Se ti stai domandando se il tuo sito rispetta il regolamento GDPR sei nel posto giusto.
Dal 2019, momento in cui è diventato obbligatorio adeguare la tua pagina web a questa normativa, sono nati diversi dubbi e incertezza sull’applicazione delle relative norme sulla privacy. Infatti, il testo di legge di riferimento è il Regolamento Europeo 2016/679, suddiviso in XI sezioni ognuna con una serie di sotto paragrafi. Nel complesso sono più di 120 pagine che fanno riferimento a un unico aspetto: la protezione dei dati dell’utente.
Un qualcosa di necessario in ambito comunitario la fine di equiparare il trattamento delle informazioni personali in tutti i paesi della UE, ma che ha portato anche alla necessità di doversi adeguare.
Un qualcosa di non sempre facile soprattutto per i siti web. Infatti, quando si entra nell’ambito tecnologico, il Regolamento Europeo è abbastanza elusivo. Basta considerare che in tutto il testo vengono stabiliti in maniera generica ciò che bisogna fare ma non come lo devi fare.
Questo aspetto rende piuttosto difficile anche per chi vuole rispettare la normativa adeguare il proprio sito in modo corretto. Se ti trovi in questa situazione, non ti devi preoccupare. In questa guida siamo andati ad analizzare la normativa del GDPR riassumendo i tratti essenziali. Infine, abbiamo indicato quali sono gli interventi che devi effettuare sul tuo sito web al fine di adeguarlo al Regolamento Europeo 2016/679.
Indice
La Normativa del GDPR
Il GDPR è un acronimo che identifica la General Data Protection Regulation, tradotto come Regolamento Generale sulla Protezione dei Dati o anche conosciuto come Regolamento Europeo 2016/679.
È entrato in vigore nel 2018, ed in Italia si è avuto la possibilità di adeguarsi alle nuove normative entro il 1° gennaio 2019. Ciò significa che se hai creato in passato un sito web dovrai adattarlo a questa normativa, mentre se lo stai parendo adesso, sarà fondamentale rispettare quelli che sono le indicazioni presenti al suo interno.
Perché è così importante il GDPR?
Questo regolamento pone un comportamento unico che dovrà essere tenuto in tutto Europa da quelli che vengono definiti operatori o fornitori, che utilizzano i dati personali degli utenti. In particolare, nelle XII sezioni, viene stabilito tutto il processo che riguarda:
- modalità di raccolta dei dati personali;
- consenso da parte degli interessati;
- l’utilizzo delle informazioni;
- protezione dei dati personali;
- condivisione degli stessi.
Se vogliamo rispondere alla domanda inziale sul ruolo di questo GDPR per il tuo sito web, dovrai considerare che non solo è una normativa di legge, ma rispettando i parametri che sono previsti all’interno di questo Regolamento potrai ottenere anche una migliore web reputation.
Con questo termine si considera l’insieme di quelle attività collegate alla tua pagina web e al tuo brand che ne determinano la reputazione, dal punto di vista di diversi aspetti come: sicurezza, velocità di caricamenti, design, qualità dei prodotti, semplicità della pagina di checkout per citare quelli più comuni.
Immagina il danno che potrai ottenere se i dati degli utenti venissero sottratti dal tuo sito e utilizzati per scopi illeciti. La conseguenza è ovvia: nessuno acquisterebbe più dal tuo e-commerce.
Quindi, il punto focale della normativa è il trattamento dei dati degli utenti. Il primo aspetto da considerare è quando ti devi adeguare al GDPR. In aiuto ci viene l’articolo 3 della prima sezione in cui tra i fattori da considerare vi è quello della:
- territorialità;
Infatti, la normativa fa riferimento a tutte quelle situazioni in cui un’azienda o un sito sono situati all’interno della Comunità Europea. Ecco quali sono le condizioni in cui dovrai porre attenzione al GDPR:
- l’organizzazione si deve trovare in Comunità Europea;
- anche se la sede non è in ambito Comunitario, i servizi vengono offerti a cittadini europee;
- vengono monitori dall’organizzazione che gestisci i dati attività svolte all’interno della Comunità Europea.
