GDPR sito web: come adeguarsi
Con il GDPR, General Data Protection Regulation, il regolamento generale per la protezione dei dati personali 2016/679 l’Unione europea ha riassunto e armonizzato tutta la materia e dal 25 maggio 2018, giorno in cui è divenuto pienamente applicabile, ogni Stato membro è obbligato all’adeguamento. Il nuovo regolamento stabilisce un superamento delle disposizioni in materia di protezione dei dati personali già regolate dalla direttiva 95/46, perché sancisce una visione proprietaria del dato.
Le nuove disposizioni hanno avuto un enorme impatto sulla gestione dei dati online che infatti dal 2018 possono essere trattati solo ed esclusivamente dietro consenso informato dell’utente o altra base giuridica ritenuta idonea ai sensi dell’art. 6 del GDPR.
Questo richiede tutta una serie di adempimenti, a partire dall’adeguamento del sito web al GDPR.
In questo articolo illustreremo tutti i passaggi necessari a una corretta gestione di un sito e dei dati degli utenti che lo visitano.
Dallo sviluppo di integrazioni al supporto strategico, dalla creazione di concept creativi all’ottimizzazione dei risultati.
Come adeguare il GDPR al proprio sito web
Adeguare il proprio sito web al GDPR, dunque, è un obbligo non una scelta. Lo ha stabilito il legislatore europeo uniformando le regole su tutto il territorio Ue, ma quali le procedure da assolvere e chi è interessato dal provvedimento?
Chiunque raccolga o tratti dati personali degli utenti, dalla semplice mail, al nome e cognome, indirizzo e altro, è obbligato a seguire le indicazioni stabilite dal GDPR. Non solo.
Qualsiasi sito con cookie installati, form di contatto, social widget o Google Analytics DEVE adeguarsi al GDPR.
L’adeguamento del sito web al GDPR richiede innanzitutto la redazione della Privacy Policy, della cookie policy, l’adeguamento del form di contatto e l’assolvimento di altre operazioni. Di seguito tutti i passaggi per adeguare il proprio sito web al GDPR.
Adattare la privacy policy al GDPR
La Privacy Policy, anche detta Informativa, è il documento che illustra dettagliatamente e in modo semplice e chiaro come vengono gestiti i dati personali degli utenti che navigheranno sul sito. Anche in questo caso, quindi, stiamo parlando di obbligo e non di facoltà: ogni sito web per adeguarsi al GDPR deve avere la privacy policy. Il documento deve riportare in modo chiaro come, perché e in che modo verranno gestiti i dati personali dei visitatori, affinché questi possano essere adeguatamente informati e, ove richiesto e necessario, esprimere il loro consenso a specifici trattamenti.
Tra i principi cardine del GDPR, infatti, vi è la liceità, correttezza e trasparenza del trattamento nei confronti dell’interessato: l’utente deve essere informato chiaramente e correttamente circa il trattamento dei propri dati e poter così fornire, ove necessario, uno specifico consenso al riguardo.
La privacy policy deve contenere informazioni di base come:
- Titolare del trattamento dati e, ove nominato, responsabile della protezione dei dati
- Dati personali trattati e finalità specifiche del trattamento
- Diritti dell’interessato
- Destinatari del trattamento
- Eventuali trasferimenti dei dati personali a terzi (soprattutto se in Paesi extra UE)
- Modalità e periodo di conservazione
- qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocarlo in qualsiasi momento
- il diritto di proporre reclamo all’autorità di controllo.
Adattare la cookie policy al GDPR
Quante volte hai sbuffato perché aprendo un sito ti è comparso il banner con il consenso ai cookies? Un passaggio obbligatorio, però, per i gestori dei siti web perché fa parte della cookie policy richiesta dal GDPR e dalla normativa europea applicabile. Ma vediamo meglio cosa sono i cookies e come funzionano:
I cookies permettono di tracciare le nostre abitudini online. Sono file di testo che rimangono nel browser e per questo possono indicare che cosa cerchiamo, quando e come.
Sono di 3 tipi:
- cookies tecnici – sono quelli che facilitano la navigazione, per esempio, impedendo di fare il login ogni volta;
- cookies statici – sono raccolti in forma anonima e servono a capire come l’utente interagisce con le pagine del sito;
- cookies profilanti – sono quelli che ci fanno arrivare gli avvisi personalizzati, perché appunto tracciano la navigazione degli utenti e creano un profilo delle loro abitudini.
I cookies di prima parte sono quelli salvati sul dominio nel quale l’utente sta navigando, quelli di terza parte sono quelli salvati su un dominio diverso e che il GDPR ha praticamente messo al bando.
In base alla normativa europea e alle linee guida sul consenso dell’EDPB (European Data Protection Board), i cookies possono essere utilizzati solo se viene fornita un’idonea informativa sul loro utilizzo, in assenza di consenso possono essere attivati solo i cookie tecnici, mentre i cookie analitici e di profilazione possono essere attivati solo su specifico consenso dell’utente.
