Il 25 maggio 2018 è entrato in vigore il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) relativo al trattamento e alla libera circolazione dei dati personali, stilato dal Garante della Privacy.
Una serie di accortezze tecniche e di contenuto che tutti i siti web devono seguire a prescindere dal fatto che si tratti di siti web vetrina o siti e-commerce.
Il GDPR: un lungo percorso
Questo della GDPR è un tassello aggiuntivo al complesso mosaico iniziato tra il 2014 e il 2015. In quegli anni divenne obbligatorio dotarsi di cookie law e privacy policy per raccogliere il consenso dell’utente al tracciamento dei suoi dati o della sua attività durante la visita di un sito web.
Ad oggi, però, non tutti i siti web rispettano il GDPR e le disposizioni del Garante della Privacy, soprattutto perché c’è molta confusione su cosa fare e perché.
Facciamo chiarezza sul GDPR
Ogni anno (e spesso anche più volte nello stesso anno) il Garante della Privacy rilascia degli aggiornamenti che interessano la privacy policy e la cookie law.
Nel caso del GDPR del 2018:
-
- Sono state introdotte delle regole più chiare su come redarre l’informativa breve ed estesa e sulle modalità di raccolta del consenso da parte dell’utente;
- Sono stati definiti i limiti al trattamento automatizzato dei dati personali;
- Si sono poste le basi per l’esercizio di nuovi diritti da parte dell’utente;
- Sono stati stabiliti dei criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea;
- Sono state fissate delle norme e delle sanzioni rigorose per i casi di violazione della normativa.
Il tuo sito web è in regola con il GDPR?
Credi che il tuo sito web non rispetti a pieno le disposizioni del Garante della Privacy?
Scoprilo facendo il nostro test.
Rispettare il GDPR? Un esempio concreto
Per rispettare pienamente il GDPR il tuo sito deve attenersi a indicazioni tecniche e di contenuto (quindi immediatamente visibili).
Per questo secondo aspetto, eccoti qualche esempio:
1. Cookie Policy e Informativa
La normativa obbliga ogni sito web, e-commerce e app che raccoglie dati a informare gli utenti attraverso una privacy policy e cookie policy.
Questa documentazione è specifica per ciascuna azienda. Non può essere un documento generico perché contiene informazioni specifiche tanto per l’azienda, quanto per i dati raccolti, descrivendo nel dettaglio il trattamento che ne fa tramite il proprio sito/app, ed elencando tutte le tecnologie di terze utilizzate. Per intenderci, il copia e incolla della privacy policy di un altro sito non è mai sufficiente.
Per comprendere il livello di profondità di questa documentazione e quanto sia specifica per ciascun sito web, considera che in questa logica rientrano ad esempio anche i pulsanti per le reaction e condivisioni sui social o le mappe di Google Maps.
Nello specifico, per le disposizioni del GDPR, la privacy e cookie policy deve contenere:
- le tipologie di dati personali dell’utente raccolti e trattati;
- le basi giuridiche del trattamento;
- le finalità e le modalità del trattamento dei dati raccolti;
- i soggetti ai quali i dati personali dell’utente possono essere comunicati;
- l’eventuale trasferimento dei dati al di fuori dell’Unione Europea;
- i diritti esercitabili dall’utente interessato;
- gli estremi identificativi del titolare.
La cookie policy descrive in particolare le diverse tipologie di cookie installati attraverso il sito web, le eventuali terze parti a cui questi cookie fanno riferimento (tra cui i link ai rispettivi documenti e moduli di opt-out) e le finalità del trattamento.
L’informativa deve essere sempre visibile, in forma breve ed estesa, e sempre reperibile con facilità da parte dell’utente.
Per questa ragione si tende a inserire la documentazione legale del sito web o dell’e-commerce in parti fisse e sempre presenti nella navigazione, come nel caso del footer, in cui, di per sé trovano spazio per loro natura le informazioni legali dell’azienda.
Nel footer, inoltre, devono essere inserite obbligatoriamente anche alcune informazioni aziendali, nel pieno rispetto dei principi di trasparenza e completezza.
Tra queste, il GDPR prevede:
- Ragione sociale;
- Indirizzo della sede;
- Codice fiscale dell’azienda;
- Partita IVA;
- Numero REA
- Capitale sociale;
- Telefono sede legale;
- PEC.
