Mancano dieci giorni alla fine del conto alla rovescia per l'inizio dell'attuazione del Regolamento Generale sulla Protezione dei Dati, o GDPR.

Dietro questo -ennesimo- acronimo, che da qualche mese sta disturbando il sonno di molti operatori del settore, si nasconde uno scopo molto nobile: quello di armonizzare i regolamenti in materia di trattamento dei dati personali di tutti i paesi dell'Unione Europea.
 
In un sistema in cui c'è un legame di interdipendenza così stretto tra i suoi attori, un passaggio del genere è assolutamente necessario.
 
È questo il punto di partenza della nostra analisi, che vuole mettere un po' di ordine tra le -troppe- voci che stanno circolando in questi giorni, e che spesso si rivelano infondate, esagerate e finalizzate solo a spaventare la platea.
 
 
GDPR. VALE SOLO PER IL WEB?
NO.
Il web è solo uno spicchio del raggio di applicazione della nuova normativa
È uno spicchio importante, perché permette di raccogliere informazioni con una certa facilità, ma la questione va inquadrata in un contesto più ampio, quello di come i dati personali vengono gestiti all'interno di una organizzazione.
Inoltre il GDPR definisce molti altri aspetti, che vanno da ruoli di responsabilità da definire all'interno delle aziende, a procedure per la segnalazione di abusi.
 
QUALI SONO I PRINCIPI CARDINE, PER IL WEB?
Purtroppo, a questa domanda è impossibile rispondere con esattezza: il regolamento è molto teorico, ed è molto carente sui principi di attuazione della normativa. La confusione che regna sovrana in questi giorni che ci separano dal 25 maggio nasce da qui.

Mancano delle direttive ufficiali, che per poter essere attuabili possono essere solo figlie di un confronto costruttivo tra "legislatori" e una commissione di "operatori tecnici".
 
Per il momento ci dobbiamo affidare ai principi di privacy by design (ossia, di pensare a un'architettura dell'informazione votata alla protezione dei dati personali già dalla fase di ideazione di un qualsiasi progetto) e di privacy by default (che tradotto in termini pratici, significa "minimo sindacale", sia in termini di quantità di dati richiesti, sia in termini di tempo di archiviazione degli stessi). 

È per questi principi guida che il GDPR non vale "solo per il sito web".
Il sito web si limita all'acquisizione dei dati, ma poi questi vengono gestiti? Vengono copiati? Che uso se ne fa, dopo averli acquisiti? Pensate al lavoro dell'area vendite di un'azienda, o dell'area marketing...
 
 
UNA QUESTIONE DI FIDUCIA
Sarà pur vero che spesso gli utenti del web mettono spunte su check box senza leggere, ma la trasparenza è fondamentale per creare fiducia: una recente indagine condotta dall'Information Commissioner’s Office nel Regno Unito ha evidenziato che solo un adulto su quattro si fida del trattamento dei propri dati da parte delle aziende. 

Il "ciclone" Cambridge Analytica avrà pure urlato al mondo che il re è nudo, ma la verità è che i dati forniti da un navigatore sono un valore, e il navigatore stesso deve imparare a capirlo: i dati per farci profilare, a Facebook, Google e affini, li diamo noi!
 
 
OK, MA IN TERMINI PRATICI... QUALI SONO I PROVVEDIMENTI PIÙ TECNICI DA ATTUARE SUL SITO?
Come detto in uno dei punti precedenti, non esistono delle linee attuative al GDPR.
Ma vi sono una serie di pratiche tecniche volte a tutelare i dati personali dei navigatori di un sito web, siano essi semplici visitatori o isciritti a un'area riservata.

Per fare qualche esempio:
- occorre che, per qualsiasi operazione si intenda eseguire con i dati di un utente, questi ne abbia esplicitamente manifestato il consenso. Per cui, addio ai checkbox della privacy precompilati, e salvare sempre nel database la data di accettazione della privacy.
- occorre che i dati sensibili vengano crittografati, e che le procedure di login e recupero password delle aree riservate vengano aggiornate
- nelle aree riservate, occorre predisporre delle funzioni che permettano all'utente di accedere ai dati forniti in fase di registrazione, e che questi possano essere modificati in totale autonomia, mantenendo traccia di tutte le operazioni eseguite sui profili personali (compresa la data di esecuzione).
- sempre nei pannelli di controllo, occorre predisporre delle funzioni che permettano ai navigatori di potersi cancellare in qualsiasi momento.
 
Naturalmente, ci sono tanti altri aspetti meritevoli di un'analisi, che variano da caso a caso e che tengano considerazione di un progetto web nella sua interezza, considerando la sua storia e le finalità per le quali è stato sviluppato. 

Se avete bisogno di suggerimenti per il vostro progetto, potete contattarci: tratteremo i vostri dati coi guanti bianchi...promesso!
 
 


 

Andrea Torre
web developer
Toccategli tutto, ma non la musica che ascolta mentre è al lavoro!