GDPR per siti web: cosa fare in pratica - Legal For Digital
Blog di Legal For Digital

GDPR per siti web: cosa fare in pratica

gdpr-per-siti-web

Il GDPR, entrato in vigore nel maggio del 2018, ha modificato la disciplina del trattamento dei dati da parte delle imprese. 

Il regolamento si basa su due principi:

  1. il controllo dei dati da parte dell’interessato;
  2. la garanzia di maggior sicurezza possibile nella fase del trattamento da parte delle imprese, con una forte responsabilizzazione del titolare del trattamento. 

Quindi le aziende hanno dovuto adeguare l’organizzazione dell’impresa compreso il sito web, mettendo al centro la tutela dei dati personali (o almeno avrebbero dovuto farlo).

GDPR per siti web: cosa dice la normativa

La normativa privacy riguarda soltanto i siti web che raccolgono dati personali degli utenti.

Se abbiamo ad esempio un sito vetrina fine a se stesso, dove c’è una pagina dedicata ai prodotti commercializzati dall’impresa, una pagina di presentazione dei valori dell’azienda e un’altra dedicata a dare info sui contatti dell’azienda, allora l’adeguamento potrebbe essere superfluo.

Ma basta che siano installati dei cookie, oppure che ci sia un form di contatto, o un social widget o Google Analytics, allora il tuo sito web si deve uniformare alla normativa europea perché tratta i dati personali degli utenti. 

Prima del regolamento europeo del 2018 adeguarsi alla normativa sulla privacy era molto più semplice: spesso bastava utilizzare un fac-simile per la privacy policy. 

Adesso non è più così: ogni sito internet deve redigere la privacy policy in base a come raccoglie i dati degli utenti e all’uso che ne fa.

Non esiste quindi un modello standard di adeguamento sito web al GDPR.

Una volta che il sito web si è conformato al gdpr, gli obblighi non finiscono: la protezione dei dati prosegue lungo tutta la durata del trattamento, fino alla loro cancellazione. 

Attraverso il sito internet devono essere garantiti tutti i diritti e rispettati tutti i principi che sono alla base del GDPR, e che sono spiegati nello specifico nella nostra guida al GDPR. 

Il regolamento europeo è complesso e, pur definendo cosa si deve fare, spesso non dà indicazioni sul come farlo.

Nel GDPR per siti web non entrano in gioco solo i moduli che riguardano il consenso e che appaiono sul front-end del sito, ma  anche i plug-in installati, i codici di tracciamento, il CMS utilizzato e la piattaforma hosting su cui è ospitato.

Quindi per essere conformi alla normativa privacy ci vuole sicuramente il supporto di una persona esperta per non rischiare multe pesanti. 

Quali sono gli aspetti da analizzare nel GDPR per siti web

Informativa privacy conforme al GDPR per siti web

L’informativa è il documento più importante, da cui si deduce se il titolare del sito ha investito nel conformarsi al GDPR, o se ha copiato il documento da qualche parte, senza adeguarlo alle sue esigenze.

La privacy policy descrive  le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che consultano il contenuto e usufruiscono dei servizi proposti dal sito stesso.

Normalmente nella policy c’è anche il richiamo alle specifiche norme di riferimento con relativo link.

Il regolamento europeo è molto chiaro sulle informazioni minime che devono essere presenti nella policy: 

Breve introduzione sui contenuti del sito: cosa fa l’azienda, quali sono i contenuti del sito internet.

Dati del titolare: il titolare dei dati è colui che tratta i dati, quindi corrisponde all’impresa titolare del sito internet. Vanno specificati nome e indirizzo del luogo dove i dati vengono trattati.

Link ai provider di terze parti: Google Analytics, Facebook Pixel, Inside Tag di LinkedIn e altri servizi di tracciamento.

Link a plug-in, applicazioni o software che memorizzano i dati dell’utente, ad esempio woocommerce o altri software in abbonamento.

Tutte le informazioni sui dati trattati: 

  • modalità di trattamento
  • finalità di trattamento
  • modalità di conservazione
  • comunicazione e diffusione a terze parti

Diritti degli interessati: le persone fisiche i cui dati sono trattati, hanno diritto in qualunque momento di chiedere la conferma dell’esistenza dei dati, di conoscerne contenuto e origine. Possono anche chiedere la rettifica o l’aggiornamento degli stessi. Possono altresì chiedere la cancellazione, la trasformazione in forma anonima o il blocco se il loro trattamento viola la legge. Devono essere specificati gli indirizzi e-mail a cui rivolgere le richieste.

Tutte le informazioni sui dati forniti attraverso i form di contatto: come vengono conservati e con quale finalità.

Newsletter: se vengono richiesti i dati per l’adesione al servizio di newsletter ci sono ulteriori adempimenti: 

  • Inserimento del link alla privacy policy del provider di posta elettronica;
  • Descrizione dettagliata dei dati raccolti attraverso l’e-mail marketing.

