Come adeguare il sito web al GDPR
Da quando è entrato in vigore il Regolamento Generale sulla Protezione dei Dati – (regolamento UE n. 2016/679) adottato dalla Commissione Europea per tutelare i dati personali dei cittadini, chi possiede un sito web traduce la norma con due azioni: adeguare la privacy policy e la cookie policy.
Si parla di conformità del sito web, di adeguamento privacy del sito web, di GDPR compliance per i siti internet. Ma come possiamo adeguare davvero il sito web alle normative GDPR in vigore?
C’è un concetto che hai bisogno di sapere prima di mettere a norma il tuo sito: avere i documenti per la privacy policy e la cookie policy sulla scrivania NON significa essere a norma di GDPR.
Il tuo sito web traccia nella quotidianità molteplici dati personali: nomi, cognomi, indirizzi e-mail, numeri di telefono, dati provenienti dal Pixel di Facebook, dati raccolti tramite le campagne Google e Meta ADS.
Ecco: tutte queste informazioni hanno bisogno di essere tracciate e gestite in modo corretto per due motivi principali:
- Evitare sanzioni da parte del Garante della Privacy.
- avere la libertà di utilizzare i dati con un approccio strategico per le attività di marketing.
Se sei arrivato su questa pagina è probabile che anche tu abbia messo online un sito web per dare visibilità alla tua attività.
Secondo i dati condivisi in un articolo di fine gennaio 2023 da Il Sole 24 Ore, nel 2022 sono stati registrati 475.768 nuovi domini .it per un totale di 3.467.693 domini italiani in rete.
Per comprendere tutte le implicazioni legali che si nascondono nelle quattro lettere GDPR, mandaci subito una e-mail: meglio sapere il prima possibile come poter usare i dati che raccogli ed evitare di doverli cestinare per non aver gestito la privacy secondo la normativa.
Vediamo insieme quali sono i vantaggi offerti dall’adeguamento GDPR del sito web, chi sono i soggetti interessati e quanto costa avere il sito a norma di legge.
Adeguamento GDPR del sito web: chi lo deve fare?
Nel 2022 abbiamo adeguato 207 siti web al GDPR: un numero di cui siamo soddisfatti.
Ma possiamo fare di più.
O meglio: dobbiamo impegnarci a diffondere una maggiore cultura sul Regolamento Generale per la protezione dei dati e agevolare liberi professionisti e imprese a comprendere cosa significhi avere tra le mani i dati delle persone.
Il DATO è una risorsa preziosa. Immagina una vita aziendale senza le statistiche di Google, senza gli insight dei social media, senza i dati di Active Campaign.
Come potresti progettare campagne, capire come si muovono gli utenti sul sito web, monitorare le reazioni ai post e le aperture delle newsletter?
Un mondo senza dati è una realtà senza business.
Noi di Legal for Digital ci rivolgiamo a chiunque abbia online un sito web e differenziamo il servizio in base alle persone che richiedono il nostro supporto, perché ogni adeguamento deve essere seguito in modo diverso.
Chi ha bisogno del GDPR del sito web?
- I freelance: sono sempre di più i liberi professionisti che acquistano il dominio nomecognome.it per realizzare il loro sito web e promuovere i servizi. Se rientri in questa categoria, sappi che ti serve anche nel caso tu sia forfettario.
- Le grandi aziende e le PMI: dal sito transitano tutti i dati sui cui costruire la comunicazione d’impresa. Meglio avere il GDPR a norma.
- Le web agency: questa è una categoria delicata. Siccome i titolari di agenzia devono gestire la propria privacy e quella dei siti dei clienti, spesso si affidano a servizi online che in pochi click forniscono una serie di fac simili da scaricare. Quei fogli di carta non rappresentano un adeguamento completo al GDPR e non sono un asset aziendale di proprietà. Uno studio legale fornisce ai titolari di agenzia la consulenza adeguata per tutti i siti da loro gestiti.
Guarda, ti facciamo un esempio: quando abbiamo pensato di realizzare un sito per il nostro studio legale, abbiamo contattato a una web agency che ci ha aiutati a gestire tutta la parte tecnica di cui non eravamo abbastanza competenti.