In caso di sito web multilingua, le diciture traducibili devono essere sempre inserite nella lingua visualizzata dall’utente.
Ecco come appare il footer del nostro sito:
A questo punto avrai ben capito che è impossibile dire che un sito web non raccoglie alcun dato.
Basta un semplice modulo di contatto o un sistema di misurazione delle tue performance (ad esempio, Google Analytics) per far scattare anche per il tuo sito web l’obbligo di predisporre e mostrare un’informativa adeguata.
2. Cookie Law
I cookie (in italiano, biscotti) servono a memorizzare alcune informazioni sul browser usato per la navigazione dall’utente (es. Google Chrome, Firefox, Opera) durante la sua navigazione sul sito web.
I cookie sono ormai indispensabili per consentire il corretto funzionamento di un sito. Solo accettandoli, infatti, alcune componenti del sito possono essere caricate correttamente nella pagina ed essere mostrate all’utente. Rientrano in questa logica anche un semplice widget video di Youtube o i tasti per la condivisione social.
Per questa ragione, quando il visitatore giunge per la prima volta sul sito web, è accolto dal banner cookie che appare in modalità pop-up e gli chiede di fornire (o meno) il consenso alla raccolta dei suoi dati, per il tracciamento della visita.
Per una questione di trasparenza, il cookie banner deve comparire nella stessa lingua del sito web visualizzata dall’utente.
Qualora il visitatore non accetti l’installazione dei cookie, il sito web dovrà necessariamente disattivare i cookie tecnici non essenziali al funzionamento del sito web. Questo è un aspetto che spesso viene tralasciato, pensando che il pop-up sia sufficiente. In realtà è il modo in cui le Autorità controllano se un sito web è adempiente o meno alla normativa. Infatti, è sufficiente visitare un sito, non accettare l’installazione dei cookie e verificare se questi vengono installati: un’operazione che le Autorità hanno automatizzato e reso scalabile svolgendo centinaia di verifiche al minuto.
Acconsentendo alla raccolta dei cookie, l’utente non vedrà più comparire il banner durante la navigazione o tornando sul sito in un secondo momento. Il banner farà nuovamente la sua comparsa in una navigazione in modalità incognita oppure tornando su sito web dopo aver rimosso i cookie e gli altri dati raccolti dai siti. Per farlo, basta selezionare le giuste voci nello svuotamento della cronologia del browser utilizzato.
L’utente deve poter prendere sempre visione di quali siano le specifiche della cookie law approvata in base alla navigazione, motivo per cui anche questa documentazione deve essere visibile in tutte le pagine del sito web. Ecco perché spesso viene inserita nel footer o in altre parti fisse della struttura.
3. Consenso
Tutti i moduli a disposizione dell’utente per mettersi in contatto con l’azienda tramite il sito web devono essere corredati di checkbox. Si tratta di caselle attraverso cui l’utente esprime il suo consenso libero, specifico e informato alla raccolta e al trattamento dei dati immessi, nonché una prova inequivocabile del consenso.
Parlando di “consenso libero, specifico e informato” si fa riferimento al fatto che è necessario raccogliere un consenso per ogni specifica finalità di trattamento. Ad esempio, un consenso per l’invio di newsletter e uno per trasmettere i dati dell’utente a terze parti. A ciascun consenso corrisponde una casella della checkbox, accompagnata da testi informativi che spiegano chiaramente all’utente come saranno utilizzati i dati.
Nel primo caso la dicitura potrebbe essere “Acconsento al trattamento dei miei dati personali al fine di ricevere comunicazioni periodiche e newsletter”.
Mentre nel secondo “Acconsento alla trasmissione a terzi e al trattamento dei miei dati personali secondo le finalità indicate all’interno della privacy policy”.
Per i moduli di contatto generici, l’unica spunta obbligatoria per il GDPR è quella in prossimità della casella per il trattamento dei dati personali. Quella per la ricezione di informazioni commerciali dall’azienda o per terze parti resta opzionale.
Diversamente, in un modulo per l’iscrizione alla newsletter, per effetto del GDPR, anche questa seconda spunta è obbligatoria.