Pagina di check-out: se il sito web è un e-commerce bisogna specificare quali dati vengono raccolti nella pagina di check-out e come vengono conservati;

Info relative al server: in merito ai metodi di sicurezza e protezione dei dati che ha adottato;

Informativa estesa sui cookie: mentre l’informativa breve è nel banner che compare quando accediamo al sito per la prima volta. l’informativa estesa deve specificare le finalità di uso dei dati raccolti; quali tipi di cookie sono attivi sul sito; modalità di accettazione e di cancellazione dei cookie stessi;

Terze parti che processano i dati: se il piano marketing prevede il collegamento del sito a servizi di terze parti come Activecampaign, PayPal, Mailchimp, ci deve essere il link alla loro privacy policy;

Trasferimento dei dati a siti terzi: deve essere specificato scopo e modalità;

Data breach: devono essere specificate le misure che saranno adottate in caso di violazione incidentale di dati. Le misure saranno prese comunque entro 72 ore come previsto dal gdpr;

DPO: se è stato nominato vanno specificati generalità e recapiti.

Molti siti terminano l’informativa con  la “richiesta di accettazione”. In realtà è sbagliato perché l’informativa non va accettata, la terminologia giusta è “presa visione”. 

L’utente deve poter accedere alla privacy policy da qualunque pagina del sito. Infatti è prassi comune inserire il link nel footer. 

Cookie

I cookie sono file di testo che inseriti sul sito, catturano le nostre informazioni e rimangono sul browser di ricerca.

Per quanto riguarda la disciplina dei dati personali, i problemi sono due: uno relativo alla privacy, cioè quali dati vengono registrati. E l’altro relativo alla trasparenza, cioè chi ti monitora, per quale scopo e per quanto tempo.

I cookie si raggruppano in 3 tipologie che si distinguono in base alle informazioni che memorizzano:

  1. Tecnici: sono quelli che forniscono all’utente alcune funzioni che gli facilitano la navigazione. Ad esempio l’accesso ad un profilo senza fare il login tutte le volte, o la conservazione dei prodotti nel carrello dell’e-commerce per alcuni giorni. Per quanto riguarda Google Analytics la raccolta dati può rientrare nei cookie tecnici solo se anonimizzato;
  2. Statistici: raccolgono dati in forma anonima e servono ai proprietari dei siti web a capire come gli utenti interagiscono con le pagine;
  3. Profilanti: permettono di raccogliere quei dati personali che consentono di far arrivare agli utenti promo personalizzate. Quindi servono a creare funnel di conversione avanzati. Spesso sui siti sono installati per questo scopo anche i cookie di terze parti. 

Per quanto riguarda la disciplina si fa riferimento alla Cookie Law entrata in vigore nel giugno del 2015. Questa legislazione stabilisce che prima che i cookie vengano installati sul sito, l’utente deve dare il consenso. Tuttavia il consenso esplicito è richiesto solo per i cookie profilanti che, in base alla ratio del gdpr per siti web, sono border-line con la lesione del diritto alla privacy. Quindi l’acquisizione del consenso deve avvenire seguendo una procedura specifica:

  • Attivazione di un banner ben visibile appena si apre il sito web per la prima volta
  • Il banner deve contenere le info circa modalità e finalità del trattamento ben specificate (informativa breve)
  • i consensi non possono essere preselezionati, e non può corrispondere a rilascio del consenso lo scroll della pagina
  • possibilità di selezionare quali consensi dare, quindi per ogni finalità. Se ci sono cookie profilanti del sito ma anche di terze parti, è necessario separarli affinché l’utente sia libero di scegliere se flaggare uno, nessuno o entrambi
  • Il consenso deve essere dato attraverso un’azione positiva inequivocabile
  • presenza del link all’informativa estesa, solitamente inserita nella privacy policy

C’è poi, in base alla normativa europea, l’obbligo di conservazione del consenso. Quindi è quanto meno necessario quel cookie tecnico che permetta di conservare la documentazione.

Se non sono previste attività di profilazione,  i cookie tecnici e quelli analitici non sono soggetti al blocco preventivo.

Form di contatto a norma del GDPR per siti web

Il form di contatto può essere inserito in qualsiasi parte del web e serve a raccogliere dati dell’utente per specifiche finalità. ll principio base da applicare è quello per cui non possono essere raccolti più dati di quelli necessari alle finalità di raccolta, ossia il principio di minimizzazione. 

Per quanto riguarda le componenti del form i requisiti per essere conformi al regolamento per la privacy, sono gli stessi dei cookie:

  • devono essere esplicitate le finalità di trattamento
  • devono essere esplicitate le modalità di conservazione dei dati
  • le finalità devono essere elencate singolarmente
  • il consenso deve essere dato attraverso un’azione inequivocabile e positiva
  • i consensi quindi non possono essere preselezionati
  • ci deve essere il link all’informativa estesa con relativa casella di spunta per dimostrare la presa visione
  • infine, come già detto, devono essere richiesti solo i dati necessari alle finalità per cui si richiedono. Quindi, ad esempio, non posso chiedere il numero di telefono per mandare la newsletter

E-Commerce: pagine di check-out

L’e-commerce rispetto ad altri siti web tratta dati ulteriori legati alla spedizione del prodotto. La logica è la stessa dei form di contatto:

  • non chiedere più dati rispetto a quelli necessari
  • esplicitare il motivo e le finalità di raccolta dati
  • le caselle del consenso non devono essere prespuntate
  • bisogna anche qui fare il rinvio alla privacy policy con il link e prevedere una casella da spuntare per presa visione.

