Per GDPR per siti web si intendono tutti quegli adempimenti a cui è tenuto chi tratta dati personali attraverso il sito internet di cui è titolare.
Il GDPR, entrato in vigore nel maggio del 2018, ha modificato la disciplina del trattamento dei dati da parte delle imprese. Pertanto, richiede un livello di attenzione maggiore, specie per chi abbia intenzione di promuovere la propria attività online. L’obiettivo è evitare violazioni e rimanere GDPR compliant per avere vita facile, un sito web felice e un Autorità Garante Privacy tranquilla.
Il regolamento GDPRD si basa, invero, su due principi:
- il controllo dei dati da parte dell’interessato;
- la garanzia di maggior sicurezza possibile nella fase del trattamento da parte delle imprese, con una forte responsabilizzazione del Titolare del trattamento.
Ne consegue che le aziende hanno dovuto adeguare l’organizzazione dell’impresa, ivi compreso il sito web, mettendo al centro la tutela dei dati personali (o almeno avrebbero dovuto farlo).
Guarda il video sul GDPR per siti web dell’avvocato Vercellotti
CONTENUTO DELL'ARTICOLO
- 1 GDPR per siti web: cosa dice la normativa?
- 2 Informativa privacy conforme al GDPR per siti web
- 3 Differenze tra adeguamento GDPR e-commerce e adeguamento sito di lead generation:
- 4 Cookie e linee guida del gennaio 2022
- 5 Form di contatto a norma del GDPR per siti web
- 6 E-Commerce: pagine di check-out
- 7 Back-up sito web
- 8 CMS: host che rispetta il GDPR per siti web
- 9 Marketing: autorizzazioni a trattare i dati personali
- 10 Conclusioni GDPR per siti web
GDPR per siti web: cosa dice la normativa?
Chiariamo un punto centrale della nostra disamina: la normativa privacy riguarda soltanto i siti web che raccolgono dati personali degli utenti.
Se abbiamo, ad esempio, un sito vetrina fine a se stesso, dove c’è una pagina dedicata ai prodotti commercializzati dall’impresa, una pagina di presentazione dei valori dell’azienda e un’altra dedicata a dare informazioni sui contatti dell’azienda, allora l’adeguamento potrebbe essere superfluo. Perché? Perché, stando così le cose, sembra mancare ogni forma di interesse da parte della società a ottenere informazioni da parte degli utenti che atterrano su quella landing page.
Basta, però, che siano installati dei cookie, oppure che ci sia un form di contatto, o un social widget o Google Analytics che la situazione cambia. Nel qual caso il tuo sito web deve uniformarsi alla normativa europea privacy perché raccoglie e tratta i dati personali degli utenti.
Prima del regolamento europeo del 2018, adeguarsi alla normativa sulla privacy era molto più semplice: spesso bastava utilizzare un fac-simile per la privacy policy.
Adesso non è più così: ogni sito internet deve redigere la privacy policy in base a come raccoglie i dati degli utenti e all’uso che ne fa.
Non esiste quindi un modello standard di adeguamento sito web al RGDPR.
Una volta che il sito web si è conformato al GDPR, gli obblighi non finiscono. La protezione dei dati prosegue lungo tutta la durata del trattamento, fino alla loro cancellazione.
Attraverso il sito internet devono essere garantiti tutti i diritti e rispettati tutti i principi che sono alla base della normativa GDPR e che sono spiegati nello specifico nella nostra guida al GDPR.
Il regolamento europeo è complesso e, pur definendo cosa si deve fare, spesso non dà indicazioni sul come farlo. Nel GDPR per siti web non entrano in gioco solo i moduli che riguardano il consenso e che appaiono sul front-end del sito, ma anche i plug-in installati, i codici di tracciamento, il CMS utilizzato e la piattaforma hosting su cui è ospitato.
Quindi, per essere conformi alla normativa privacy ci vuole sicuramente il supporto di una persona esperta per non rischiare di incorrere in multe pesanti.
Detto questo, verrebbe da farsi una domanda: quali sono gli aspetti da analizzare nel GDPR per siti web? Vediamolo insieme.
Informativa privacy conforme al GDPR per siti web
L’informativa è il documento più importante di cui dovresti tenere conto, giacché da essa si deduce se tu – in quanto Titolare del sito web – hai investito nel conformarti al GDPR o se hai copiato il documento da qualche parte senza adeguarlo alle tue specifiche esigenze.
