Molte imprese ritengono che il
GDPR sia una norma destinata principalmente
alle grandi realtà che gestiscono con regolarità molti dati legati ai loro utenti. In realtà la norma è volutamente "di manica larga" nel definire cosa sia un dato personale, tanto che l'Internet Engineering Task Force (IETF) ha pensato bene di pubblicare un documento in cui ricorda che
anche un indirizzo IP è qualificabile come dato personale e quindi
non va più gestito come accaduto sinora.
Il
messaggio dell'IETF è, in pratica, rivolto a
tutti coloro che gestiscono un sito o un servizio a cui collegarsi via Internet. Si concentra sulla gestione dei file di log ma è anche una buona opportunità per ripensare in generale la gestione della privacy da parte del proprio sito web.
Secondo l'IETF le nuove norme collegate alla privacy - il GDPR, ma non solo - hanno trasformato in "poor practice" quelle che in precedenza erano best practice nella gestione delle informazioni. Oggi qualsiasi tipo di transazione online, anche semplicemente collegarsi a una pagina web,
dà origine a una qualche gestione di dati personali. Per proteggere meglio la privacy dei navigatori, in particolare, chi gestisce server connessi a Internet dovrebbe seguire nuove procedure.
Nello specifico chi cura il sito o servizio dovrebbe conservare l'indirizzo IP di chi si collega al suo server
solo per il lasso di tempo necessario a fornire il servizio richiesto dall'utente. Inoltre non dovrebbe conservare nei file di log tutto l'indirizzo IP ma solo i primi 16 bit (24 per gli indirizzi IPv6), ponendo gli altri a zero. In generale, non dovrebbe conservare gli indirizzi IP legati al traffico in entrata per più di tre giorni (per coprire il weekend, in cui un'azienda è chiusa e quindi non interviene sul sito). Queste raccomandazioni servono a rispettare il
principio di "data minimization" previsto dal GDPR.
L'IETF raccomanda inoltre di non conservare nei file di log elementi di identificazione diversi dall'indirizzo IP e di implementare
meccanismi adeguati di controllo per quanto riguarda l'accesso ai file di log stessi. Deve insomma tracciare chi accede ai log, quando e per quale ragione. Le deviazioni da queste raccomandazioni, spiega l'iETF, dovrebbero essere "
attentamente documentate e comunicate agli utenti".