
  19. 19. 19Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS Firefox
  20. 20. 20Come adeguare il tuo sito web al GDPR | info@ars.srl HTTP vs HTTPS Google Chrome
  21. 21. 21Come adeguare il tuo sito web al GDPR | info@ars.srl Dati 2018, BuiltWith.com C M S: quali sono i più diffusi nel 2018?
  22. 22. 22Come adeguare il tuo sito web al GDPR | info@ars.srl Content Management System • CMS Aggiornamento del Content Management System alle versioni più recenti (per WordPress la 4.9.6 o successiva e per Joomla almeno la 3.8 È necessario avere un sistema aggiornato che supporti la tecnologia per la messa a norma di tutte le funzionalità • PLUGIN GIÀ INSTALLATI Aggiornamento dei plugin presenti nel sito all’ultima versione • INSTALLAZIONE PLUGIN con funzioni Security Scanner, con rilevazione e blocco di Malware, attacchi Brute Force, blocco IP malevoli, misure preventive contro gli attacchi ecc…
  23. 23. 23Come adeguare il tuo sito web al GDPR | info@ars.srl Cookies 1/2 sono utilizzati per memorizzare bit di informazioni specifiche riguardanti le interazioni tra il pc ed il sito web L’utente informato dovrà avere facoltà di poter navigare sul sito web, decidendo quali cookies potranno rimanere attivi e quali no. I siti web dovranno quindi disporre di un software che blocchi preventivamente qualsiasi attività di tracciamento che non sia espressamente confermata da parte del navigatore. NOVITÀ PER GLI UTENTI
  24. 24. 24Come adeguare il tuo sito web al GDPR | info@ars.srl Cookies 2/2 Sono esclusi i cosiddetti “cookie tecnici” che servono esclusivamente per il corretto funzionamento del sito. Una doverosa precisazione: i cookies generati da Google Analytics per il tracciamento della navigazione e per le statistiche del sito non rientrano tra i cookie tecnici e vanno trattati. ATTIVITÀ DA COMPLETARE SUL SITO • STUDIO, ANALISI E CONTROLLO DI TUTTI I COOKIE suddivisione tra cookie tecnici (necessari), cookie di preferenze, di profilazione e di marketing • INSTALLAZIONE DI UN PLUGIN SPECIFICO che generi un banner complesso per l’analisi, l’attivazione o la disattivazione di tutti i cookie non funzionali al funzionamento del sito • COOKIE POLICY che elenchi tutti i cookie sviluppati dal sito specifico, con dettagli su fornitore, scopo, scadenza e tipo; che dia inoltre all’utente la possibilità di “cambiare idea” sul consenso
  25. 25. 25Come adeguare il tuo sito web al GDPR | info@ars.srl Il Cookie Banner Fino al 25/05/18 OGGI
  26. 26. 26Come adeguare il tuo sito web al GDPR | info@ars.srl Il Cookie Banner
  27. 27. 27Come adeguare il tuo sito web al GDPR | info@ars.srl La nuova Cookie Policy possibilità di revocare il consenso
  28. 28. 28Come adeguare il tuo sito web al GDPR | info@ars.srl I moduli di contatto 1. Principio di minimizzazione Chiedere solo i dati che realmente userai 2. Consenso esplicito Chiedere il consenso al trattamento dei dati, in modo chiaro (esempio nella prossima slide) ATTIVITÀ DA COMPLETARE SUL SITO • AGGIORNAMENTO PLUGIN relativi ai moduli di contatto e installazione delle funzionalità necessarie a renderli compliant • FORUM, AREE PRIVATE, COMMENTI installazione dei plugin che permettano agli utenti di accedere in qualsiasi momento ai propri dati personali, cancellandoli automaticamente su richiesta.
  29. 29. 29Come adeguare il tuo sito web al GDPR | info@ars.srl Come chiedere consenso nei form 1. Principio di granularità Chiedere consenso per ogni tipo di trattamento 2. Opt-in L’utente deve interagire per consentire (la spunta non deve essere già segnata) 3. Diritto di revoca questa autorizzazione deve poter essere revocata Autorizzo l’utilizzo dei miei dati personali ai fini di essere contattato via email. Le modalità di utilizzo dettagliate sono descritte nella privacy policy (link alla sezione della privacy)
  30. 30. 30Come adeguare il tuo sito web al GDPR | info@ars.srl Un form a norma
  31. 31. 31Come adeguare il tuo sito web al GDPR | info@ars.srl È possibile continuare a tracciare gli utenti all’interno del sito (senza chiedere il consenso), ma con alcuni accorgimenti: Google Analytics 1. Anonimizzare gli IP 2. Impostare un tempo di durata dei dati 3. Togliere il collegamento tra Analytics e qualsiasi funzione di advertising Se lo sforzo per attuare queste modifiche non vale il vantaggio che traete da Analytics è meglio disattivarlo. È comunque possibile attuare alcune operazioni per continuare a utilizzare Google Analytics senza oscurare gli indirizzi IP degli utenti, pur rimanendo a norma di legge.