Avremmo potuto fare tutto da soli, certo. E poi? Il sito sarebbe stato poco responsive, lento nel caricamento, con una SEO scarsa. Uno strumento con il quale non avremmo ottenuto alcun risultato.
La stessa dinamica vale per te: puoi scegliere di fare la privacy del tuo sito da solo, scaricando documentazione poco affidabile online e scoprire in un momento successivo di non poter utilizzare tutti i dati raccolti per implementare le attività di marketing.
Oppure, puoi affidarti a noi.
Se sei orientato sulla seconda soluzione, devi solo compilare il form di contatto e cliccare su Invia: ti rispondiamo in poche ore.
GDPR sito web: i vantaggi di essere in regola
Ciò che abbiamo raccontato fino qui, ti ha permesso di capire che il vantaggio principale dell’adeguamento al GDPR del sito è più strategico che legale in senso stretto.
Agire in modo etico e seguire la legge è per noi normale. Quindi, vediamo quali sono i benefici concreti che ottieni quando adegui il tuo sito alla normativa sulla privacy.
- L’approccio al trattamento dei dati diventa professionale: ogni aspetto tecnico del sito viene curato per consentire una raccolta, un trattamento, una gestione e una conservazione del dato a norma di legge.
- Ottimizzi la raccolta legale del dato: sei libero di poter usare le informazioni rilasciate dagli utenti per costruire una strategia di marketing e comunicazione forte, profilare i dati per comprendere l’audience e mantenere alte le performance.
- Acquisisci credibilità: le persone che visitano il tuo sito percepiscono il valore dei messaggi che lanci sui banner per la raccolta dei dati e si sentono più fiduciosi nel rilasciare le informazioni, nell’iscriversi alla newsletter, nel compilare un form.
In Legal for Digital costruiamo insieme ai nostri clienti gli asset aziendali principali su cui pianificare il business.
Cosa significa avere il sito a norma di GDPR
Chiunque tratti dati personali con il proprio sito web, app o piattaforma online ha bisogno di un adeguamento privacy a norma di GDPR.
Per agevolare la comprensione della normativa, in Legal for Digital dividiamo la materia in due aree.
- GDPR online: l’adeguamento alla normativa che riguarda tutti i dati derivanti da siti web, e-commerce, app.
- GDPR offline: dati che vengono gestiti ogni giorno in modo “cartaceo” e non direttamente dal web.
Non trovi questa categorizzazione altrove, è un nostro approccio che evita l’utilizzo del legalese.
Nella sezione dedicata alla consulenza GDPR, trovi le informazioni per sapere quale adeguamento serve alla tua attività.
Quando parliamo di adeguamento privacy per i siti web, oltre a fare riferimento alla privacy policy e alla cookie policy (che sono solo la punta dell’iceberg della materia), comprendiamo l’analisi completa delle piattaforme online.
Esiste un sito web che non tratta alcun dato personale e non effettua alcun tracciamento degli utenti? No. Anche se si tratta soltanto una pagina vetrina.
Avere una presenza online per fare business implica la raccolta e il trattamento dei dati degli utenti.
A prescindere dalla tipologia di piattaforma – WordPress, Joomla, Drupal, Wix, cms proprietario, e-commerce con Magento, Woocommerce, Shopify, Prestashop, Kajaby, tool come Salesforce, Infusionsoft, Active Campagne, HobSpot o Zoho – il GDPR deve essere adeguato per non subire sanzioni dal Garante della Privacy.
Avere un sito a norma significa raccogliere, tracciare, gestire e conservare i dati che vi transitano seguendo la normativa sul GDPR.
E, se scegli di affidarti al nostro studio, il processo diventa molto semplice.
Quanto costa il GDPR per il sito web?
A prescindere dalla tipologia di sito che hai scelto di mettere online per dare visibilità alla tua attività – sito vetrina, blog, e-commerce-, il GDPR è un adeguamento fondamentale per agire a norma di legge e poter utilizzare i dati che tracci per implementare la tua strategia di marketing.