Back-up

Anche il backup dei dati è oggetto del regolamento della privacy dal momento in cui il titolare dei dati deve garantire la massima sicurezza nella loro conservazione. 

È importante oltre che avere un ottimo sistema di back-up il più possibile a prova di hacker, anche utilizzare determinate accortezze:

  • prevedere il back-up automatico almeno una volta al giorno
  • fare più copie di back-up da conservare su supporti separati
  • utilizzare supporti che consentano la cifrature dei dati
  • essere sicuro che accedano alle copie solo i soggetti autorizzati a farlo
  • aggiornare il sistema di back-up di pari passo con le innovazioni tecnologiche

CMS: host che rispetta il GDPR per siti web

Anche il CMS ( Content Management System) che è la piattaforma host del sito, deve essere aggiornata e adeguata al GDPR. Purtroppo spesso non si chiarisce con il webmaster che sviluppa il sito, chi deve poi occuparsi di verificare gli aggiornamenti e non vengono più effettuati. È opportuno invece inserire la clausola che prevede la manutenzione e aggiornamento del sito, con contestuale nomina a responsabile del webmaster

Lo stesso provider deve essere nominato responsabile del trattamento. In realtà la maggior parte degli hosting inseriscono questo contratto all’interno del contratto di acquisto del servizio.

GDPR e WordPress

Il cms WordPress in questo contesto merita una trattazione a parte essendo la piattaforma più utilizzata su cui sviluppare siti internet. La sua particolarità sta nel fatto che invece di agire continuamente sul codice del sito, si preferisce installare dei plug-in con varie funzioni. Gli stessi plug-in devono essere conformi al GDPR, e se non lo sono bisogna sceglierne altri. Il proprietario del sito, come titolare dei dati, ha la responsabilità di scegliere quei plug-in che permettano di esportare, fornire, eliminare i dati dell’utente.

Quando c’è stata la necessità di adeguarsi al GDPR, nel 2018, WordPress ha messo a disposizione una nuova versione della piattaforma:

è stato inserito il campo “privacy” nelle impostazioni che, cliccandolo, permette di aprire una nuova pagina con le istruzioni per inserire la privacy policy. Ovviamente con informazioni molto basiche che vanno bene per la generalità dei siti, ma che non sono sufficienti.

Inoltre con la nuova versione è possibile cancellare i dati degli utenti raccolti sul sito su loro richiesta, ed esportarli, così come prevede il GDPR per siti web

La nuova versione di WordPress ha anche introdotto il check-box per l’acquisizione dei dati nei commenti, che adesso è necessario.

Poi vanno installati tutti i plug-in necessari per essere conformi al regolamento europeo:

Per il check-box nel form di contatto bisogna affidarsi a plug-in a norma di GDPR, quindi con flag non preselezionati.

Poi va installato il plug-in per il blocco dei cookie: per essere a norma deve bloccare i cookie profilanti, permettere di resettare il consenso e fornire il log dei consensi.

Ci sono plug-in per permettere di esercitare il diritto all’oblio, e plug-in per gestire il consenso.

Marketing: autorizzazioni

Bisogna prevedere un contratto di nomina per ognuno dei soggetti che farà attività di marketing sul sito. Infatti si troveranno a trattare i dati personali degli utenti in qualità di responsabili. Il titolare ha l’obbligo di contrattualizzare la loro nomina andando a definire le autorizzazioni specifiche di trattamento dati. La mancanza di un contratto (DPA) comporta il rischio di sanzione per entrambi i soggetti. 

Conclusioni

È evidente come il GDPR per i siti web abbia notevolmente cambiato la disciplina del trattamento dei dati rispetto a prima.

Il front-end cambia perché l’utente deve essere informato, deve aver gli strumenti per poter accedere sempre ai consensi che ha dato e poterli gestire in ogni momento. 

ll back-end del sito cambia perché si devono avere i tool che permettano di conservare il consenso, perché si deve garantire sicurezza nella conservazione dei e ogni stringa di codice deve essere a norma del GDPR.

Ciò nonostante è facilmente verificabile in rete quanto sono pochi i siti che rispettano al 100% la normativa europea. Viene molto sottovalutato il ruolo dell’informativa, probabilmente perché pubblicità ingannevoli hanno fatto credere ad aziende, ignare della normativa specifica, che bastasse un fac-simile da copiare e incollare sul proprio sito web per essere a norma. 

Ma come abbiamo visto le tipologie di marketing che si fanno sul sito, la presenza di cookie di terze parti, il possibile trattamento di dati in Paesi terzi, fanno sì che sia necessaria una consulenza personalizzata sulle necessità specifiche di ogni sito web. Inoltre la stesura del documento richiede conoscenze legali. Il linguaggio utilizzato deve rispecchiare i requisiti del GDPR in termini di chiarezza e trasparenza, quindi anche per questo è necessario affidarsi ad un consulente specializzato. 

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO