GDPR: come adeguare un sito personale
Chi gestisce un blog o un sito personale da qualche anno a questa parte sa che deve fare i conti con le nuove disposizioni in materia di protezione dei dati personali.
Il legislatore europeo, infatti, ha voluto uniformare la normativa in materia su tutto il territorio raccogliendola nel Regolamento per la protezione dei dati personali o General Data Protection Regulation (GDPR 2016/679), approvato nel 2016 ed entrato in vigore a maggio del 2018. Da questo momento in poi, il GDPR è diventato applicabile all’interno di ogni Stato membro regolando la raccolta e la gestione dei dati personali effettuata nell’ambito di qualsiasi attività. Il Regolamento stabilisce come raccogliere e utilizzare i dati delle persone interessate con l’obiettivo di proteggere i loro diritti e la loro privacy. Un superamento del concetto di diritto alla tutela dei dati personali già stabilito dalla direttiva 95/46 per introdurre una visione proprietaria del dato dove l’autodeterminazione informativa diventa fulcro dell’intero Regolamento. Ecco che cosa dice il GDPR e come adeguare un sito personale alla normativa UE.
Dallo sviluppo di integrazioni al supporto strategico, dalla creazione di concept creativi all’ottimizzazione dei risultati.
Significato e basi del GDPR per principianti
Come detto, al centro del GDPR c’è una visione del dato come proprietà del diretto interessato. Vediamo allora che cosa stabilisce il Regolamento e quali i suoi principi fondamentali:
- Legalità, correttezza e trasparenza – il rispetto del GDPR è un obbligo, non una facoltà e i dati personali devono essere raccolti e trattati con la massima correttezza e trasparenza.
- Limitazione dello scopo – i dati devono essere raccolti per motivi precisi che dovranno essere specificati nell’Informativa e non per altri scopi.
- Minimizzazione dei dati – i dati devono essere raccolti “in relazione alle finalità per le quali gli stessi saranno trattati”.
- Accuratezza – i dati devono essere raccolti ma anche aggiornati e, nel caso, rimossi, con una gestione accurata e puntuale.
- Limitazione della conservazione – la loro conservazione deve essere limitata: quelli di cui non si ha più bisogno devono essere cancellati.
- Integrità e riservatezza – è fondamentale dimostrare di aver preso tutte le misure di sicurezza tecnico-organizzative necessarie ad assicurare la riservatezza e l’integrità dei dati raccolti.
- Responsabilità – bisogna essere in grado di dimostrare l’adeguamento al GDPR del sito personale e di rispettare le norme da questo stabilite.
Cosa devi fare per assicurare questi 7 principi? Dotarti innanzitutto di una Privacy policy (vedi paragrafo dedicato all’argomento), adeguare la cookie policy, regolamentare l’invio della newsletter e svolgere correttamente azioni di marketing. Di seguito tutte le informazioni basilari per adeguare al GDPR il sito web personale.
Cookie policy per la GDPR del tuo blog
Se vuoi adeguare il tuo sito web al GDPR dovrai imparare presto a capire che cosa sono i cookies e come organizzare la cookie policy.
I cookies sono come piccoli file di testo salvati all’interno del browser durante la navigazione che si dividono tra quelli di prima parte, salvati sul dominio nel quale si sta navigando, e cookie di terza parte che sono quelli salvati su un dominio diverso da quello visitato.
Sulla base della normativa applicabile, non è richiesto il consenso dell’utente per i cookie tecnici, quelli indispensabili per il funzionamento del sito stesso e necessari a svolgere attività richieste dall’utente.
Hanno invece bisogno di un consenso i cookie di profilazione, quelli che possono individuare abitudini dell’utente e, sulla base delle preferenze manifestate durante la navigazione in rete, creare profili specifici utili per attività di marketing online.
L’attenzione del legislatore si è concentrata in modo particolare su questo tipo di cookie, tanto che i maggiori browser come Firefox, Safari ed Edge li stanno abbandonando, mentre Google Chrome ha avviato un processo graduale di dismissione che terminerà entro il 2023.
In base alla normativa e alle recenti linee guida sul consenso dell’EDPB (European Data Protection Board), i cookies possono essere utilizzati solo dietro consenso informato dell’interessato. In assenza di questo, potranno essere attivati solo i cookies tecnici.