Come puoi notare l’ambito di applicazione è davvero ampio e coinvolge la maggior parte delle attività che trattano i dati personali. Questo ci porta ad analizzare gli altri aspetti presenti all’interno del GDPR e soprattutto a considerare cosa si intende per trattamento di dati personali, come avviene la procedura di consenso e cosa succede in caso di violazione.
Cosa vuol dire dati personali
Nella prima sezione all’articolo 4 sono presenti le principali definizioni inerenti al regolamento e tra queste si ritrova anche quella di dati personali, di non personali e il concetto di trattamento:
- Dati personali: sono definiti qualunque tipologia di informazioni che fanno riferimento alla persona fisica e che può identificarla. Si includono il nome, un numero di identificazione e l’ubicazione. Vengono compresi anche eventuali dati culturali, fisici sociali e culturali
- Dati non personali: sono quelli inerenti alle società e gli indirizzi di posta aziendale generici.
- Trattamento: è qualunque tipologia di operazione che viene compiuta attraverso l’utilizzo di processi automatizzati e che prevede la raccolta, la registrazione, l’organizzazione e la conservazione di queste informazioni. A questo si aggiunge anche eventuali modifiche o utilizzo che se ne possono fare.
Questa prime definizioni sono importanti per capire quando devi stare attento ad aggiornare il tuo sito. Infatti, se creai un blog in cui scrivi articoli e parli di prodotti come se fosse una semplice vetrina, non ti dovrai preoccupare molto del Regolamento Europeo 2016.
Ben diversa è la situazione se invece richiedi l’iscrizione a una newsletter, oppure hai un e-commerce con la vendita di prodotti. Ciò vale anche se utilizzi sistemi come Google Analytics oppure i Pixel di facebook. In questo caso rientrano tutte quelle situazioni che fanno riferimento ai dati personali e come tale devi adeguarti al GDPR per i siti web.
Il concetto di consenso
L’elemento al centro del trattamento dei dati personali è il consenso. L’articolo 6 della seconda sezione sui Principi specifica quando sei autorizzato a utilizzare le informazioni dei singoli soggetti. Dovrai disporre di una base giuridica che si esprime nel concetto di consenso. In termine generici questa parola si può tradurre come accettazione o permesso che un utente ti concede nel momento in cui entra sul tuo sito o si registra o effettua una serie di azioni.
Come vedrai più avanti, il consenso si potrà esprimere in diversi modi, per esempio utilizzano i cookie. È importante che l’approvazione da parte dell’utente deve essere chiara e ben definita. In questa, prospettiva il regolamento chiarisce che l’eventuale contratto o sistema, che abbia il fine di esprimere il consenso, dovrà essere facilmente leggibile e decifrabile.
Il consenso dovrà essere espresso attraverso un’azione specifica che nel caos del web si traduce nell’accettazione attraverso una casella di spunta che l’utente dovrà attivare selezionandola. Infine, dovrai prevedere un registro dei consensi, ovvero salvare nella tua banca dati tutte le accettazioni che sono state date dagli utenti, al fine di un eventuale successiva verifica da parte degli organi competenti.
Il diritto degli utenti
Il capo terzo del regolamento si sofferma sui diritti degli utenti. Infatti, nel caso in particolare dei siti si dovranno offrire tutte le informazioni utili che faranno riferimento alla tipologia di utilizzo dei dati, al loro trattamento e alla conservazione.
Inoltre, se vengono utilizzate dei fornitori esterni che offrono il servizio di privacy e raccolta di dati, allora sarà necessario inserire anche le informazioni riguardanti questa società. Ecco quali sono i diritti dell’utente:
- accesso: in ogni momento gli utenti avranno la possibilità di visionare i propri dati salvati, e di come vengono utilizzati.
