Siti Internet e GDPR, alla luce della ISO 27001: regole pratiche per un corretto trattamento dei dati

Ad oggi i siti o portali Internet che rispettano appieno le regole privacy dettate dal GDPR sono ancora pochi, ma quello che non si sa è che rispettare la norma costerebbe poco, quasi zero, e potrebbe essere un veicolo per migliorare il brand e la posizione del marchio sul mercato.

Sui siti Internet viaggiano e si gestiscono dati personali e sensibili il cui valore è molto alto per il business: non proteggerlo qui in questa area virtuale è segno di poco professionalità e scarsa attenzione al mercato, che si unisce alla poca conoscenza del valore del dato.

Il mercato dei dati si protegge dal momento dell’acquisizione del dato stesso, sia esso raccolto in modo cartaceo o digitale.

Siti Internet e GDPR: il quadro normativo

Per capire e gestire correttamente l’intreccio tecnico e di marketing che si crea tra la gestione di un sito e la norma sulla tutela dei dati personali occorre stabilire e comprendere che questa verifica sui dati interessa chi raccoglie e utilizza contatti a scopo professionale ma non solo.

Una considerazione su tutte, tra passato e presente: il Regolamento europeo non ritiene più valide le misure minime di sicurezza così come previste prima nel nostro D.lgs. 196/2003 (Codice Privacy), sostituendole con il più ampio concetto di sicurezza informatica in toto e affidandosi solo come schema alla ISO 27001 meglio conosciuta come “Sistema di gestione per la sicurezza delle informazioni”.

Non stiamo parlando di leggi e riferimenti metodologici, ma di una novità importante in quanto si prende coscienza della differenza tra dato e informazione e a ragione si ritiene quest’ultimo elemento fondamentale della protezione aziendale.

A tal proposito si pensi che la dichiarazione di applicabilità (Statement of Applicability S.O.A.) come da appendice A della norma ISO/IEC 27001 prevede 114 controlli, numero che non deve impressionare a livello quantitativo, ma deve essere visto come un elevato livello di controllo qualitativo.

Quanto appena detto è valido per qualsiasi dato personale prelevato e utilizzato dalle aziende perché dal 25 maggio 2018, con l’entrata in vigore del GDPR 2016/679, deve essere chiaro che i dati, a qualsiasi titolo salvati, possono essere utilizzati solo nel rispetto di tale norma: poco importa se il sito dell’azienda è un sito conoscitivo o effettua attività di commercio elettronico.

Siti internet e GDPR: le policy informative

Per rientrare subito sulla nostra problematica tra siti Internet, dati e privacy dobbiamo quindi studiare come gestire bene le policy informative, i consensi che dovranno essere espliciti, le nomine e la gestione dei cookie, tutte azioni che vanno combinate con la sicurezza e la protezione dei dati, ben sapendo che per dato ad oggi intendiamo l’informazione in senso ampio così come citata e gestita nella ISO 27001.

Tanto ciò detto è inutile girarci intorno e trovare escamotage particolari: occorre fare bene quanto appena detto e soprattutto dimostrare che lo si è fatto, e che quindi i visitatori hanno navigato nel sito ed eventualmente lasciato dati essendo stati preventivamente informati ed avendo prestato il proprio consenso al trattamento dei loro dati personali.

Andiamo per ordine, l’informativa sul sito occorre che esista, sia messa in evidenza e sia chiara ed avrà al suo interno una privacy policy esplicita e comprensibile dalla quale sia facile leggere e comprendere quali dati verranno raccolti, memorizzati, lo scopo del salvataggio, da chi e per quanto tempo questi dati faranno parte del patrimonio informativo dell’azienda.

Di seguito analizzeremo come occorra comportarsi, relativamente alla tutela dei dati personali, riferendoci ad un sito di e-commerce, ma come già detto prima ciò non deve forviare i titolari dei siti e dei dati perché qualsiasi tipo di sito che raccoglie dati deve sottostare a queste regole.

La prima attività da svolgere è verificare come si raccolgono i dati, quindi controllare ad esempio se il tutto avviene in:

• area riservata;
• form di iscrizione al sito;
• form di iscrizione alla newsletter;
• in altra forma ed eventualmente quale.

Per le aree appena citate, ma comunque per qualsiasi tipologia di raccolta, occorre dare la possibilità agli interessati di negare, cancellare o modificare il consenso al trattamento dei dati personali, senza nessun limite.

Tecnicamente occorre verificare che tutti i componenti tecnologici del sito siano conformi al GDPR, volendo semplificare e cominciando ad usare una terminologia specifica, probabilmente stiamo parlando di plugin o moduli che a loro volta installano cookies, e questi vanno sempre prima bloccati, ciò per avvisare il navigatore del sito che dovrà accettarli o rifiutarli o eventualmente volersi informare meglio prima di proseguire.