A questo scopo sarà necessario:
- Fornire agli interessati un’idonea informativa sul loro utilizzo;
- Assicurarsi che l’accesso ai servizi e alle funzionalità del sito NON sia subordinato al consenso dell’utente al cosiddetto cookie wall, ossia la schermata che appare e che comunica l’obbligo di accettare tutti i cookies prima di poter accedere al servizio web desiderato.
Le linee guida dell’EDPB hanno anche chiarito che azioni come lo scorrimento di una pagina non possono più essere interpretate come manifestazione positiva di consenso. Al contrario, serve sempre un’azione chiara e inequivocabile come, per esempio, il click sul bottone “accetta”.
Newsletter, CMS e GDPR per il sito personale
Fai attenzione anche al servizio di invio della newsletter. Per adeguare al GDPR il tuo blog devi assicurarti che l’iscrizione al servizio sia chiara e non automatica e che il consenso possa essere espresso chiaramente.
Prevedi un bottone opt-in specifico e chiaramente indicato in pagina per l’iscrizione alla newsletter:
Allo stesso modo, anche la revoca dell’invio di newsletter per l’utente dovrà essere semplice e diretto: assicurati perciò che il link di cancellazione sia ben visibile.
Perché il servizio di newsletter del tuo sito personale sia conforme al GDPR dovrai indicare chiaramente:
- Il consenso preventivo
- la possibilità di revoca del consenso
- il servizio svolto
- quali i dati raccolti
- le finalità del trattamento
- il tipo di comunicazioni inviate
- le modalità di consegna.
Per svolgere tutte queste attività puoi affidarti a un CMS che abbia plugin conformi al GDPR.
WordPress, per esempio, ha inserito nelle sue impostazioni il bottone “privacy” con tutte le informazioni utili per inserire la privacy policy. La nuova versione del CMS permette di cancellare i dati degli utenti che ne facciano richiesta, di bloccare i cookies profilanti e di gestire il consenso (vedi paragrafo di seguito).
Ricorda, però, che l’utilizzo di un CMS anche molto aggiornato non dà sempre l’assoluta certezza di avere una privacy policy corretta del proprio sito personale e quindi di evitare sanzioni. Il consiglio è di chiedere sempre l’aiuto di esperti, perché solo affidandoti a figure competenti potrai avere la certezza di gestire correttamente il tuo sito web secondo le norme previste dal GDPR.
Marketing e GDPR per il tuo sito
Per adeguare il tuo sito personale al GDPR devi tenere presente:
- se raccogli o comunque interagisci con i dati personali dei tuoi lettori come nome, indirizzo mail e altro;
- se hai form di contatto e di iscrizione a newsletter;
- se utilizzi widget di terze parti come Google Analytics o AdSense;
Per essere obbligato all’adeguamento ricorda che basta la risposta affermativa anche a uno solo dei precedenti punti.
Per far sì che il blog rispetti la normativa in materia di privacy dovrai quindi creare una Privacy policy e una cookie policy, aggiornare il banner dei cookie e il form di contatto in linea con la GDPR. Di seguito, tutte le informazioni utili e le azioni da svolgere per adeguare il tuo blog al GDPR.
Specifica sempre se con il tuo blog fai attività di marketing e distinguila dall’endorsment.
Se fai sponsorizzazioni, assicurati che siano sempre corrispondenti a verità e non siano fuorvianti. Specifica sempre in che modo sei coinvolto: se sei un dipendente, un azionista o un investitore del brand che stai promuovendo o se usufruisci di un incentivo.
GDPR su un blog WordPress
Il GDPR riguarda tutti i blog che abbiano visitatori dall’UE, quindi anche quelli stabiliti in uno stato extracomunitario ma con utenti europei. Per essere soggetti alla normativa GDPR basta svolgere anche una sola di queste attività:
- funzione commenti: per questa attività gli utenti lasciano nome, email, URL, indirizzo IP e cookie;
- registrazione: se è prevista la registrazione al sito, i dati degli utenti verranno registrati;
- cookie: se usi Google Analytics utilizzerai cookie per salvare le preferenze degli utenti;
- plugin: archiviano informazioni non solo del tuo sito ma anche degli utenti;
- moduli di contatto: vengono raccolti nome, email, numero di telefono e messaggi degli utenti.