Ecco come appare il nostro modulo di contatto:
Parlando di “prova inequivocabile del consenso”, invece, si fa riferimento al fatto che è necessario raccogliere una serie di informazioni sull’utente ogni qualvolta compila un modulo sul sito web o sull’app. Queste includono un codice identificativo univoco dell’utente, il contenuto della privacy policy accettata e una copia del modulo presentato all’utente.
Si potrebbe pensare che la mail ricevuta dall’utente tramite il sito web o l’app sia essa stessa la prova del consenso fornito. In realtà non è così. Quella email, infatti, non contiene tutte le informazioni appena citate come indispensabili.
Il tuo sito web è in regola con il GDPR?
Credi che il tuo sito web non rispetti a pieno le disposizioni del Garante della Privacy?
Scoprilo facendo il nostro test.
Adeguamento GDPR: l’intervento tecnico in profondità
L’adeguamento GDPR necessita però anche dell’intervento di un reparto tecnico competente, per scendere in profondità con l’analisi delle risorse attive e degli adeguamenti necessari sul sito web.
Rendere una piattaforma aderente in tutto e per tutto al Regolamento implica fare attenzione ad apportare ogni minimo accorgimento sia a livello di design e interfaccia, sia a livello di codice.
Nella fattispecie il reparto tecnico procede alle seguenti verifiche:
- Analisi dei cookie che vengono installati sul sito web. I cookie sono specifici della piattaforma e dipendono dalle funzioni attive su di essa (ad esempio Google Analytics e rapporti demografici, re-Captcha, Youtube, ecc.);
- Analisi dei plugin attivi e disattivazione di quelli superflui o che non permettono una piena aderenza alla normativa;
- Verifica dell’anonimizzazione di Google Analytics (ad esempio, _ga, _gat e _gid raccolgono i dati in maniera anonima) e della mancanza di altre applicazioni con scopo di profilazione;
- Configurazione dei servizi attivi e stesura di privacy policy e cookie policy. La lista di questi servizi è variabile in base a quelle effettivamente presenti sul sito web (ad esempio, Youtube, Mailchimp, Google Analytics, Google Font, PayPal, Facebook Ads.
Perché il lavoro del reparto tecnico possa essere esaustivo e lungimirante, può essere utile far presente quali strumenti di marketing e attività promozionali sono attivi sulla piattaforma e quali la coinvolgeranno nel futuro.
In questo modo, le impostazioni tecniche e la compilazione della documentazione legale per l’adeguamento GDPR del sito web possono essere condotte in modo ineccepibile.
Adeguamento GDPR: il giusto partner legale
Di fronte alle disposizioni del Garante della Privacy non si scherza.
In caso di trasgressione della normativa o non piena aderenza, ci sono delle sanzioni molto alte che pesano in modo proporzionale sul fatturato annuale della tua attività.
Per essere sicuri di avere un sito web che rispetti pienamente il GDPR non puoi muoverti con delle soluzioni casalinghe. Devi affidarti al supporto di tecnici e legali ed esperti del settore.
Durante la nostra esperienza pluridecennale in programmazione, abbiamo conosciuto diverse realtà che offrono questo tipo di supporto.
Tra tutte abbiamo scelto di affidarci a Iubenda, azienda composta da figure sia legali che tecniche, specializzata in questo settore. Nel tempo, siamo diventati Partner Certificatidi questo leader di settore, grazie all’alto numero di progetti seguiti insieme.
Iubenda mette a sua disposizione tutto il supporto legale necessario a redarre privacy e cookie policy sempre in linea con le esigenze dei siti web in quanto continuamente revisionate da un team internazionale di avvocati, oltre a tutto il codice sorgente per attivare e visualizzare correttamente il pop-up per l’informativa breve.
In particolare, poi, Iubenda mette a disposizione un software di moderazione dei cookie, che blocca preventivamente i cookie tecnici e di profilazione in base al consenso fornito dal visitatore e si ricorda di questa scelta per il futuro.
Affidandoci a Iubenda come partner per il nostro servizio di “adeguamento GDRP” siamo sicuri di garantire un perfetto adempimento delle normative GDPR a tutti i nostri clienti.
Il tuo sito web è in regola con il GDPR?
Credi che il tuo sito web non rispetti a pieno le disposizioni del Garante della Privacy?
Scoprilo facendo il nostro test.