Bufale che girano attorno al GDPR

09-05-2018   Francesco Zei

Come web agency ci capita a volte di dover informare i nostri clienti riguardo incombenze e scadenze che potrebbero impattare sui servizi web da noi forniti. E' stato ad esempio questo il caso di quando è stata introdotta la cosidetta "legge sui cookie" che per molti ha significato aggiungere obbligatoriamente al proprio sito un fastidioso banner dal significato poco chiaro. Cosa è successo dopo? Assolutamente nulla poichè tale legge riguardava (e riguarda) una fattispecie molto specifica nell'ambito delle tecniche di tracciamento dei visitatori.

Esattamente come successe per i cookie, oggi con l'introduzione del GDPR molte web agency in cerca di facili guadagni stanno spammando le aziende facendo terrorismo su vari aspetti di questo nuovo regolamento.

Confidando nel fatto che tutti conoscano la frase "prevenire è meglio che curare", queste agenzie poco oneste mandano email minacciando gravi ripercussioni legali e pecuniarie se non viene effettuata una qualche operazione tecnica sulla propria infrastruttura aziendale. E guarda caso questa modifica tecnica la possono proporre proprio loro, a patto di pagare qualche spicciolo...

Per fare un esempio di quanto esposto sopra mi è capitata sott'occhio una email inviata ad un nostro cliente in cui si sostiene che a seguito dell'introduzione del GDPR sarebbe obbligatorio implementare il protocollo HTTPS sul proprio sito aziendale se è presente un form di contatto.

Facciamo chiarezza!

Partiamo dal fatto che l'adozione di un protocollo di criptazione sul proprio sito non è di per se garanzia che eventuali dati personali siano trattati e conservati secondo norma: si tratta semplicemente di un sistema di criptazione delle informazioni tra il client ed il server.

Sia chiaro, l'HTTPS è una cosa molto importante. Molti, se non tutti i siti dovrebbero implementarlo e su questo pensiamo che sia assolutamente giusta la campagna promossa da Let's Encrypt e dalle aziende che ne fanno parte per la creazione di una internet più sicura; ma ciò non ha nulla a che fare con la privacy.

Infatti il GDPR è un regolamento che tratta proprio di privacy e poichè non è una legge vera e propria non impone alcun tipo di soluzione tecnica o legale. Dire quindi che a seguito della sua introduzione si sia resa obbligatoria quella o quell'altra soluzione è tendenzioso.

Per essere in regola con i dettami del GDPR ogni azienda deve fare molta attenzione riguardo i dati delle persone fisiche che detiene e tutte le modalità connesse all'utilizzo, la conservazione e la pubblicazione di tali informazioni (è il cosiddetto principo di "responsabilizzazione").

Pertanto un form di contatto presente sul sito internet può rappresentare un punto di raccolta di dati sensibili che devono essere trattati secondo norma, previa sottoscrizione di una informativa al riguardo. Il fatto che tali dati siano trasmessi in sicurezza con l'adozione di una navigazione sicura tramite HTTPS è sicuramente raccomandato. Ma non è il GDPR a prevederlo...

Ecco dunque qualche semplice consiglio riguardo cosa fare per il proprio sito web:

  1. Implementare sul proprio sito sempre l'HTTPS, con un certificato gratuito come Let's Encrypt o con un certificato a pagamento di domain validation (DV);
  2. Imporre che la trasmissione di dati personali (es. form di contatto) avvenga tramite HTTPS e prevedere una apposita informativa da far sottoscrivere;
  3. Rendere la navigazione tramite HTTPS come obbligatoria nel caso in cui si tratti di un sito di e-commerce, prediligendo certificati di tipo OV (Organization Validation) oppure EV (Extendend Validation);
  4. Verificare se è necessario implementare una cookie policy nel proprio sito, soprattutto se si fa uso di servizi di tracciamento come google analytics o plugin social.

Se siete interessati ad approfondire l'argomento vi invitiamo a contattarci all'indirizzo commerciale@rossoxweb.it oppure potete chattare con uno dei nostri operatori accedendo alla pagina contatti.