Uno dei CMS più usati dai webmaster è WordPress, che si è adeguato alla normativa GDPR prevedendo alcuni passaggi fondamentali.
Perché il tuo blog sia conforme al GDPR devi:
- assicurarti che il sito utilizzi HTTPS (Hyper Text Transfer Protocol Secure) e sia quindi protetto da una forte cifratura SSL (Secure Socket Layer) che lo rende difficilmente hackerabile. WordPress prevede l’installazione di un certificato SSL con i piani di web hosting.
- Dotati e aggiorna la privacy policy e i termini di servizio. La versione WordPress rilasciata dopo l’entrata in vigore del GDPR prevede la creazione di una privacy policy e il suo aggiornamento andando sulla pagina “privacy”:
- gestione dei dati trasparente: la chiarezza è il principio cardine, fai in modo che gli utenti del tuo blog sappiano sempre se e come i loro dati vengono raccolti e utilizzati. Inserisci bottoni opt-in per confermare il consenso esplicito e per cancellare il consenso in qualsiasi momento. WordPress 4.9.6 ha una funzione integrata di esportazione e cancellazione dati nella sezione “strumenti”.
La nuova versione del CMS contiene plugin utili per conformarsi al GDPR e automatizzare molte di queste attività.
Ricorda sempre, però, che affidarsi completamente al CMS non assicura il completo adeguamento del sito personale al GDPR. Il consiglio è di chiedere anche il supporto di figure competenti, perché solo così avrai la certezza che il tuo blog sia conforme alla normativa.
GDPR e diritto all’oblio
Il GDPR sancisce alcuni diritti dell’interessato come il diritto all’oblio e alla cancellazione. L’articolo 17 GDPR stabilisce infatti che l’interessato ha il diritto di richiedere e ottenere la cancellazione dei suoi dati personali o la loro trasformazione in forma anonima con tecniche che garantiscano l’impossibilità di re-identificazione. Assicurati perciò che il tuo sito preveda questa possibilità se non vuoi incorrere in sanzioni anche molto pesanti.
Come funziona la gestione dei dati per blog
Se il tuo blog raccoglie e utilizza dati degli utenti devi garantire il rispetto dei principi cardine del GDPR. Devi informare in modo trasparente i diretti interessati sul trattamento dei dati e adottare tutte le misure necessarie per ottenere il consenso e per facilitare la revoca in qualsiasi momento.
Devi dotarti di una privacy policy che informi gli utenti su:
- quali dati vengono raccolti
- diritti dell’interessato
- utilizzo di widget e accesso a terzi
- modalità di aggiornamento
- avvisi su cookie
- procedure per la modifica e la cancellazione dei dati
- informare se esistono sponsorizzazioni e quale la tua posizione in merito.
Su quest’ultimo punto, come detto, devi chiarire il tuo grado di coinvolgimento facendo distinzioni tra endorsement e marketing.
Come funziona il consenso della GDPR
L’articolo 4 GDPR stabilisce che il consenso dell’interessato è condizione indispensabile per il trattamento dei dati, indicandola come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”.
Come già detto, però, il GDPR rispetto alla direttiva Ue 95/46, il GDPR va oltre il concetto di protezione dei dati, introducendo quello della visione proprietaria introducendo requisiti più severi come:
- consenso esplicito e preventivo
- trattamento dei dati entro un arco temporale ben definito
- trasparenza su modalità, finalità e conservazione della raccolta dei dati
- effettiva necessità della raccolta dati per le azioni che si svolgeranno
- possibilità di modifica e cancellazione in qualsiasi momento.
L’utente, inoltre, dovrà sempre essere informato sulla possibilità di esercitare i suoi diritti ex artt. 15-22 GDPR.
Azioni pratiche
Arrivato a questo punto avrai ricevuto una quantità non indifferente di informazioni e ti sarai chiesto quali siano in pratica le azioni da implementare per far sì che il tuo sito personale sia conforme al GDPR.
Di seguito i passaggi fondamentali.