Siti Internet e GDPR: le verifiche da svolgere

Ma visto che a noi piace mettere in fila le cose da fare senza ingenerare diverse interpretazioni, di seguito una breve lista di attività da fare obbligatoriamente alle quali si possono poi aggiungere altre attività a seconda di quanto vogliamo essere scrupolosi rispetto alla sicurezza informatica, quindi:

• verificare e conoscere i servizi presenti sul sito che memorizzano i dati personali degli utenti/interessati;
• verificare le informazioni memorizzate con quelle previste dal nuovo regolamento nel rispetto dei criteri di minimizzazione e proporzionalità;
• verificare, conservare e mantenere traccia del consenso offerto dagli utenti che vistano il sito;
• verificare l’esistenza o comunque la gestione di un sistema di verifica dei dati dei visitatori, con possibilità di notifica immediata in caso di rischio di violazione dei dati personali. Stiamo quindi parlando tecnicamente di una piattaforma di registrazione di log in grado di gestire i dati, tracciare le attività dell’amministratore di sistema e/o del webmaster;
• verificare la metodologia e le tecniche attraverso e quale si gestiscono i dati sensibili;
• verificare i cookie per determinare ed avvisare correttamente l’utente/interessato se si trova di fronte a cookie di profilazione o meno;
• verificare la correttezza del banner per il consenso sui cookie che deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali;
• verificare la presenza della privacy policy, che deve essere costantemente aggiornata alla nuova legge europea e quindi alle varie indicazione che nel tempo stanno arrivando ricordando su tutto che Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati o di un eventuale DPO, inclusi i contatti per chiedere modifiche o cancellazioni;
• verificare che i dati vengono prelevati a fronte di un consenso, nei casi in cui necessità il consenso ben sapendo, oppure informandosi che non sono pochi i casi in cui il consenso non va richiesto;
• verificare che se vi è newsletter questa abbia in sé sempre la possibilità diretta di cancellarsi, ricordando che le opzioni di iscrizione alla newsletter e le preferenze di contatto, soprattutto rispetto alla vecchia gestione, vanno rivisitate perché il GDPR non prevede la possibilità di ricevere il consenso automatico per cui occorre ristrutturare i moduli.

Tutto questo si fa per professionalità e per dare sicurezza agli interessati, ma sia in un caso che nell’altro il tutto si fa bene anche per evitare di incorrere in sanzioni che possono essere di due tipi:

1. sanzioni correttive: sono avvertimenti, ammonimenti che non dovrebbero prevedere esborsi economici;
2. sanzioni amministrative: sono appunto economiche e molto gravose.

L’attività che indica quale delle due sanzioni va applicata ed eventualmente la somma di denaro da contestare si ricava in base a:

• natura, gravità e durata della violazione;
• carattere doloso o colposo della violazione;
• misure adottate per attenuare il danno subito dagli interessati;
• eventuali precedenti violazioni commesse dal titolare del trattamento.

Quanto appena detto, soprattutto nei punti di verifica, a leggerle bene sono tutte attività già in essere nelle aziende a prescindere dal rapporto che si è instaurato con il nuovo regime della privacy cosi come previsto dal Regolamento europeo, ed è infatti per questo motivo che la privacy non dovrebbe generare costi eccessivi o nuovi rispetto alle attività da mettere in piedi a livello informatico.

Conclusioni

È assodato che i dati rappresentino uno, se non il primo, dei principali asset delle aziende, il loro valore si estrinseca principalmente nella capacità di correlarli e analizzarli al fine di supportare, definire, elaborare le strategie di un’azienda che naturalmente mira ad abbattere il rischio aziendale.

È su questo assunto che il marketing richiede dati sempre più certi la cui volatilità sia bassa o quasi nulla chiedendo da tempo che le aziende già in fase di raccolta seguano percorsi rigidi nella validazione.

Viene da sé, quindi, che le aziende proteggono in modo forte e costante i dati raccolti e quindi alcune delle pratiche richieste dalla privacy sono già insite nella gestione informatica interna.

Uno studio dell’Osservatorio Big Data Analytics & Business Intelligence del Politecnico di Milano dimostra che sempre più aziende tendono a vendere i dati in loro possesso sul mercato e che il principale ostacolo a questo “nuovo mercato” è proprio l’autorizzazione del trattamento dei dati per le finalità dichiarate: infatti, l’articolo 6 del General Data Protection Regulation (GDPR) delibera proprio sulla liceità del trattamento, dichiarando che quest’ultimo è lecito solo se e nella misura in cui, tra le altre, l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità.

Emerge chiaramente, quindi, che la privacy si muove in un contesto di sicurezza informatica già presente nelle realtà produttive proprio perché proteggendo il dato si protegge il business, ma anche e soprattutto perché inserire la privacy come metodologia e sistemi interni significa dare valore legale ai dati aumentando quindi anche il valore economico dello stesso.