Non sono più considerate manifestazioni di consenso azioni come lo scorrimento della pagina (cosa che avveniva prima della pubblicazione delle linee guida) ma solo azioni chiare come il click su un bottone “accetta”.
La cookie policy è l’informativa riguardante appunto la tipologia di cookie installati sul sito e deve essere attuata attraverso un banner ben visibile che si apre appena si apre il sito web.
Ogni utente, in pratica, deve sapere chiaramente se ci sono cookies, di che tipo sono, se possono profilarlo e dare o meno il proprio consenso all’utilizzo.
Il banner, perciò deve attivarsi all’apertura della pagina, essere ben visibile e dire:
- modalità e finalità del loro utilizzo
- quali cookies possono essere selezionati
- se ci sono cookies profilanti (con possibilità di selezione a parte mediante rilascio di specifico consenso)
- dove dare il consenso esplicito per i cookies profilanti
- dove individuare il link all’informativa privacy.
Controllare e adeguare i form di contatto
Il form di contatto per la raccolta dati degli utenti deve rispettare il principio di minimizzazione, ossia: il sito può raccogliere solo i dati necessari alle finalità della raccolta stessa.
Per fare questo il form deve essere adeguato al GDPR prevedendo appositi campi per l’azione esplicita di rilascio del consenso e richiamando il link all’Informativa estesa.
Adeguare l’invio di newsletter
Anche per quanto riguarda l’invio di newsletter, l’iscrizione al servizio deve essere chiara, non automatica e il consenso deve essere esplicito.
Per questo è importante che ci sia un bottone specifico, chiaramente indicato in pagina.
L’iscrizione, ovviamente, deve essere facoltativa e il consenso deve essere esplicitato con un bottone opt-in chiaro.
Gli utenti, infine, devono poter revocare il consenso in qualsiasi momento e con la stessa facilità con la quale lo hanno reso, quindi con un link di cancellazione ben visibile.
Per adeguare l’invio di newsletter al GDPR bisogna definire in modo chiaro:
- servizi attivati
- dati personali raccolti e trattati
- finalità del trattamento
- tipologia di comunicazioni inviate
- modalità di invio delle comunicazioni
- necessità di rilasciare un consenso preventivo
- possibilità di revoca del consenso.
Per strutturare campagne email marketing e invio di newsletter conformi al GDPR, è possibile ricorrere a software specifici. MailUp mette a disposizione un editor per creare email e newsletter di grande impatto, ottimizzate per mobile. BEE crea campagne Newsletter dal design professionale con semplici operazioni drag & drop facili e intuitive, possibilità di personalizzazioni che agevolano il rispetto dei requisiti di conformità al GDPR.
Modificare il percorso di checkout
I siti di e-commerce devono adeguare al GDPR anche il percorso di checkout. I principi cardine sono sempre gli stessi:
- non vanno chiesti più dati del necessario
- esplicitare il motivo della raccolta
- fare il reinvio al link della privacy policy.
Consenso e protezione dei dati
Il sito deve prevedere SEMPRE un’informativa adeguata per l’utente, i dati devono essere raccolti e trattati per le finalità specificatamente indicate e non altre, deve essere sempre specificato come, perché e per quanto tempo sono trattati i dati personali e che la loro cancellazione o modifica può essere richiesta in qualsiasi momento.
Il diritto all’oblio e GDPR
Secondo l’articolo 17 del Regolamento, il diretto interessato può richiedere la cancellazione dei propri dati; si tratta appunto del diritto all’oblio, un diritto in forma rafforzata che comprende anche link, copia o riproduzione. Il GDPR prevede inoltre che la cancellazione avvenga “senza ingiustificato ritardo”.
Controllare i plugin installati sul sito
Per concludere, controlla sempre che i plugin installati sul tuo sito siano tutti conformi al GDPR, perché potrebbero aiutarti con la conformità del sito alle regole privacy, dal diritto all’oblio, all’adeguamento delle altre disposizioni
Modelli del GDPR
I principi cardine del Regolamento sono correttezza, trasparenza e liceità nella gestione dei dati e l’Informativa è il fulcro di tutto. Gli utenti attraverso l’Informativa vengono a conoscenza di tutte le informazioni necessarie per scegliere ed esercitare i propri diritti.
Esistono tanti modelli di Informativa, con contenuti e riferimenti normativi in linea con il GDPR; la cosa più importante è dare informazioni dettagliate, utili, ma soprattutto descritte in modo chiaro e diretto.
Il consiglio è di personalizzare al massimo il modello per offrire notizie specifiche inerenti al sito.
