Nuova normativa per la privacy (GDPR)
Author: Luciana CiolfiBuongiorno a tutti (visto l'argomento, si fa per dire).
Qualche informazione sulla nuova normativa GDPR.
Praticamente, anche se hai solo un sito dedicato alle foto delle nidiate del cuculo alpino, DEVI adempiere a questi obblighi (a molti, se non a tutti).
---------------------------------
da Perchè e Come adeguare il Tuo Sito Web alla normativa GDPR
COSA DA FARE:
GDPR e Sito Web: checklist
- Realizzare una verifica di tutti i dati personali collezionati
- Aggiornare l’informativa sulla privacy
- Rendere affermativi gli avvisi dei cookie
- Creare semplici processi opt-in tali da essere granulari (a seconda del trattamento)
- Rivedere la funzionalità di acquisizione dati
- Aggiornare le Privacy Policy per le email
- Rendere immediata la possibilità di gestione/cancellazione dati
- Applicare un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database
- Controllare che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni
- Abilitare una procedura per agevolare l’eliminazione dei dati di un particolare utente
- Abilitare una procedura che garantisca la portabilità dei dati
- Registrare e monitorare i log di sistema degli amministratori e dei webmaster
---------------------------------
da HappyMinds - Houston ho un problema… Cos’è il GDPR?
Come proprietario di un sito web devi:
- essere pienamente a conoscenza di tutte le tecnologie di tracciamento che utilizza sul tuo sito web e il loro scopo (mi riferisco ai tanto amati cookie);
- ottenere il consenso esplicito dell’utente prima che avvenga qualsiasi elaborazione di dati (niente più “continuando la navigazione bla bla bla…”);
- registrare la prova del consenso (dovete registrare tutto);
- assicurare che il tuo sito offra la possibilità di revocare il consenso (TUTTO);
- sapere quali dati il tuo sito web condivide con terze parti e dove, a livello globale, i dati vengono inviati (non lo sai? Bene, è arrivato il momento di scoprirlo).
Cosa accade a chi non adegua il proprio sito web?
Come ho accennato prima c’è tempo fino al 25 maggio 2018 per rendere il proprio sito conforme, oltre questa data, i proprietari dei siti che non saranno adeguati al GDPR potranno ricevere una sanzione salatissima che può arrivare fino al 4% del fatturato dell’azienda o fino a un massimo di 20 milioni di euro.
Come fare per rendere il sito conforme alle direttive del GDPR?
Per provare a farlo da solo ti consiglio alcune risorse che possono esserti utili:
- Sito dell’EUGDPR (www.eugdpr.org)
- Sito del Garante per la protezione dei dati personali
- Iubenda – Tool online per generare la privacy policy del tuo sito web
- Cookiebot – Tool online per la gestione del banner sui cookie
Se, invece, non sei in grado di farlo da solo, devi ovviamente rivolgerti ad un esperto, o meglio sarebbe rivolgersi ad un team di esperti (oppure puoi contattare gli autori dell'articolo, il link è nella pagina).
... ↑ ... ... ↑ ...
Author
Ciao KolAsim. Tanto per cominciare toglierò tutti i contatori di visite (così risolvo anche il problema della fascia sotto al footer). Se mi gira tolgo anche le mappe di Google e ci metto uno STAMP al posto loro. Tolgo anche i pulsanti per la condivisione e/o stampa di articoli e pagine e voglio vedere che ci rimane. Non posso far rischiare sanzioni a chi ha una associazione no profit o un sito dove non ci sono nemmeno i moduli per inviare le email. Perchè poi c'è da dire che questi dati li devi ricontrollare periodicamente per verificare che non siano cambiati. E devi aggiornare l'informativa di conseguenza.
... ottimo! ...condivido da sempre questa filosofia...
... in alternativa, come si faceva ai vecchi tempi per accontentare browser obsoleti o dis. mobile, se il sito non è particolarmente impegnativo, (ma anche se lo fosse!), si potrebbe accoppiare un sotto sito immune dal garante, nei modi da te adesso elencati...
... per questo ho aggiornato (*) la precedente pagina di RIFIUTO del > mio esempio che già hai avuto modo di vedere nel primo step...
... mancherebbe il tracciamento sull'accettazione, a cui si può rimediare, ma anche già così, se qualche funzionario avesse qualcosa da dire, ...mmmmhhhmmm ... ... ...!#*;':%&? ... lasciamo perdere!!!...
.
ciao
.
(*) - il vecchio catorcio ancora sbuffante non ha fatto scherzi...
.
In una nazione dove non funziona NULLA, dove ognuno fa quel che gli pare senza curarsi minimamente della legge o del male che si fa alla gente infrangendo la legge, esattamente chi si dovrebbe occupare di fare queste fantomatiche sanzioni ?
