L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti rilevanti anche su tutti i siti web, in quanto essi trattano dati personali; debbono quindi rispettare la normativa di protezione, ed essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, oltre altri.
Occorre valutare la rispondenza, del sito web in esame, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law e successivi aggiornamenti e modifiche.
Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente colui che ha realizzato il sito web).
Il nostro team, da ormai molto tempo, effettua valutazioni di compliance dei vari siti web a tutti gli aspetti inerenti la dataprotection (quindi aspetti legali, analisi del rischio e assessment degli aspetti della sicurezza informatica), tramite il nostro servizio professionale WebSite Assessment; questa valutazione potrà essere prodotta a terzi, come dimostrazione di accountability del Titolare del Trattamento.
Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso amministrativo al sistema informatico in esame (il server web).
Il sito web costituisce uno degli asset aziendali più importanti, in quanto è spesso molto utilizzato, costituisce la “vetrina” della azienda verso i propri clienti o utenti, ed è esposto su Internet 24 ore al giorno, 365 giorni, in balia di tutti gli agenti malevoli.
Dalle nostre statistiche tecniche, si evidenzia come oltre il 25% dei siti analizzati abbiano componenti software non aggionate o deprecate; nel 15% dei casi abbiamo riscontrato misconfigurazioni (errori o configurazioni insicure); inoltre molti siti non sono ancora progettati e configurati per rispondere ai requisiti del GDPR – cd. privacy by design – privacy by default.
Il nostro team multidisciplinare dispone delle competenze per rendere il vostro sito compliant alla normativa privacy e maggiormente resiliente agli eventi avversi; si ricorda che un attacco riuscito al sito web aziendale determina – molto probabilmente – un data-breach, con conseguenze imprevedibili che spesso vanno oltre la sanzione ricevibile.