Come avere la privacy policy in linea con la GDPR
Il primo passaggio è quello di avere subito una privacy policy conforme al GDPR.
Per redigere il documento che illustri in modo chiaro come stai gestendo i dati degli utenti, occorre ricorrere all’aiuto di esperti. Si tratta infatti di un documento obbligatorio per adeguare al GDPR il tuo blog che deve:
- contenere indicazioni sul titolare del trattamento dati e, se nominato, il responsabile della protezione dei dati;
- specificare quali dati personali saranno oggetto di trattamento;
- quali le finalità del trattamento;
- la base giuridica del trattamento;
- chi sono i destinatari;
- eventuali trasferimenti dei dati;
- le modalità e il periodo di conservazione dei dati;
- tutti i diritti dell’interessato.
Non “copiare” la privacy policy da altri siti, ma rendila il più possibile attinente al tuo sito facendoti aiutare da figure professionali competenti in materia: in questo modo non solo sarai sicuro di evitare sanzioni, ma darai ai tuoi lettori prova di serietà e professionalità.
Creare la cookie policy in linea con il GDPR
Subito dopo la privacy policy accertati che il tuo blog abbia una cookie policy in linea con il GDPR. Per fare questo devi:
- fornire agli utenti un’informativa chiara sull’utilizzo dei cookies;
- chiedere un consenso specifico per attivare i cookies profilanti e analitici;
- assicurarti che in assenza di consenso vengano attivati solo i cookies tecnici;
- fai in modo che l’accesso alla funzionalità del blog non venga subordinato al consenso da parte dell’utente al cookie wall, ossia alla schermata che appare al visitatore del sito con la quale si comunica l’obbligo di accettare tutti i cookies prima di poter accedere al servizio web desiderato;
- assicurati che azioni come lo scroll della pagina non sia più interpretabile come manifestazione di consenso, prevedi sempre un’azione opt-in come il click sul bottone “accetta”.
Aggiornare il banner dei cookie
Una volta stabilita la cookie policy, fai in modo che il banner che compare e che informa sulla loro gestione sia sempre aggiornato. Le linee guida dell’EDPB del 2020, infatti, hanno chiarito ulteriormente che qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento, deve essere una decisione reversibile.
Lo stesso documento ha chiarito anche che lo scroll, come detto sopra, non deve intendersi come consenso e che l’interessato possa interagire con i cookie wall espressi con un banner.
Ecco quello che devi controllare:
- i permessi all’installazione dei cookie devono essere differenziati tra cookie tecnici, di profilazione e analitici e non possono essere accorpati;
- lo scroll della pagina non deve essere considerato come azione positiva;
- la revoca dell’accettazione dei cookie deve essere facile tanto quanto l’accettazione;
- il consenso deve essere sempre dimostrabile tenendo un registro certificato.
Riguardo all’impostazione del banner dei cookie, il Garante per la Protezione dei Dati Personali, ha pubblicato una scheda esplicativa che potrebbe aiutarti:
Aggiornare il form di contatto a norma con la GDPR
La regola numero 1 è sempre la trasparenza. Il tuo form di contatto a norma di GDPR deve prevedere sempre azioni opt-in chiare, evita quindi checkbox preselezionate.
Anche in questo caso, se hai dubbi, rivolgiti sempre a professionisti del settore che sappiano consigliarti bene, soprattutto se vuoi inviare mailing list e newsletter.
Il metodo di registrazione più sicuro, in questi casi, dovrebbe prevedere un doppio passaggio: con il primo l’utente compila il form di contatto e invia la richiesta di iscrizione, con il secondo riceve una mail di conferma e, cliccando sul link di verifica, viene aggiunto alla mailing list.
Ricordati anche che sarebbe meglio separare le richieste di consenso da quelle riguardanti termini e condizioni per prestare il consenso e soprattutto, verifica che la revoca sia sempre altrettanto chiara.
Non farti spaventare dalle procedure necessarie all’adeguamento del tuo sito personale al GDPR, per fortuna esistono tante professionalità in grado di suggerirti tutti gli step necessari per evitare multe e sanzioni. Chiedi supporto e adegua al GDPR il suo sito personale per garantire ai tuoi utenti il massimo della sicurezza, sempre.