La privacy policy descrive le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che consultano il contenuto e usufruiscono dei servizi proposti dal sito stesso. Solitamente, nella policy, c’è anche il richiamo alle specifiche norme di riferimento con relativo link.
Il regolamento europeo è molto chiaro sulle informazioni minime che devono essere presenti nella policy:
- Breve introduzione sui contenuti del sito: cosa fa l’azienda e quali sono i contenuti del sito internet;
- Dati del titolare: il titolare dei dati è colui che tratta i dati, quindi corrisponde all’impresa titolare del sito internet. Vanno specificati nome e indirizzo del luogo dal quale i dati vengono trattati;
- Link ai provider di terze parti: Google Analytics, Facebook Pixel, Insight Tag di LinkedIn e altri servizi di tracciamento;
- Link a plug-in, applicazioni o software che memorizzano i dati dell’utente, ad esempio woocommerce o altri software in abbonamento;
- Tutte le informazioni sui dati trattati:
- modalità di trattamento;
- finalità di trattamento;
- modalità di conservazione;
- comunicazione e diffusione a terze parti;
- Diritti degli interessati: le persone fisiche i cui dati sono trattati hanno diritto in qualunque momento di chiedere la conferma dell’esistenza dei dati, di conoscerne contenuto e origine. Possono anche chiedere la rettifica o l’aggiornamento degli stessi. Possono altresì chiedere la cancellazione, la trasformazione in forma anonima o il blocco se il loro trattamento viola la legge. Devono essere specificati gli indirizzi e-mail a cui rivolgere le richieste;
- Tutte le informazioni sui dati forniti attraverso i form di contatto: come vengono conservati e con quale finalità;
- Newsletter: se vengono richiesti i dati per l’adesione al servizio di newsletter ci sono ulteriori adempimenti:
- Inserimento del link alla privacy policy del provider di posta elettronica;
- Descrizione dettagliata dei dati raccolti attraverso l’e-mail marketing.
- Pagina di check-out: se il sito web è un e-commerce bisogna specificare quali dati vengono raccolti nella pagina di check-out e come vengono conservati;
- Info relative al server: in merito ai metodi di sicurezza e protezione dei dati che ha adottato;
- Informativa estesa sui cookie: mentre l’informativa breve è nel banner che compare quando accediamo al sito per la prima volta, l’informativa estesa deve specificare le finalità di uso dei dati raccolti, quali tipi di cookie sono attivi sul sito, modalità di accettazione e di cancellazione dei cookie stessi;
- Terze parti che processano i dati: se il piano marketing prevede il collegamento del sito a servizi di terze parti come Activecampaign, PayPal, Mailchimp, ci deve essere il link alla loro privacy policy;
- Trasferimento dei dati a siti terzi: deve essere specificato scopo e modalità;
- Data breach: devono essere specificate le misure che saranno adottate in caso di violazione incidentale di dati. Le misure saranno prese comunque entro 72 ore come previsto dal gdpr;
- DPO: se è stato nominato vanno specificati generalità e recapiti.
Molti siti terminano l’informativa con la “richiesta di accettazione”. In realtà è sbagliato perché l’informativa non va accettata, la terminologia giusta è “presa visione”.
L’utente deve poter accedere alla privacy policy da qualunque pagina del sito. Infatti, è prassi comune inserire il link nel footer.
“Alessandro e tutto lo studio sono davvero super.
Precisi, competenti, in grado di dare sempre consigli preziosi; quando lavori così bene poi i risultati si vedono.
Personalmente gli affiderei anche le mie chiavi di casa!”
Marco Filice
Visual desiHead of content a Figaro Digital
Differenze tra adeguamento GDPR e-commerce e adeguamento sito di lead generation:
L’adeguamento alla normativa sulla privacy varia in base alla natura e alla finalità del sito web in questione: l’adeguamento dello shop online alla normativa sulla privacy è diverso dall’adeguamento del sito web che ha come obiettivo l’acquisizione di lead.
Ecco le differenze principali:
1. Natura dei dati raccolti:
- Sito e-commerce: un sito di commercio elettronico raccoglie dati dettagliati sul cliente, che includono informazioni di contatto, indirizzi di spedizione e dettagli di pagamento. Questi dati sono essenziali per processare e consegnare gli ordini, gestire resi e reclami e offrire supporto al cliente
- Sito di acquisizione lead: in genere, questi siti raccolgono informazioni più generali come nome, email o numero di telefono. L’obiettivo principale è generare potenziali clienti per prodotti o servizi, piuttosto che concludere una transazione sul sito stesso.
2. Volume e frequenza di raccolta dati:
- Sito e-commerce: la raccolta di dati avviene ogni volta che un cliente effettua un ordine, si registra o interagisce con il servizio clienti. Questo significa una raccolta frequente e in grandi volumi.
- Sito di acquisizione lead: la raccolta dei dati può avvenire meno frequentemente, ad esempio, quando un visitatore compila un modulo per scaricare un’ebook o iscriversi alla newsletter.
3. Finalità del trattamento:
- Sito e-commerce: oltre alla conclusione della transazione, i dati possono essere utilizzati per marketing diretto, analisi delle abitudini d’acquisto, programmi di fedeltà e supporto post-vendita.
- Sito di acquisizione lead: La finalità principale è l’engagement del potenziale cliente attraverso contenuti, offerte speciali o inviti a eventi, mirando a trasformare un lead in un cliente.
4. Rischi associati:
- Sito e-commerce: dato il tipo di dati sensibili raccolti (come dettagli di pagamento), i siti e-commerce possono essere bersaglio di attacchi informatici mirati, rendendo imperativo un livello elevato di sicurezza.
- Sito di acquisizione lead: anche se il rischio può essere percepito come inferiore, la perdita o l’accesso non autorizzato ai dati può danneggiare la reputazione dell’azienda e violare la normativa sulla privacy.
5. Interazione con terze parti:
- Sito e-commerce: l’interazione con terze parti, come fornitori di servizi di pagamento o spedizione, è comune e richiede accordi precisi sulla condivisione e la protezione dei dati.
- Sito di acquisizione lead: l’interazione potrebbe limitarsi a strumenti di marketing o piattaforme di email marketing, ma comunque necessita di una chiara comprensione della gestione dei dati.
Quindi, mentre entrambi i tipi di siti web hanno l’obbligo di rispettare il GDPR e altre normative sulla privacy, le esigenze dell’adeguamento variano significativamente. L’importante è avere una chiara comprensione delle responsabilità associate al trattamento dei dati e garantire che tutte le pratiche di raccolta, elaborazione e conservazione dei dati siano in linea con le normative vigenti.
Cookie e linee guida del gennaio 2022
I cookie sono file di testo che, inseriti sul sito, catturano le nostre informazioni e rimangono sul browser di ricerca.
Per quanto riguarda la disciplina dei dati personali, i problemi sono due: uno relativo alla privacy, cioè quali dati vengono registrati; e l’altro relativo alla trasparenza, cioè chi ti monitora, per quale scopo e per quanto tempo.
I cookie si raggruppano in 3 tipologie che si distinguono in base alle informazioni che memorizzano:
- Cookie tecnici: sono quelli che forniscono all’utente alcune funzioni che gli facilitano la navigazione. Ad esempio, l’accesso ad un profilo senza fare il login tutte le volt o la conservazione dei prodotti nel carrello dell’e-commerce per alcuni giorni. Per quanto riguarda Google Analytics la raccolta dati può rientrare nei cookie tecnici solo se anonimizzato;
- Cookie statistici: raccolgono dati in forma anonima e servono ai proprietari dei siti web a capire come gli utenti interagiscono con le pagine;
- Cookie profilanti: permettono di raccogliere quei dati personali che consentono di far arrivare agli utenti promo personalizzate. Quindi servono a creare funnel di conversione avanzati. Spesso sui siti sono installati per questo scopo anche i cookie di terze parti.
Per quanto riguarda la disciplina si fa riferimento alla Cookie Law entrata in vigore nel giugno del 2015. Questa legislazione stabilisce che, prima che i cookie vengano installati sul sito, l’utente deve dare il consenso. Tuttavia, il consenso esplicito è richiesto solo per i cookie profilanti che, in base alla ratio del GDPR per siti web, sono borderline con la lesione del diritto alla privacy. Quindi, l’acquisizione del consenso deve avvenire seguendo una procedura specifica:
- Attivazione di un banner ben visibile appena si apre il sito web per la prima volta;
- Il banner deve contenere le info circa modalità e finalità del trattamento ben specificate (informativa breve);
- I consensi non possono essere preselezionati e non può corrispondere a rilascio del consenso lo scroll della pagina;
- Possibilità di selezionare quali consensi dare, quindi per ogni finalità. Se ci sono cookie profilanti del sito ma anche di terze parti, è necessario separarli affinché l’utente sia libero di scegliere se flaggare uno, nessuno o entrambi;
- Il consenso deve essere dato attraverso un’azione positiva inequivocabile;
- presenza del link all’informativa estesa, solitamente inserita nella privacy policy.
C’è poi, in base alla normativa europea, l’obbligo di conservazione del consenso. Pertanto, è quantomeno necessario un cookie tecnico che permetta di conservare la documentazione. Se non sono previste attività di profilazione, i cookie tecnici e quelli analitici non sono soggetti al blocco preventivo.
A luglio 2021, il Garante italiano ha emesso le nuove linee guida sui cookie, stabilendo che i titolari del trattamento avevano 6 mesi di tempo per adeguarsi.
Oggi il cookie banner a norma di GDPR può essere impostato in 3 modi:
- si possono prevedere 3 pulsanti:
- accetto tutti i cookie
- personalizzazione delle scelte
- rifiuto di tutti i cookie (eccetto i tecnici)
- si possono prevedere 2 pulsanti con l’inserimento del consenso granulare
- ed ecco la novità: previsione della x per chiudere il banner che corrisponde come scelta al “rifiuto tutti i cookie” eccetto i tecnici, più due pulsanti, uno per l’accettazione e l’altro per il consenso granulare.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Form di contatto a norma del GDPR per siti web
Il form di contatto può essere inserito in qualsiasi parte del web e serve a raccogliere dati dell’utente per specifiche finalità. ll principio base da applicare è quello per cui non possono essere raccolti più dati di quelli necessari alle finalità di raccolta, ossia il principio di minimizzazione.
Per quanto riguarda le componenti del form i requisiti per essere conformi al regolamento per la privacy, sono gli stessi dei cookie:
- devono essere esplicitate le finalità di trattamento;
- devono essere esplicitate le modalità di conservazione dei dati;
- le finalità devono essere elencate singolarmente;
- il consenso deve essere dato attraverso un’azione inequivocabile e positiva;
- i consensi quindi non possono essere preselezionati;
- ci deve essere il link all’informativa estesa con relativa casella di spunta per dimostrare la presa visione;
- infine, come già detto, devono essere richiesti solo i dati necessari alle finalità per cui si richiedono. Quindi, ad esempio, non posso chiedere il numero di telefono per mandare la newsletter
E-Commerce: pagine di check-out
L’e-commerce, rispetto ad altri siti web, tratta dati ulteriori legati alla spedizione del prodotto. La logica rimane la medesima prevista per il form di contatto:
- non chiedere più dati rispetto a quelli necessari;
- esplicitare il motivo e le finalità di raccolta dati;
- le caselle del consenso non devono essere prespuntate;
- bisogna anche qui fare il rinvio alla privacy policy con il link e prevedere una casella da spuntare per presa visione.
Back-up sito web
Anche il backup dei dati è oggetto del regolamento della privacy, dal momento in cui il titolare dei dati deve garantire la massima sicurezza nella loro conservazione.
È importante, oltre che avere un ottimo sistema di back-up il più possibile a prova di hacker, anche utilizzare determinate accortezze:
- prevedere il back-up automatico almeno una volta al giorno;
- fare più copie di back-up da conservare su supporti separati;
- utilizzare supporti che consentano la cifrature dei dati;
- essere sicuro che accedano alle copie solo i soggetti autorizzati a farlo;
- aggiornare il sistema di back-up di pari passo con le innovazioni tecnologiche.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
CMS: host che rispetta il GDPR per siti web
Anche il CMS ( Content Management System), che è la piattaforma host del sito, deve essere aggiornata e adeguata al regolamento GDPR. Purtroppo, spesso non si chiarisce con il webmaster che sviluppa il sito, chi sarà in futuro ad occuparsi di verificare gli aggiornamenti. Pertanto, accade di frequente che questi non vengano più effettuati.