- Rettifica: si potrà chiedere di effettuare una modifica dei dati che sono stati raccolti, se per esempio vi è un errore oppure, nel tempo alcune informazioni sono cambiate.
- Diritto di opporsi: l’utente potrà rifiutare il consenso oppure limitare l’utilizzo dei dati se questi vengono impiegati per scopi che non reputa legittimi. Nel caso in cui si verifichi questo diritto, il trattamento dovrà cessare immediatamente. Ciò comporta per esempio che non sarà visibile un sito o alcune sezioni dello stesso.
- Diritto al trasferimento dei dati: sarà possibile, da parte dell’utente, richiedere che i dati vengano trasferiti ad altri soggetti, senza che si creino ostacoli o difficoltà.
- Diritto alla cancellazione: in ogni momento l’utente ha il diritto di richiedere che il consenso venga cancellato ritirando la sua accettazione e che quindi le informazioni, che fanno riferimento ai suoi dati personali, non vengano più utilizzate. Inoltre, il regolamento ribadisce che la cancellazione deve avvenire in maniera repentina e senza indebito ritardo.
La responsabilità dei dati e la violazione degli stessi
Tra le sezioni a cui si deve porre massima attenzione nel GDPR vi è anche il capo IV con riferimento alla sicurezza dei dati.
In particolare, si stabilisce la nomina di un soggetto che sarà considerato il responsabile dei dati, e si sottolinea come tutte le informazioni dovranno essere protette in modo adeguato. Dal punto di vista di un sito web, sarà necessario indicare quale soggetto è responsabile della raccolta dei dati, e se è presente un sistema terzo, fare attenzione a scegliere solo un partner che rispetti le normative del GDPR.
Inoltre, il sito dovrà essere sicuro, e questo implica l’applicazione del protocollo https. Questo aspetto è confermato dall’articolo 32, che indica alcune linee guida:
- i dati dovranno essere cifrati;
- si deve assicurare la riservatezza, l’integrità dei sistemi di trattamento delle informazioni;
- sarà necessario disporre di sistemi che possano testare, verificare e valutare l’efficienza delle misure di sicurezza.
Come puoi notare tutti questi elementi riflettono i livelli di protezione richiesti anche da Google per considerare il tuo sito di valore e soprattutto sicuro.
Inoltre, nell’articolo 33 si chiarisce quale debba essere il comportamento tenuto in caso in cui vi sia una sottrazione dei dati da parte di un terzo. In questo caso, sarà necessario effettuare entro 72 ore una dichiarazione al Garante delle Privacy, intervenendo subito sull’eventuale falla del sistema.
Tipologie di Cookie
Ora che conosci in maniera sintetica quali sono gli aspetti che vengano trattati nel GDPR, ci dobbiamo soffermare su uno degli strumenti più utilizzati per la raccolta di informazioni all’interni di un sito web: i cookie.
Questa parola identifica un file di testo che viene inserito nel tuo sito e attraverso il quale potrai registrare quali sono state le azioni e i comportamenti tenuti da parte di un utente, oltre a una serie di informazioni.
Data la caratteristica di acquisire in maniera automatica dati personali e non, i cookie sono gli osservati speciali in ambito di privacy. Infatti, esiste una normativa di riferimento chiamata Cookie Law la quale non è stata modificata dal GDPR e che è in vigore dal 2015.
In base ad essa i cookie vengono suddivisi in tre categorie:
- tecnici: vengono definiti in questo modo quei cookie che rendono più semplice la navigazione di un sito. L’esempio più tipico sono quei frammenti di codice che permettono all’utente di accedere senza autenticarsi, oppure quelli che salavano gli oggetti nel carello.
- Statistici: si attivano per raccogliere informazioni anonime sui comportamenti degli utenti sul tuo sito web, per esempio indicando le sezioni viste, i link cliccati e il tempo trascorso a leggere un articolo. Questi sono spesso associati ai dati Google Analytics.