  32. 32. 32Come adeguare il tuo sito web al GDPR | info@ars.srl Cos’è una privacy notice? Il GDPR parla di privacy notice, ovvero una dichiarazione rilasciata al Data Subject che spiega come l’organizzazione raccoglie, organizza, conserva e divulga le informazioni personali. Tra le tante informazioni da inserire è importante mettere i contatti del responsabile del trattamento (Data Controller o Data Protection Officer) ATTIVITÀ DA COMPLETARE SUL SITO • PAGINA DELLA PRIVACY POLICY Creazione della pagina di Privacy Policy, con descrizione di Commenti, Media, Moduli di contatto, altri moduli, Cookie propri, Cookie di terze parti, Contenuto incorporato da altri siti, Servizi DNS, Hosting, Finalità di trattamento, modalità trattamento dati, informazioni di contatto, esercizio dei diritti, ecc. Il tutto con formattazione chiara e leggibile; Per scrivere una Privacy Policy corretta e comple è necessaria la sinergia di più figure professiona essendo la pagina composta da contenuti tecnici e contenuti legali
  33. 33. 33Come adeguare il tuo sito web al GDPR | info@ars.srl Impostazione ottimale della pagina sulla Privacy Policy 1. Paragrafazione dei testi Per aiutare la lettura dividendo i contenuti in blocchi 2. Schede accordion aiutano a trovare i contenuti più facilmente, dando l’impressione di non dover leggere troppo contenuto 3. Icone fanno comprendere facilmente l’argomento trattato nelle relative schede.
  34. 34. 34Come adeguare il tuo sito web al GDPR | info@ars.srl Hai una newsletter? ATTIVITÀ DA COMPLETARE • ANALISI PRELIMINARI della modalità di iscrizione degli utenti nella mailing list preesistente, prima dell’entrata in vigore della norma; • MODULI DI ISCRIZIONE creazione di un nuovo modulo di iscrizione che sia a norma con il GDPR, che preveda una casella da spuntare, nella quale si accettano tutte le condizioni presenti nella Privacy Policy e si accetta la ricezione di materiale informativo anche con finalità promozionali; In questo caso dovrai verificare sia la modalità di raccolta dei sottoscrittori nelle tue mailing list (online e offline), sia la corretta impostazione dei form di iscrizione alla newsletter sul sito, sia delle singole comunicazioni inviate • Adattamento dei moduli di iscrizione alla newsletter del sito secondo la norma GDPR.
  35. 35. 35Come adeguare il tuo sito web al GDPR | info@ars.srl Se l’iscrizione ha avuto luogo secondo le normative vigenti • invio di una newsletter informativa con il link alla nuova Privacy Policy e il pulsante per potersi cancellare attivamente dalla mailing list Come mettere in regola le proprie mailing list Se l’iscrizione non ha avuto luogo secondo le normative vigenti • invio di una newsletter con il link alla nuova Privacy Policy e due pulsanti, il primo per confermare la propria iscrizione, indicando le proprie preferenze e un secondo per potersi cancellare attivamente dalla mailing list • invio di una seconda newsletter per ricordare gli utenti di confermare le proprie
  36. 36. 36Come adeguare il tuo sito web al GDPR | info@ars.srl Se l’iscrizione era già a norma 1. Avvisiamo della nuova normativa sulla Privacy l’inizio della newsletter informativa introduce la nuova normativa sulla Privacy e le differenze tra questa e la precedente 2. Invitiamo gli utenti a modificare le proprie preferenze Gli utenti potranno modificare le proprie preferenze o cancellarsi dalla mailing list con un link all’interno del corpo della mail
  37. 37. 37Come adeguare il tuo sito web al GDPR | info@ars.srl Se l’iscrizione non era a norma 1. Introduciamo il GDPR agli utenti l’inizio della newsletter informativa spiega l’importanza della scelta a cui l’utente è chiamato 2. Forniamo le opzioni di Opt-in e Opt- out diamo la possibilità di confermare o modificare la propria iscrizione o, eventualmente, di cancellarla
  38. 38. 38Come adeguare il tuo sito web al GDPR | info@ars.srl Cos’è un Data Breach? Il Data Breach è una violazione dei dati personali, esso si può verificare in molteplici maniere: • Attacco hacker (diretto o indiretto) • Perdita di un PC aziendale • Perdita di un supporto di memoria • Violazione di un account • Virus Data Breach Cosa fare se accade Notificare l’accaduto a tutti gli utenti coinvolti nella fuga di dati (anche quelli che potrebbero esserlo) e notificare il garante entro 72 ore dalla scoperta
  39. 39. 39Come adeguare il tuo sito web al GDPR | info@ars.srl Il GDPR sposta il controllo dei dati personali verso gli utenti Ricapitolando Le aziende devono concentrarsi e minimizzare la quantità di dati richiesti, quando possibile. Investire nella sicurezza ed essere pienamente coscienti dell’intero flusso che i dati percorrono
  40. 40. 40Come adeguare il tuo sito web al GDPR | info@ars.srl Hai domande sul GDPR? Vuoi rinnovare il tuo sito? Vuoi farti trovare online dai potenziali clienti? +39 06 45495 820 info@ars.srl www.ars.srl ARS – ARCHITECTURE THAT SOUNDS srl DOVE SIAMO Via Dego, 19 00168 Roma GRAZIE, Stefano Greco s.greco@ars.srl

×