In Legal for Digital abbiamo sviluppato un nostro approccio per l’adeguamento legale del sito web (secondo il Regolamento 679/2016) che prevede dieci passaggi.
Sì, sembrano tanti, ma sono utili per darti un adeguamento con i fiocchi e tutelarti da qualsivoglia sanzione.
Ecco come ci muoviamo:
- audit via Zoom o telefonico con privacy specialist del nostro studio,
- redazione della privacy policy personalizzata in lingua italiana,
- redazione della cookie policy estesa personalizzata in lingua italiana,
- redazione della cookie policy breve e per banner cookie,
- indicazioni per l’adeguamento legale del form dei contatti,
- indicazioni per l’adeguamento legale del form per la newsletter,
- indicazioni per l’adeguamento legale del form di acquisto sull’e-commerce (se hai un negozio online),
- indicazioni per l’adeguamento legale del footer del sito,
- indicazioni per i plugin e/o i software da utilizzare per il salvataggio dei consensi,
- indicazioni per i plugin e/o i software da utilizzare per il blocco preventivo dei cookie profilanti,
- consegna della documentazione realizzata su misura per te dopo la consulenza.
Vedi quanti sono i punti da toccare? Diffida di chi vende il GDPR sotto forma di un paio di documenti per la privacy: la materia è ben più ampia.
In Legal for Digital offriamo tre possibili soluzioni per l’adeguamento del sito al GDPR.
- La formula GDPR online Essential comprende le voci che abbiamo appena elencato e richiede un investimento di €. 897.
- La formula GDPR online Compleet – il servizio più richiesto dai nostri clienti -, oltre ai servizi dettagliati nel GDPR Essential, prevede:
- verifica del corretto caricamento della privacy policy e cookie policy sul sito web,
- verifica del corretto funzionamento dei link presenti nella privacy policy e cookie policy del sito web,
- verifica sul sito web dell’avvenuto adeguamento legale dei form di contatto, iscrizione newsletter e acquisto sull’e-commerce,
- verifica dell’avvenuto adeguamento legale del footer presente nella home page del sito.
Le verifiche sono massimo una per attività e avvengono entro due giorni dalla richiesta. La formula Compleet richiede un investimento di €. 1097 (solo €. 200 in più rispetto al precedente).
- La formula GDPR online Serenity (chiamata così proprio perché permette di dormire sonni tranquilli), oltre alle voci previste nel servizio GDPR Compleet, comprende:
- 12 mesi di modifiche illimitate delle policy per adeguamenti legislativi italiani ed europei,
- 12 mesi di modifiche illimitate delle policy per adeguamento dei servizi/plugin utilizzati su richiesta del cliente.
La formula Serenity richiede un investimento annuale da €. 1.900 (che, se ci pensi, sono solo €. 133 al mese).
Puoi scegliere la formula più adatta alla tua attività e cominciare insieme a noi un percorso di crescita del business e di tutela legale a tutto tondo.
Legal Tips: i nostri suggerimenti facili
- Tutti i dati personali che transitano dal sito devono essere trattati e gestiti secondo il GDPR, a prescindere dal fatto che arrivino da un pixel di Facebook, GA4 o la newsletter.
- Se sul sito hai un form di contatto – che non prevede alcuna iscrizione -, stai già trattando dati personali.
- Il GDPR non è solo un adeguamento a livello di documentazione (una privacy policy, una cookie policy) ma è soprattutto un adeguamento tecnico: il trattamento dei dati deve essere a norma anche nel back-end del sito.
Case Study
GDPR sito web: quando l’adeguamento per il sito si rivela inutile
SITUAZIONE
Un’azienda ha un sito vetrina: chiede a uno studio legale classico – non esperto in materia digitale – l’adeguamento al GDPR.
Servizio che costa anche caruccio.
Lo studio legale chiede al web master che si occupa del sito la lista dei cookie, l’eventuale presenza di un form di contatto o dell’iscrizione a una newsletter e, senza nemmeno guardare il sito, consegna i documenti cartacei per la privacy policy e la cookie policy all’azienda.