- Profilanti: sono quelli che permettono di raccogliere dati e informazioni personali che potranno essere utilizzati, per esempio nelle campagne di remarketing, per il recupero dei carrelli abbandonati o per progettare promozioni. Sono quelli che ti possono interessare di più, dato che ti permettono di avere delle informazioni attraverso cui programmare il sistema di funnel marketing e ottenere più conversioni.
Tra le tre tipologie di cookie quelli che generano problematiche dal punto di vista delle privacy e del trattamento dei dati sono proprio i profilanti.
Infatti, in base a quanto stabilito dal GDPR queste tipologie di script possono ledere i diritti alla privacy dei singoli soggetti. Quindi se li vuoi inserire dovrai rispettare alcune delle direttive previste dal Regolamento Europeo che vedremo più avanti.
Adegua la GDPR per il sito web
Come hai notato, leggendo la sintesi del Regolamento GDPR, vengono inserire le varie definizioni dei comportamenti da tenere per il rispetto dei trattamenti dei dati personali, ma non come fare.
Questo ha generato un po’ di incertezza per chi gestisce un sito.
Come fare a rendere la tua pagina web sicura e adeguarcisi al GDPR?
A questo proposito può essere utile effettuare una check list nella quale andare a valutare quali sono gli aspetti che fanno riferimento al GDPR e che richiedono un tuo intervento. Ecco i 4 punti esenzioni da considerare:
- revisione della Privacy Policy;
- acquisizione dei dati;
- regole di attivazione dei cookie;
- tracciamento di Google Analytics.
1. Generare la privacy policy per sito web conforme al GDPR
La privacy policy dovrà presentare al suo interno tutte le informazioni che sono indicate dall’art 13 e 14 del GDPR. In particolare, sarà obbligatorio indicare:
- la tipologia di dati che verranno raccolti;
- come verranno utilizzati le informazioni;
- come saranno protetti i dati;
- la loro conservazione
- i diritti dell’utente.
Come puoi notare le informazioni che dovrai inserire sono numerose. Per questo può essere utile creare all’interno del sito una pagina specifica denominata Privacy, nella quale esporre l’informativa in base al Regolamento Europeo.
Questo sistema è molto utile se hai anche una sezione in cui l’utente puoi inviare un curriculum vitae e collaboratore con te, oppure se hai creato una newsletter o una promozione a cui un cliente aderisce.
2. Acquisizione dei dati
Il GDPR è molto chiaro sul concetto dei consensi. Se vuoi utilizzare i dati di un utente dovrai avere un consenso da parte dello stesso. L’accettazione al trattamento dovrà però avvenire in maniera chiara e precisa.
Ecco alcuni suggerimenti:
- se devi ottenere un consenso per diverse finalità devi prevedere un sistema di spunta singola per ogni consenso;
- se utilizzi diversi canali attraverso cui l’utente verrà contattato, devi offrire l’opportunità di scegliere quale preferisce;
- se impieghi un servizio di raccolta dati terzo, dovrai specificarlo in maniera chiara e richiedere un apposito consenso;
- devi prevedere una sezione attraverso cui l’utente, in maniera semplice e diretta può, eventualmente revocare il consenso al trattamento dei dati.
L’esempio più tipico è quello delle newsletter. In questo caso nel modulo previsto per l’iscrizione, dovrai anche inserirne uno per l’eventuale cancellazione. Inoltre, ti consigliamo sempre di inviare, insieme all’e-mail, anche un link attraverso cui l’utente può chiedere la cancellazione.
Se vuoi adeguarti alla GDPR dovrai porre attenzione alla tipologia di cookie che utilizzi. Come hai letto precedentemente, quelli che pongono una serie di problematiche dal punto di vista della privacy sono quelli profilanti. Infatti, se inserisci questo script nelle tue pagine, potrai raccogliere informazioni molto utili per le tue campagne pubblicitarie.