Invece, è opportuno inserire la clausola che prevede la manutenzione e l’aggiornamento del sito, con contestuale nomina a responsabile del webmaster.
Lo stesso provider deve essere nominato responsabile del trattamento. In realtà la maggior parte degli hosting inseriscono questo contratto all’interno del contratto di acquisto del servizio.
GDPR e WordPress
Il cms WordPress, in questo contesto merita, una trattazione a parte essendo la piattaforma più utilizzata su cui sviluppare siti internet. La sua particolarità sta nel fatto che, invece di agire continuamente sul codice del sito, si preferisce installare dei plug-in con varie funzioni. Gli stessi plug-in devono essere conformi al GDPR e, se non lo sono bisogna, sceglierne altri.
Il proprietario del sito, come Titolare dei dati, ha la responsabilità di scegliere quei plugin che permettano di esportare, fornire, eliminare i dati dell’utente.
Quando c’è stata la necessità di adeguarsi al GDPR, nel 2018, WordPress ha messo a disposizione una nuova versione della piattaforma. È stato inserito il campo “privacy” nelle impostazioni in modo che, cliccandolo, fosse possibile aprire una nuova pagina con le istruzioni per inserire la privacy policy. Ovviamente, il contenuto era da riferire a informazioni molto basiche che vanno bene per la generalità dei siti, ma che non sono sufficienti a realtà digitali più complesse e strutturate. Inoltre, con la nuova versione è possibile cancellare i dati degli utenti raccolti sul sito su loro richiesta ed esportarli, così come prevede il GDPR per siti web.
La nuova versione di WordPress ha anche introdotto il check-box per l’acquisizione dei dati nei commenti, che adesso è necessario.
Poi vanno installati tutti i plug-in necessari per essere conformi al regolamento europeo:
- Per il check-box nel form di contatto bisogna affidarsi a plug-in a norma di GDPR, quindi con flag non preselezionati.
- Poi va installato il plug-in per il blocco dei cookie: per essere a norma deve bloccare i cookie profilanti, permettere di resettare il consenso e fornire il log dei consensi.
Ci sono plug-in per permettere di esercitare il diritto all’oblio e plug-in per gestire il consenso.
Marketing: autorizzazioni a trattare i dati personali
Bisogna prevedere un contratto di nomina a responsabile del trattamento per ognuno dei soggetti che farà attività di marketing sul sito. Infatti, si troveranno a trattare i dati personali degli utenti in qualità di responsabili. Il Titolare ha l’obbligo di contrattualizzare la loro nomina, andando a definire le autorizzazioni specifiche di trattamento dati. La mancanza di un contratto (DPA) comporta il rischio di sanzione per entrambi i soggetti.
Conclusioni GDPR per siti web
È evidente come il GDPR per i siti web abbia notevolmente cambiato la disciplina del trattamento dei dati rispetto a prima.
Il front-end cambia perché l’utente deve essere informato, deve aver gli strumenti per poter accedere sempre ai consensi che ha dato e poterli gestire in ogni momento.
ll back-end del sito cambia perché si devono avere i tool che permettano di conservare il consenso, perché si deve garantire sicurezza nella conservazione dei dati e ogni stringa di codice deve essere a norma di GDPR.
Ciononostante, è facilmente verificabile in rete quanto pochi siano i siti che rispettano al 100% la normativa europea. Viene molto sottovalutato il ruolo dell’informativa, probabilmente perché pubblicità ingannevoli hanno fatto credere ad aziende – ignare della normativa specifica – che bastasse un fac-simile da copiare e incollare sul proprio sito web per essere a norma.
Ma, come abbiamo visto, le tipologie di marketing che si fanno sul sito, la presenza di cookie di terze parti, il possibile trattamento di dati in Paesi terzi fanno sì che sia necessaria una consulenza personalizzata sulle necessità specifiche di ogni sito web. Inoltre, la stesura del documento richiede conoscenze legali e il linguaggio utilizzato deve rispecchiare i requisiti del GDPR in termini di chiarezza e trasparenza. Pertanto, anche per questo motivo è preferibile affidarsi ad un consulente specializzato in GDPR.
Legal For Digital è qui per aiutarti a comprendere se il tuo sito web è GDPR compliant.