E' abitudine consegnare i siti realizzati o aggiornati dopo un lungo scambio di email e di telefonate.
E' risultato di un percorso personale, ma alcuni punti comuni li possiamo individuare insieme.
Quello che è importante considerare è il tempo.
Questi criteri li devo seguire alla consegna o sin dal preventivo ? Devo contrattualizzarli o considerarli una "prassi normale" ?
Il mio consiglio è anticipare tutto all'offerta, al preventivo, in modo che la consegna sia la più semplice possibile.
Tuttavia c'è il nodo privacy, il GDPR, che vuole rendicontabilità.
Un'ultima premessa: dopo la consegna c'è la gestione ? Informatica e/o dei contenuti ?
La gestione apre un ulteriore mondo, ma non di rato è connessa alla gestione, quando il titolare non vuole occuparsi dei contenuti e lasciare ad un professionista.
La gestione non rientra nella consegna, ma nella mente del cliente non c'è netta distinzione, tanto che dopo la consegna ci si trova a discutere di contenuti da caricare, testi da modificare, una nuova pagina, e così via.
Più sapremo distinguere le fasi, meno problemi avremo.
I contenuti della lettera di consegna
Ipotizziamo una consegna dopo un contratto un pò troppo minimalista. Per l'elenco ho voluto chiedere ad un amico cosa suggeriva di fare. L'ho ascoltato e l'ho corretto: l'amico si chiama ChatGPT.
Ecco cosa dovremo documentare:
-
Informativa sulla privacy: Fornire una copia dell'informativa sulla privacy del sito web. Questo documento deve spiegare quali dati personali vengono raccolti, come vengono utilizzati, con chi vengono condivisi e quali sono i diritti degli utenti relativi ai propri dati. La base giuridica e i consensi.
-
Consenso degli utenti: Mostrare le modalità con cui gli utenti forniscono il loro consenso per la raccolta e l'uso dei loro dati personali. Questo può includere esempi di caselle di spunta per il consenso o di messaggi di avviso sui cookie. Al cliente ricordiamo di rispettare i limiti del consenso, dopo anni li avrà dimenticati.
-
Registri di trattamento: Se richiesti dalla normativa, fornire un registro di tutte le attività di trattamento dei dati personali effettuate tramite il sito web. Questo registro dovrebbe includere informazioni sulle finalità del trattamento, le categorie di dati personali trattati, i destinatari dei dati e i periodi di conservazione. Sarà nella forma di modello da datare e aggiornare, e usare anche per mansionare per iscritto i compiti degli addetti.
-
Sicurezza dei dati: Descrivere le misure di sicurezza implementate per proteggere i dati personali raccolti tramite il sito web. Questo può includere protocolli di sicurezza, crittografia, procedure di accesso e politiche di gestione dei dati. Da sviluppatori sappiamo cosa controllare. Gli utenti no. Dobbiamo dargli almeno i rudimenti per controllare periodicamente in autonomia, salvo avvalersi di professionisti e plugin specifici.
-
Gestione dei diritti degli utenti: Mostrare come vengono gestiti i diritti degli utenti in merito ai loro dati personali. Questo può includere la procedura per richiedere l'accesso, la modifica o la cancellazione dei dati personali, nonché la gestione delle richieste di revoca del consenso. Non è legato al sito, ma evita contestazioni successive. Il titolare del sito, il vostro cliente, dovrà considerare molto seriamente ogni richiesta, e rispondere in modo completo. Lo mettiamo in grado di farlo ?
-
Trasferimenti internazionali: Se i dati personali vengono trasferiti al di fuori dell'area economica europea (nel caso dell'UE), fornire informazioni sui meccanismi di trasferimento utilizzati, come ad esempio le clausole contrattuali standard o gli accordi di trasferimento basati su adeguate salvaguardie. Questo tema riguarda anche un successivo embed di parti terze non previsto. La compliance può saltare perchè il cliente usa servizi che non dovrebbe. Bisogna informarlo.
-
Monitoraggio e notifica delle violazioni: Descrivere il processo di monitoraggio delle violazioni dei dati e le procedure di notifica previste in caso di violazione dei dati personali. Questo non è un compito vostro, ma potete / dovete mettere il titolare nelle condizioni di avere un tabulato delle attività sospetto. Plugin tipo activity log sono l'alleato del vostro cliente, spiegateglielo.
-
Mansioni e Backup: Spiegare agli utenti cosa devono fare e come usare il sito è compito del titolare, ma voi dovete allertare il titolare di fornire i livelli di accesso corretti per i compiti assegnati. Per fare i backup potrebbe non essere necessario essere amministratori, oppure si può delegare all'hosting il compito. L'importante è spiegarlo al cliente tenendone traccia.
Alcuni prevedono direttamente dei servizi accessori da comunicare alla consegna, quali formazione e attività di monitoraggio.
La consegna ricorda l'audit di privacy compliance, che può variare in base alle specifiche normative del paese o della regione in cui opera il cliente.
È importante consultare un esperto o un consulente legale specializzato in privacy per assicurarti di soddisfare tutti i requisiti normativi applicabili.
Se vuoi un elenco degli adempimenti vai su wpkit.it per i modelli pronti.
In alternativa puoi consultare I 10 documenti obbligatori su Privacykit.it