Come fare quindi a rispettare il GDPR?
Dovrai permettere al cliente di esprimere il suo consenso all’attivazione dei cookie. Ecco quali sono i passaggi utili da seguire:
- dovrai utilizzare un banner ben visibile nel momento in cui il cliente accede al tuo sito;
- all’interno del banner dovrà essere indicata la modalità del trattamento dei dati e la loro finalità;
- i consensi dovranno essere selezionati dall’utente e quindi non è ammessa la presenza di caselle già spuntate;
- dovrai permettere al cliente di stabilire quali consensi dare ai relativi cookie;
- il consenso dovrà essere attivato dall’utente e quindi non è ammessa l’accettazione con semplice scorrimento dell’informativa;
- è richiesta la presenza del link con riferimento all’informativa delle privacy estesa.
4. Tracciamento Google Analytics
Google Analytics è uno strumento molto utile per le tue strategie di marketing, ma in ottica GDPR richiede una tua attenzione. In particolare, devi considerare le informazioni che vengono raccolte, dato che nel momento in cui sono presenti quelle personali rientrano nel GDPR e quindi dovrai adeguare il sito.
Cosa fare allora? Avrai due opportunità. Nel primo caso potrai configurare Google Analytics in modo che:
- raccolga i dati in forma anonima;
- limiti la condivisione con altre tipologie di strumenti.
In questo modo andrai a rispettare quanto stabilito dal Regolamento Europeo senza dover effettuare altre modifiche al sito.
L’altra soluzione sarà quello di specificare all’interno della sezione dell’informativa della privacy la presenza di un sistema di tracciamento terzo, richiedendo il consenso per tutte quelle attività che vengono svolte. È una situazione che devi effettuare anche se utilizzi dei sistemi di marketing automation. Infine, dovrai, indicare come verranno raccolti e trattati i dati all’interno della sezione dell’informativa della privacy.
Vuoi adeguare il sito al GDPR? Rivolgiti a Unidevs
Adeguare il tuo sito al GDPR è fondamentale al fine di non trovarti a dover affrontare eventuali sanzioni collegate alla violazione della privacy. Inoltre, offrire massima sicurezza ai tuoi clienti ti permette di migliorare quella che viene definita la web reputation, un fattore che è preso in considerazione anche da Google nel valutare la tua posizione nella classifica SERP.
Come hai letto dalla nostra sintesi sul Regolamento Europeo, per il trattamento dei dati personali sono diversi gli input presenti e in particolare, per il settore dei siti web, la normativa diventa anche un po’ nebulosa. Ciò è dovuto al fatto che ti viene indicato cosa è necessario per rendere un tuo sito corretto dal punto di vista della privacy, ma non come fare.
Le indicazioni che ti abbiamo dato sono indispensabile se vuoi avere la certezza di adeguare la tua pagina al GDPR, ma come hai notato vi sono alcuni aspetti molto tecnici da valutare. Basta solo considerare che ti dovrai appoggiare a siti terzi per l’elaborazione dei plug-in di consenso, valutando se questi ultimi a loro volta rispettino le normative previste sulla privacy.
Inoltre, se utilizzai strumenti che impiegano i cookie come Google Analytics e i Pixel di Facebook dovrai fare attenzione a quelli sono le informazioni raccolte e in caso in cui questi rientrano nel GDPR richiedere in consenso. Infine, creare un’informativa sulla privacy completa richiede tempo, attenzione e le conoscenze giuste in materia del Regolamento Europeo 2016/679.
Se vuoi avere la certezza che il tuo sito rispetti tutti i canoni di sicurezza e tutela della privacy può essere un utile consiglio rivolgerti a una web agency come Unidevs.
I nostri consulenti ti offriranno tutto il supporto necessario, valutando se il tuo sito rientra tra quelli che devono essere adattati e provvedendo a effettuare l’adeguamento nel tempo più breve e in pieno rispetto degli ultimi aggiornamenti in materia di privacy.