Oggi tutte le scuole sono dotate di un sito internet con cui rendono partecipi i visitatori esterni – e in particolare le famiglie e gli studenti – delle attività svolte e dei progetti realizzati.
Il portale istituzionale viene poi utilizzato anche per adempiere agli obblighi normativi di pubblicità e trasparenza, in modo da notificare al pubblico l’operato della scuola.
Per queste ragioni, ciascun istituto deve essere consapevole del fatto che il proprio sito va allineato al GDPR, normativa che disciplina la protezione dei dati personali da ormai quasi quattro anni.
Le pubbliche amministrazioni devono adeguarsi al Regolamento Europeo, ponendo al centro la protezione dei dati, al fine di evitare il rischio di incorrere in sanzioni piuttosto salate.
È importante perciò non farsi cogliere impreparati, sia sotto l’aspetto funzionale ed estetico, ma ancor di più sotto quello normativo.
Cosa fare dunque per creare un sito web “a prova di privacy”? Ecco una breve guida relativa ai principali step da compiere.
Applicare il protocollo “https”
La prima regola per rendere sicuro un portale web prevede che lo stesso sia in grado di trasmettere le informazioni mediante protocollo “https”, evitando quindi l’ormai obsoleto “http”.
A fare la differenza in questo caso è la “S”, che significa “secure”.
A livello di percezione, un sito che mostra l’indicazione “non sicuro” nella barra degli indirizzi è quanto di peggio si possa rintracciare navigando in rete.
Non si tratta solamente di una banale criticità che coinvolge l’immagine del portale, ma anche e soprattutto della sicurezza nella trasmissione delle informazioni e dei dati personali.
Applicare il protocollo “https” significa che i contenuti presenti all’interno del sito sono criptati, e quindi protetti dagli attacchi hacker.
Acquistare un certificato SSL – per poi mantenerne la validità effettuando i dovuti aggiornamenti – fornisce un’immagine di serietà, tutelando i dati personali degli utenti, ed evitando di conseguenza che il Garante della Privacy intervenga con sanzioni per violazione della normativa.
Informativa cookie e banner
Ogni sito deve essere sottoposto a un’analisi tecnica da parte del webmaster, al fine di definire quali tipologie di cookie siano effettivamente presenti.
Da tale report dipenderanno le decisioni dell’amministratore dello spazio web, che dovrà adeguare la “cookie policy” alla normativa, applicando i banner necessari.
Il tutto secondo le indicazioni contenute nelle “Linee guida in materia di Cookie e altri strumenti di tracciamento” del Garante per la Protezione dei Dati Personali (provvedimento n. 231 del 10 giugno 2021), obbligatorie dal 9 gennaio 2022.
In particolare, nelle linee guida viene evidenziato che per i siti web:
Se si utilizzano solo cookie tecnici, la relativa informativa può essere collocata nella homepage del sito o nell’informativa generale.
Se si trattano anche altri cookie e altri identificatori “non tecnici”, si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:
- un comando (ad esempio, una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione, mantenendo così le impostazioni di default, che dunque, per impostazione predefinita, non ne consentano l’impiego;
- l’indicazione che il sito utilizza cookie tecnici, e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento, indicando le relative finalità (informativa breve);
- il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento;
- un comando per accettare tutti i cookie o anche altre tecniche di tracciamento;
- il link a un’altra area (per esempio identificata tramite un pulsante “impostazioni” o “gestione delle preferenze”) dove scegliere in modo analitico le funzionalità, le terze parti, e i cookie che si vogliono installare, e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza, o revocarlo, anche in unica soluzione, se già espresso. Al riguardo, è buona prassi l’impiego di un segno grafico, un’icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente, consentendone l’eventuale modifica o aggiornamento. L’area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio.
La “cookie policy”, infine, non può e non deve essere copiata da altri siti, seppur con attività simili, poiché non è detto che i sistemi di tracciamento siano gli stessi.
Creare una “privacy policy” corretta e personalizzata
Anche l’informativa privacy del sito non va mai copiata, e deve necessariamente indicare in maniera specifica quali sono i dati trattati.
Non solo dunque quelli legati alla navigazione, ma anche quelli forniti dagli utenti in maniera volontaria, qualora siano presenti moduli di contatto o newsletter.
La policy deve poi rispondere in maniera efficace a tutti i requisiti previsti dagli artt. 12 e 13 del GDPR.
Un buona pratica è sicuramente quella di rendere disponibile l’informativa del sito tramite un link posto nel footer della pagina.
È infatti preferibile che l’informativa sia consultabile da ogni sezione del sito, e non solo dall’homepage.
Inoltre, per un più efficiente adempimento dell’obbligo di intelligibilità dell’informativa, è opportuno fare precedere o seguire i diversi punti di raccolta di dati personali/moduli da un’informativa contenente le informazioni direttamente riferibili a quella specifica raccolta.
Pertanto, con particolare riferimento al modulo utilizzato per ricevere la MAD, la scuola è tenuta a predisporre l’apposita informativa correlata alla finalità specifica.
Gestire correttamente i consensi
Il consenso rappresenta una delle basi del trattamento, ma va richiesto solo quando è realmente necessario.
Viene da sé che è fondamentale valutare in concreto quali sono le finalità dei trattamenti, e quali di conseguenza le basi giuridiche adeguate.
Al contempo anche i consensi necessitano di essere gestiti correttamente, sia che si parli di preferenze cookie che ad esempio di invio di newsletter.
Non devono essere clic fini a sé stessi destinati a disperdersi nell’etere, ma vanno conservati adeguatamente nel “back-end” del sito e monitorati in modo costante.
Resta comunque condizione necessaria che prestare un consenso e ritirarlo rappresenti per l’utente un’operazione quanto più semplice e immediata possibile.
Proprio per questo il footer del sito dovrebbe prevedere in ogni pagina statica la presenza di un link che rimandi alla gestione e all’eventuale ritiro dei consensi prestati.
Scegliere i fornitori dei servizi in maniera accurata e consapevole
Quando si parla di sicurezza riferita a un sito web, come si usa dire “chi più spende, meno spende”.
Non è infatti una regola che il servizio più economico sia quello più conveniente, e non solo per fattori quali la competenza e la professionalità.
I fornitori del “web hosting” devono infatti essere “compliant” al GDPR, informando preventivamente il titolare del sito sulla locazione del server e su altri aspetti.
Vanno inoltre nominati “responsabili esterni del trattamento”, in quanto i dati che transitano sul sito vengono visualizzati anche da terzi, ed è perciò fondamentale definire i ruoli per essere certi di ottemperare al principio di accountability che determina le responsabilità del titolare rispetto alle informazioni raccolte.