GDPR e sito web

L’entrata in vigore del Regolamento UE 679/2016 ha effetti rilevanti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altri.

Occorre valutare la rispondenza, del sito web in esame, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – comunemente detto cookie law e relativi aggiornamenti e modifiche.

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente colui che ha realizzato il sito web).

Effettuiamo, da ormai molto tempo, valutazioni del livello di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale, analisi del rischio e/o informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà anche essere prodotto – agli organismi di controllo – come dimostrazione di accountability del Titolare del Trattamento (l’azienda proprietaria de sito web).

Generalmente questa valutazione viene effettuata da remoto, senza peraltro necessità di avere accesso amministrativo al sistema informatico in esame (quindi senza dover effettuare log-in al server web).

Il sito web costituisce uno degli asset aziendali più importanti, in quanto è spesso molto utilizzato, costituisce da sempre la “vetrina” della azienda verso i propri clienti o utenti, ed è esposto su Internet 24 ore al giorno, 365 giorni l’anno.

Dalle nostre statistiche tecniche, si evidenzia come oltre il 25% dei siti analizzati abbiano componenti software non aggionate o deprecate (per deprecato si intende non più supportato o affetto da bug e vulnerabilità, quindi da dismetterne l’uso immediatamente); nel 15% dei casi abbiamo riscontrato misconfigurazioni (errori di configurazione o configurazioni insicure); inoltre molti siti non sono ancora progettati e impostati per rispondere ai requisiti del GDPR – cd. privacy by design – privacy by default.

Anche il tema delle informative (es. informativa privacy del sito e ‘informativa cookies ed altri componenti generanti identificativi online) è spesso inadeguato alla normativa di protezione dei dati personali.

Il nostro team multidisciplinare dispone delle competenze per rendere il vostro sito compliant alla normativa privacy e maggiormente resiliente agli eventi avversi; si ricorda che un attacco riuscito al sito web aziendale determina – molto probabilmente – un data-breach.

SELEZIONE ARTICOLI INERENTI SITO WEB E SICUREZZA