Il Comitato Europeo per la protezione dei dati personali (EDPB) ha messo a punto un nuovo strumento per consentire ai titolari e responsabili del trattamento e ai loro consulenti (ma anche alle Autorità) di verificare lo stato del proprio sito web rispetto alla disciplina del Regolamento n. 679/2016 e controllare, dunque, se tale sito è a norma, quindi conforme ai principi e alle regole del GDPR.
Si tratta di un software gratuito e opensource con licenza EUPL 1.2, realizzato con il supporto dei tecnici del Comitato che consente di predisporre e completare gli audit e valutare i relativi report direttamente attraverso lo stesso strumento, con una semplice visita al sito web interessato.
E’ possibile scaricare il software dal seguente link: https://code.europa.eu/edpb/website-auditing-tool/-/releases.
Sul mercato esistono già diversi strumenti simili, ma spesso, come precisa il Board, nel suo comunicato, richiedono competenze tecniche.
Il programma realizzato dallo EDPB, invece, si preannuncia di facile impiego e promette di agevolare le operazioni di verifica della conformità al GDPR; per quanto riguarda i Garanti, pare semplificherà agli ispettori le operazioni di indagine sui siti.
Lo strumento di audit del sito web è compatibile anche con altri strumenti, come lo schedario delle prove del sito web dello European Data Protection Supervisor e consente agli auditors di importare e valutare i risultati degli audit effettuati anche attraverso tali strumenti.
Come funziona il nuovo tool dello EDPB per il controllo dei siti web?
Il software è disponibile per essere installato su sistemi Windows, Linux e Mac.
Una volta effettuato il download e l’installazione, lo strumento di controllo del sito verifica, utilizzando il browser Chrome come browser predefinito, se il sito web raccoglie o memorizza informazioni in un browser in modo conforme a quanto previsto dalla normativa (ad esempio, informando e raccogliendo il consenso dell'utente quando ciò è necessario).
Le prove di testing vengono memorizzate nello strumento attraverso un'analisi che classifica diversi scenari, i quali rappresentano un'interazione (ad esempio consenso, rifiuto, ecc.) con un determinato sito web.
La valutazione è facilitata da strumenti automatizzati, mentre la decisione sulla conformità/non conformità spetta al soggetto che lo sta utilizzando, titolare, responsabile, consulente o autorità di controllo.
I report possono essere personalizzati in base a specifici scenari (intendendo per scenario l’oggetto della verifica); è possibile, ad esempio, inserire il nome del sito e l’URL, settare i tag per i diversi scenari, associando un nome all’oggetto della verifica che si intende valutare sul sito (es. prima del consenso, dopo il consenso, gestione opzioni, ecc.) ai fini di una più facile, successiva identificazione e valutazione, verificare la presenza dell’informativa e della privacy policy, ecc.
E’ possibile analizzare i cookie, i consensi, il protocollo di trasmissione dei dati, eseguire l’analisi del traffico dati, effettuare controlli sulla la pagina visualizzata per verificare se contiene un modulo in cui i dati vengono trasmessi tramite una comunicazione non protetta (HTTP). Per ogni scenario lo strumento effettua un controllo specifico, dando come risultato “compliant”, se conforme, “not compliance”, se non conforme, oppure "to be defined", da definire, secondo requisiti legali.
Al termine dell’analisi, il software rilascia un report che può essere estratto in diversi formati (JSON; XLXS; DOCX; PDF). Anche i report possono essere personalizzati, aggiungendo informazioni.
Attenzione perché questo strumento sarà anche utilizzato dalle Autorità di controllo che in questo modo avranno un’arma in più per effettuare ispezioni e controlli online e quindi velocizzare le attività di indagine sui siti web per verificare la loro conformità al Regolamento n. 679/2016, è pertanto consigliabile intervenire per tempo e controllare lo stato del proprio sito web, anche ricorrendo agli esperti in materia o conferendo incarico ai propri incaricati del trattamento, opportunamente autorizzati ad effettuare le verifiche di testing sul sito.