Attendo una risposta.
La legge Italiana sulla privacy dlgs 196/03 stava già più avanti della vecchia norma europea "art. 29 della Direttiva n. 95/46/CE" ora abrograta dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio
se avevi un sito che già rispettava la norma italiana cambia poco con la nuova normativa, vedi i siti ministeriali compreso quello del garante della privacy vedi come stanno messi!
Author
Probabilmente saranno dei sistemi automatizzati a scannerizzare il web. Su chi materialmente verrà a cercarti non posso dare una risposta, ma diciamo che non sono particolarmente impaziente di scoprirlo. Preferisco mettermi in regola, anche perchè tranne in un caso, i siti che ho fatto sono per altre persone, procurargli un danno non sarebbe il massimo, soprattutto per il rapporto di amicizia che abbiamo.
Mica tanto "cambia poco". Ti devi andare a guardare chi e dove salva i dati che traccia sul tuo sito, ti devi salvare il consenso dato da chi visita il sito e lo devi tenere in archivio "per 10 anni, così se quello poi contesta l'autorizzazione che ti aveva dato, tu hai la prova che l'aveva data...nel 2002". Aho, io evito come la peste anche i database dei CMS, non uso i form per l'invio delle email e non ho un'area riservata, proprio perchè NON ho intenzione di raccogliere dati e perchè NON voglio rogne. E questi mi vengono a cercare lo stesso...
Non esistono siti immuni, tocca fare i salti mortali anche se fossero tutte pagine AMP.
.
Con il tuo esempio mi sono fatta un sito di prova e me lo tengo fin quando non ho tutti i pezzi, poi comincio a cambiare le impostazioni dei siti seguendo quello che hai fatto tu. Solo una cosa volevo segnalare, il tuo banner mi appare sotto al menù principale dell'header. Si può far apparire sopra?
.
Quando un funzionario ti contatta per dirti che c'è qualcosa che non va, è troppo tardi...
.
Evviva i vecchi catorci!
Ciao Luciana come parli tu neanche il sito del Garante della Privacy sta a norma, quindi dobbiamo tutti chiudere i siti!
Se la sanzione vogliono fartela non ce Dio che ti aiuta! E come se ti ferma la pattuglia della Polizia, tu puoi avere tutto corretto ma se vogliono trovarti qualcosa che non va stai tranquilla che la trovano.
... dovrei vedere qualcosa; ...hai provato con l'opzione:
▼ Dopo l'apertura del tag BODY ...?...
bye
Author
non lo so se il garante sta a norma, eventualmente se la vedrà con i suoi colleghi.
Io cerco di mettermi al riparo. Anche se questa volta sarà dura seguire tutte le indicazioni.
L'ho messo prima della chiusura del tag body. Oggi non ho il tempo di fare altre prove (si va di smontaggio e pulizia di computer e ventole di raffreddamento in vista dell'estate...), casomai ci metto mano sul tardi e poi ti faccio sapere.
... in questa posizione, secondo me! ...se nella pagina ci fossero script con rilascio di cookies, allora il mio esempio perderebbe la sua prerogativa, che li dovrebbe bloccare prima che possano essere scaricati...
... di quelli lì! ...chi avesse da ridire sul mio esempio! ... sarebbe un raccomandato............
.
Author
...ora che mi ci fai pensare, per logica, se lo metto prima della chiusura, tutto quello che c'è prima della chiusura può attivarsi.
Ma ci ho ragionato soltanto adesso.
Comunque non ho potuto fare altre modifiche, ho finito adesso di rimontare tutta la postazione. Se a qualcuno serve un sacco da 5 kg pieno di polvere, me lo dica che glielo spedisco.
Meno male che hai scritto "probabilmente", perchè se fosse stata vera l'esistenza di sistemi automatizzati, oggi non esisterebbe nemmeno un sito web illegale, invece la situazione è ben diversa e peggiore più di quanto io stesso ho visto e voglia ammettere, per tale motivo eviterò di aggiungere altro.
Author
Io comunque preferisco non rischiare.
Gli organi preposti alla verifica sono Guardia di Finanza, Polizia Postale ed Ufficio del Garante.
Quasi sicuramente la Polizia Postale , come la Guardia di Finanza hanno ben altro da fare che "cercare" i siti inadempienti per un paio di cookies ed in particolare quelli di poco conto come siti amatoriali , il discorso varrà molto di più per i siti di ecommerce... in modo automatico e/o manuale che sia...
...però in caso di segnalazione/denuncia da parte di un utente/visitatore saranno "obbligati" a verificare ...
...quindi la cosa non sarà da sottovalutare comunque ...