Dopo alcuni mesi il titolare del sito, grazie all’arrivo di un nuovo web master, scopre che il banner dei cookie non è settato in modo corretto perché il relativo script è stato inserito dopo quello del pixel di Facebook.
SOLUZIONE
I documenti e l’adeguamento privacy preparati dallo studio legale erano anche corretti, ma l’azienda è sanzionabile per non aver tutelato i dati di tracciamento provenienti dal pixel di Facebook.
La parte documentale del GDPR è importante, ma lo studio legale ha il compito di accompagnare i web master anche per le implementazioni tecniche. Evita di pagare un adeguamento al GDPR che non ti tutela dalle sanzioni.
Come ottenere l’adeguamento al GDPR per il sito web
Molti imprenditori pensano che le tempistiche e i processi per adeguare il GDPR siano lunghi e complessi.
Niente affatto: ora ti spieghiamo qual è il metodo di lavoro di Legal for Digital e i passaggi che proponiamo per risolvere i tuoi dubbi.
- Hai scelto di contattarci via e-mail o con il form: riceviamo la tua richiesta e, nel giro di poche ore, rispondiamo e fissiamo una prima call.
- Durante il primo incontro ti poniamo diverse domande per capire l’entità del lavoro da svolgere.
- Entro una giornata lavorativa, ricevi il preventivo esploso con tutti i dettagli dei servizi che forniamo e il prezzo in chiaro.
Se la proposta incontra le tue esigenze, sottoscrivi il nostro contratto, procedi al pagamento e pianifichiamo gli incontri necessari all’adeguamento del tuo GDPR.
Adeguamento al GDPR: qualche informazione pratica
Il nostro processo di adeguamento al GDPR prevede da quattro ai sei audit di consulenza via Zoom e una ulteriore formazione pratica per poter gestire in autonomia il GDPR del proprio business dopo il percorso fatto insieme.
Di quali aspetti si prende cura questa figura?
- Analisi dei soggetti coinvolti nel trattamento dati (ruoli, compiti e responsabilità).
- Analisi e valutazione di tutte le finalità e trattamenti dati svolti.
- Valutazione documentale delle misure di sicurezza adottate.
- Valutazione dei locali aziendali.
- Valutazione analitica dei dati trattati per ciascun trattamento dati svolto.
- Definizione dell’organigramma della privacy.
- Redazione di tutti i contratti di nomina a responsabili del trattamento dei dati.
- Redazione delle nomine ad autorizzato e relative istruzioni sul trattamento dei dati.
- Redazione del registro dei trattamenti (è escluso l’adeguamento legale del sito web).
- Redazione del registro del responsabile del trattamento.
- Registro delle richieste di accesso degli interessati.
- Registro di gestione e documentazione dei data breach (violazione dei dati).
- Registro di controllo e revisione.
- Illustrazione della documentazione prodotta.
- Risposta ai quesiti del cliente in tema privacy aziendale.
- Redazione e consegna del MOP (Modello organizzativo Privacy).
- Attività di analisi del rischio per ogni specifica istanza di rischio e come potrebbe influenzare i progetti e gli obiettivi dell’azienda
- Analisi ORIZZONTALE del rischio, con riferimento a ciascuno dei quattro settori in cui il rischio è suscettibile di verificarsi (Comportamento Operatori, Dispositivi Hardware, Dispositivi Software, Contesto)
- Analisi VERTICALE del rischio, ossia per processo, ricorrendo ai criteri dettati dalle linee guida ENISA.
A conclusione dell’attività è prevista un’ulteriore consulenza di presentazione di tutta la documentazione redatta in modo da fornire le informazioni necessarie per il suo utilizzo nel tempo e i relativi aggiornamenti, così che il cliente non sia obbligato a farsi seguire dal nostro studio per le attività privacy quotidiane.
Possiamo anche procedere all’adeguamento privacy del sito web o e-commerce, alla formazione annuale obbligatoria dei dipendenti online, in azienda oppure on demand sulla nostra piattaforma formativa e anche al servizio di DPO che tuttavia consigliamo solo se obbligatorio per legge nel tuo caso, perché l’adeguamento al GDPR deve essere un mezzo di tutela dell’azienda e non un capitolo di spesa inutile.