A chi rivolgersi per adeguare il GDPR
Per l’adeguamento del proprio sito web al GDPR è meglio affidarsi a un consulente esperto in materia, ad esempio un avvocato o uno studio legale specializzato in data protection.
Esempio di GDPR per un sito web
Un esempio pratico di conformità di un sito web al GDPR è quello fornito da MailUp, doveaccesso, gestione e sicurezza dei dati vengono gestiti in rispetto della normativa europea e l’architettura è di tipo multi-tenant ma con un database specifico per il cliente.
Questo permette una separazione fisica dei dati per ciascun cliente e un altissimo livello di flessibilità sia a livello di criptazione che di data recovery.
Per consentire ai soggetti interessati di esercitare diritti come quello di cancellazione, oblio, portabilità e modifica, è stato completato il Centro Gestione Profilo che permette anche di:
- conoscere quali dati vengono trattati
- limitare il trattamento
- chiedere di non essere tracciato
- export delle informazioni personali.
Chi desidera gestire queste attività in maniera individuale può usufruire dell’interfaccia di gestione profilo destinatario:
GDPR e WordPress
Il GDPR richiede anche l’aggiornamento del CMS (Content Management System), la piattaforma host del sito web. CMS come WordPress offrono plug-in che possono agevolare la conformità al GDPR, in più, alla luce delle novità introdotte dal GDPR, la piattaforma ha inserito nelle impostazioni il bottone “privacy” che apre una pagina con informazioni di base per inserire la privacy policy. La nuova versione rilasciata di WordPress per privacy policy, inoltre, permette di cancellare i dati degli utenti raccolti che ne facciano richiesta e ha anche il check-box per l’acquisizione dei dati nei commenti.
Tra i plug-in da installare affinché il sito web possa rispettare alcuni dei principi sanciti dal GDPR, ci sono:
- quelli per il blocco dei cookie profilanti
- quelli per esercitare il diritto all’oblio
- quelli per gestire il consenso.
Questo, però, non darà mai l’assoluta certezza di avere un sito web conforme al GDPR, né di evitare il rischio di sanzioni.
Tuttavia, il nostro consiglio è quello di non affidarti ciecamente a questi strumenti, ma di ricorrere sempre all’aiuto di esperti. Solo affidandosi a figure competenti potrai avere la certezza di avere un sito web conforme ed evitare il rischio di sanzioni.
GDPR ed e-commerce
Chi gestisce uno store online sa che deve adeguare l’e-commerce al GDPR con soluzioni specifiche. Anche in questo MailUp è in grado di offrire servizi su misura tra email marketing, configurazioni di marketing automation, integrazioni personalizzate, formazione e supporto. Un e-commerce raccoglie e gestisce molti dati lato utente, per questo è fondamentale adottare Privacy e Cookie policy, adeguare al GDPR il form di contatto, l’invio di email, di newsletter e modificare il percorso di checkout.
GDPR e blog
Non tutti i blog hanno l’obbligo di adeguarsi alle norme privacy. Il GDPR, infatti, non interessa siti web che non raccolgono dati personali. Non è quindi tenuto all’adeguamento chi tiene un blog per comunicare, con pagine prodotto finalizzate alla pura informazione.
L’importante è che il sito NON abbia:
- cookies installati
- form di contatto
- social widget
- Google Analytics.
Se hai un sito personale, quindi, studia bene la normativa riguardante il GDPR per Blog e, nel caso, affidati a un consulente esperto in materia di data protection, perché in caso di violazione della normativa, le sanzioni potrebbero essere anche molto severe.
GDPR e sanzioni
Come detto, i siti web che non si adeguano alle nuove disposizioni privacy rischiano sanzioni anche molto pesanti. Si può arrivare infatti anche a 20 milioni di euro di multa oppure al 2 o al 4 per cento del fatturato dell’azienda. Attenzione perciò anche a possibili data breach.
Che cos’è il data breach
Con data breach si intende una violazione di sicurezzache comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
A titolo esemplificativo, rappresentano un data breach:
- Acquisizione di dati da parte di terzi non autorizzati;
- Divulgazione non autorizzata di dati personali;
- Furto e perdita di dispositivi informatici contenenti dati personali;
- Alterazione deliberata di dati;
- Impossibilità di accedere ai propri dati per cause accidentali o attacchi esterni, virus e malware;
- Perdita o distruzione di dati per cause incidentali.
Il titolare del trattamento che subisce un data breach, senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
A questo punto il Garante può decidere per misure correttive nel caso sia rilevata una violazione delle disposizioni del Regolamento e valutare l’applicazione di sanzioni pecuniarie che potrebbero arrivare fino a 10 milioni di euro (o al 2 per cento del fatturato totale annuo).
L’adeguamento del sito web al GDPR richiede forse uno sforzo in più, a fronte però di un servizio importante reso ai propri utenti. Affidarsi a professionisti del settore offre sicuramente molta serenità in più.