Author
Avranno anche altro da fare ma viste le inadempienze attuali (moltissimi siti "amatoriali" non hanno nemmeno la vecchia normativa) non gli sarà difficile farsi un giro e beccarne a carrettate, soprattutto nei primi tempi dopo l'entrata in vigore della legge.
Preferisco non salire su quelle carrette...
...infatti ho scritto
Author
Ma sì dai, aggiungiamo un altro po' di delirio a tutto il contesto...
Qui ci sono delle cose che mi fanno pensare a quanto sia distante il legislatore dalla vita reale.
Alcuni passaggi...significativi.
-----------------
Cambiamenti nell’approccio ai cookies
Con il nuovo regolamento cambia anche l’approccio ai cookies, gli avvisi per l’utilizzo dei cookies vanno mostrati come si carica il sito, quindi preventivi, e l’utente deve essere messo nella condizione di poter scegliere se accettare i cookies o meno. Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e devi mantenere un registro che provi lo stato del consenso per ogni utente.
---------------
Piccolo inciso:
ma se l'utente ha già in mano gli strumenti per revocare consensi o dinieghi, a cosa cappero mi serve un registro per siti ultra amatoriali che hanno solo i coockie tecnici, con argomenti di nicchia o senza scopo di lucro che nessuno contesterà mai? E anche se qualcuno contestasse i coockie (permettetemi una SONORA risata), CI SONO GIA' gli strumenti giuridici per risolvere le controversie.
---------------
Un aspetto importante è che con il regolamento RGDP (o GDPR in inglese), si vanno a regolamentare anche quei dati che non sono direttamente personali ma che possono comunque identificare o aiutare a identificare un individuo. Ovviamente questo approccio fa subito pensare a strumenti molto usati come Google Analytics che utilizzano dati come l’indirizzo IP.
In sostanza il titolare del sito web sarà tenuto a proteggere i dati raccolti da terze parti e a fornire chiare informazioni ai visitatori del sito.
---------------
Altro inciso: ma se i dati raccolti da terzi sono...raccolti da terzi, come cappero li proteggo io che non li ho raccolti?
----------------
La nuova legge sulla privacy focalizza molto l’attenzione sul tipo di dati e contenuto memorizzato dai siti e su come questi elementi sono trattati, da chi, a che scopo, dove sono immagazzinati e per quanto tempo.
----------------
Terzo inciso: il bla bla bla di cui sopra si risolve in un "e poi fa di tutta l'erba un fascio", visto che assimila TUTTI i tipi di siti ai più grandi.
-----------------
Cosa controllare per capire se il tuo sito rispetta il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”?
Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti. Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico. Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.
Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi. Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:
Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
Dove e come sono salvati i backup del tuo sito?
Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati. I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il nuovo regolamento.
Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
Usi strumenti automatizzati per il marketing? Fai A/B testing?
Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step. Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.). Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.
Se identifichi dati personali a cui non dovresti avere accesso, rimuovili. Disabilita i plugin e i servizi che non rispettano il nuovo regolamento; cerca alternative se possibile.
Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.
Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.
Troppe informazioni? Ecco una sintesi
Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:
Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica, ti sarà di grande aiuto.
Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.
Author
Un paio di link per capirci qualcosa in più.
Cookie Law Tutorial
Cookie policy, una soluzione semplice e gratuita per adeguarsi alla Cookie Law
Faccio una battuta... o una battuttaccia... non è che tutto questo regolamentare sulla vita privata, i cookies e che ne so io d'altro, in realtà è fatto per far chiudere i piccoli siti e costringere i loro propietari ad utilizzare i vari social networks?
Non voglio fare polemica, ma diventa sempre più difficile e complicato avere un povero sito internet e rispettare le leggi. Perché in teoria, se una persona residente in California viene a visitare un sito che si trova su un server in Italia, il proprietario del sito basato sul server italiano devrebbe adeguarsi anche alla legge Californiana sul rispetto della vita privata.
Scusatemi lo sfogo, ma penso che siamo un po' tutti stressati da questa situazione.
Author
Hai perfettamente ragione, tutta questa storia, per i piccoli siti, non ha senso.
Alla fine mi ci sono messo, e ho trovato varie informazioni ed esempi che dovrebbero corrispondere alla nuova legislazione.
In ogni caso non ho pubblicato l'indirizzo postale. Non lo faccio perché il luogo dove si svolge l'attività è casa mia, e sinceramente divulgare su internet il mio indirizzo postale privato di casa mi da fastidio. La normativa dovrebbe prevedere questo tipo di situazioni, anche la mia privacy deve essere tutelata.
Ecco le soluzioni:
Sulla pagina Contact ho aggiunto un po' di testo che invita a leggere la pagina sulla Privacy, che lei stessa è stata aggiornata.
Che ne pensate?